建立傳輸閘道 AWS Site-to-Site VPN 連接 - AWS Site-to-Site VPN
使用 CLI 建立 VPN 連接檢視 VPN 連線的 IPv6 地址

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立傳輸閘道 AWS Site-to-Site VPN 連接

若要在傳輸閘道上建立 VPN 連接,您必須指定傳輸閘道與客戶閘道。在執行此操作程序之前,需要建立傳輸閘道。如需建立傳輸閘道的詳細資訊,請參閱 Amazon VPC 傳輸閘道中的傳輸閘道

傳輸閘道 VPN 連接支援 IPv4 或 IPv6。如需針對傳輸閘道 VPN 連接使用這些通訊協定的詳細資訊,請參閱 AWS Site-to-Site VPN 中的 IPv4 和 IPv6 流量

使用主控台建立附加至傳輸閘道的 VPN 連接

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇站台對站台 VPN 連接

  3. 選擇 Create VPN Connection (建立 VPN 連接)

  4. (選用) 針對名稱標籤,輸入連接的名稱。執行此作業會使用 Name 做為索引鍵,以及您指定的值來建立標籤。

  5. 針對目標閘道類型,選擇傳輸閘道,然後選擇傳輸閘道。

  6. Customer Gateway (客戶閘道) 中,執行下列事項之一:

    • 若要使用現有的客戶閘道,請選擇現有,然後選擇客戶閘道 ID

    • 若要建立新的客戶閘道,請選擇新增

      1. 針對 IP 地址 ,輸入靜態 IPv4IPv6 地址。

      2. (選用) 對於憑證 ARN,選擇私有憑證的 ARN (如果使用憑證型身分驗證)。

      3. 對於 BGP ASN,輸入您客戶閘道的邊界閘道協定 (BGP) 自主系統編號 (ASN)。如需詳細資訊,請參閱客戶閘道選項

  7. 針對路由選項,選擇動態 (需要 BGP) 靜態

  8. 針對預先共用金鑰儲存,選擇標準Secrets Manager。預設選擇為標準。如需有關使用 AWS Secrets Manager的詳細資訊,請參閱 安全

  9. 若為通道內部 IP 版本,請選擇 IPv4IPv6

  10. (選用) 針對啟用加速,選擇核取方塊以啟用加速。如需詳細資訊,請參閱加速 VPN 連接

    如果您啟用加速,我們會建立由 VPN 連接所使用的兩個加速器。需支付額外費用。

  11. (選用) 根據您選擇的 IP 版本內的通道,執行下列其中一項操作:

    • IPv4 — 對於本機 IPv4 網路 CIDR,請在客戶閘道 (內部部署) 端指定允許透過 VPN 通道通訊的 IPv4 CIDR 範圍。針對遠端 IPv4 網路 CIDR,選擇允許透過 VPN 通道通訊的 AWS 端 CIDR 範圍。這兩個欄位的預設值為 0.0.0.0/0

    • IPv6 — 對於本機 IPv6 網路 CIDR,請在客戶閘道 (內部部署) 端指定允許透過 VPN 通道通訊的 IPv6 CIDR 範圍。針對遠端 IPv6 網路 CIDR,選擇允許透過 VPN 通道通訊的 AWS 端 CIDR 範圍。這兩個欄位的預設值為 ::/0

  12. 針對外部 IP 地址類型,選擇下列其中一個選項:

    • 公有 IPv4 - (預設) 使用外部通道 IPs的 IPv4 地址。

    • 私有 IPv4 - 使用私有 IPv4 地址在私有網路內使用。

    • IPv6 - 使用外部通道 IPs的 IPv6 地址。此選項需要您的客戶閘道裝置支援 IPv6 定址。

    注意

    如果您為外部 IP 地址類型選取 IPv6,則必須使用 IPv6 地址建立客戶閘道

  13. (選用) 對於通道 1 選項,您可以為每個通道指定下列資訊:

    • 適用於內部通道 IPv4 位址,且在 169.254.0.0/16 範圍中大小為 /30 的 IPv4 CIDR 的區塊。

    • 如果您為通道內部 IP 版本指定 IPv6,則可為內部通道 IPv6 位址指定在 fd00::/8 範圍中且大小為 /126 IPv6 CIDR 的區塊。

    • IKE 預先共享金鑰 (PSK)。支援下列版本:IKEv1 或 IKEv2。

    • 若要編輯通道的進階選項,請選擇編輯通道選項。如需詳細資訊,請參閱VPN 通道選項

    • (選用) 針對通道活動日誌選擇啟用,以擷取 IPsec 活動和 DPD 通訊協定訊息的日誌訊息。

    • (選用) 選擇開啟通道端點生命週期以控制端點取代的排程。如需通道端點生命週期的詳細資訊,請參閱 通道端點生命週期

  14. (選用) 選擇通道 2 選項,然後依照先前步驟設定第二個通道。

  15. 選擇 Create VPN Connection (建立 VPN 連接)

使用 CLI 建立 VPN 連接

使用 create-vpn-connection 命令,並指定 --transit-gateway-id 選項的傳輸閘道 ID。

使用 IPv6 外部通道 IPs和 IPv6 內部通道 IPs 建立 VPN 連線的範例:

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

使用 IPv6 外部通道 IPs和 IPv4 內部通道 IPs 建立 VPN 連線的範例:

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv4,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

檢視 VPN 連線的 IPv6 地址

使用 IPv6 外部通道 IPs建立 VPN 連接後,您可以使用 CLI 命令檢視指派的 IPv6 describe-vpn-connections 地址:

aws ec2 describe-vpn-connections --vpn-connection-ids vpn-12345678901234567

在回應中,尋找 TunnelOptions區段中的 OutsideIpAddress 欄位。對於 IPv6 VPN 連線,此欄位將包含指派給 VPN 通道 AWS 端的 IPv6 地址。

回應摘錄範例:


"Options": {
    "OutsideIPAddressType": "Ipv6",
    "TunnelInsideIpVersion": "ipv6",
    "TunnelOptions": [
        {
            "OutsideIpAddress": "2600:1f14:2dcf:d556:c3db:e57f:2414:2d9a",
            "TunnelInsideCidr": "2001:db8:1001:b110::/64",
            ...
        },
        {
            "OutsideIpAddress": "2600:1f14:2dcf:d57d:6318:60af:37c5:7ce1",
            "TunnelInsideCidr": "2001:db8:1001:b111::/64",
            ...
        }
    ]
}