AWS Site-to-Site VPN 運作方式 - AWS Site-to-Site VPN

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Site-to-Site VPN 運作方式

站台對站台 VPN 連接是由下列元件組成:

VPN 連接在 AWS 端的虛擬私有閘道或傳輸閘道與內部部署端的客戶閘道之間提供兩個 VPN 通道。

如需站台對站台 VPN 配額的詳細資訊,請參閱AWS Site-to-Site VPN 配額

虛擬私有閘道

「虛擬私有閘道」是站台對站台 VPN 連接之 Amazon 端的 VPN 集中器。您可以建立虛擬私有閘道,並透過必須存取站台對站台 VPN 連接的資源,將其連接到虛擬私有雲端 (VPC)。

下圖顯示使用虛擬私有閘道,位於 VPC 與內部部署網路之間的 VPN 連接。

具有連接虛擬私有閘道的 VPC 以及連接至您內部部署網路的 VPC。

當您建立虛擬私有閘道時,您可為閘道的 Amazon 端指定私有自發系統編號 (ASN)。如未指定 ASN,將會以預設 ASN (64512) 建立虛擬私有閘道。建立虛擬私有閘道之後,即不得變更 ASN。若要檢查虛擬私有閘道的 ASN,請在 Amazon VPC 主控台的虛擬私有閘道頁面中檢視其詳細資訊,或使用 describe-vpn-gateways AWS CLI 命令查看。

注意

虛擬私有閘道不支援Site-to-Site連線的 IPv6。如果您需要 IPv6 支援,請使用傳輸閘道或 Cloud WAN 進行 VPN 連線。

Transit Gateway

傳輸閘道是傳輸中樞,您可以用於互相連接 VPC 和內部部署網路。如需詳細資訊,請參閱 Amazon VPC 傳輸閘道。您可以建立站台對站台 VPN 連接做為傳輸閘道連接。

下圖顯示使用傳輸閘道,位於多個 VPC 與內部部署網路之間的 VPN 連接。傳輸閘道具有三個 VPC 連接和一個 VPN 連接。

具有三個 VPC 連接和一個 VPN 連接的傳輸閘道。

您在傳輸閘道上的Site-to-Site VPN 連接可以支援 VPN 通道內的 IPv4 或 IPv6 流量 (內部 IP 地址)。此外,傳輸閘道支援外部通道 IP 地址的 IPv6 地址。如需詳細資訊,請參閱中的 IPv4 和 IPv6 流量 AWS Site-to-Site VPN

您可以將站台對站台 VPN 連接的目標閘道,從虛擬私有閘道修改為傳輸閘道。如需更多詳細資訊,請參閱 修改 AWS Site-to-Site VPN 連線的目標閘道

客戶閘道裝置

「客戶閘道裝置」是站台對站台 VPN 連接位於您這端的實體裝置或軟體應用程式。您可將裝置設定為與站台對站台 VPN 連接搭配使用。如需更多詳細資訊,請參閱 AWS Site-to-Site VPN 客戶閘道裝置

根據預設,您的客戶閘道裝置必須透過產生流量並啟動網際網路金鑰交換 (IKE) 交涉程序,為您的站台對站台 VPN 連接開啟通道。您可以將 Site-to-Site VPN 連接設定為指定 AWS 必須改啟動 IKE 協商程序。如需詳細資訊,請參閱AWS Site-to-Site VPN 通道啟動選項

如果您將 IPv6 用於外部通道 IP 地址,您的客戶閘道裝置必須支援 IPv6 定址,並能夠使用 IPv6 端點建立 IPsec 通道。

客戶閘道

客戶閘道是您在 AWS 中建立的資源,代表內部部署網路上的客戶閘道裝置。當您建立客戶閘道時,您會提供裝置的相關資訊 AWS。如需詳細資訊,請參閱您 AWS Site-to-Site VPN 連線的客戶閘道選項

客戶閘道和客戶閘道裝置。

若要使用 Amazon VPC 搭配站台對站台 VPN 連接,您或您的網路管理員也必須在遠端網路中設定客戶閘道裝置或應用程式。當您建立站台對站台 VPN 連接時,我們會提供您必要的組態資訊,網路管理員一般會執行這個組態。如需客戶閘道需求和組態的相關資訊,請參閱AWS Site-to-Site VPN 客戶閘道裝置

IPv6 客戶閘道

建立客戶閘道以搭配 IPv6 外部通道 IPs使用時,您可以指定 IPv6 地址,而不是 IPv4 地址。您可以使用 AWS 管理主控台或 CLI 建立 IPv6 AWS 客戶閘道。

若要使用 CLI 建立 IPv6 AWS 客戶閘道,請使用下列命令:

aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

IPv6 地址必須是客戶閘道裝置的有效網際網路路由 IPv6 地址。

IPv6 VPN 連線

Site-to-Site VPN 連接支援下列 IPv6 組態:

  • IPv4 外部通道與 IPv4 內部封包 - Virtual Private Gateway (VGW)、Transit Gateway (TGW) 和 Cloud WAN 支援的基本 IPv4 VPN 功能。

  • IPv4 外部通道與 IPv6 內部封包 - 允許 VPN 通道內的 IPv6 應用程式/傳輸。TGW 和雲端 WAN 上支援 (VGW 上不支援)。

  • 具有 IPv6 內部封包的 IPv6 外部通道 IPv6 - 允許使用外部通道 IPs和內部封包 IPs 的 IPv6 地址進行完整 IPv6 遷移。在 TGW 和雲端 WAN 上支援。

  • IPv6 外部通道與 IPv4 內部封包 - 允許 IPv6 外部通道定址,同時支援通道內的舊版 IPv4 應用程式。在 TGW 和雲端 WAN 上支援。

若要使用 IPv6 外部通道 IPs建立 VPN 連接,請在建立 VPN 連接OutsideIPAddressType=Ipv6時指定 。AWS 會自動為 VPN 通道的 AWS 端設定外部通道 IPv6 地址。

使用 IPv6 外部通道 IPs和 IPv6 內部通道 IPs CLI 命令範例:

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

您可以使用 CLI 命令檢視指派給 VPN 連接的 IPv6 describe-vpn-connection 地址。