本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 什麼是AWS Site-to-Site VPN?
根據預設,您在 Amazon VPC 中啟動的執行個體無法與本機 (AWS 雲端) 網路和遠端裝置通訊,例如,這可能是網站或內部部署裝置。您可以透過建立AWS Site-to-Site VPN(Site-to-Site VPN) 連線,以及設定路由以透過連線傳遞流量,來啟用從 VPC 存取遠端裝置。
雖然「VPN 連接」**一詞很籠統,但在本文件中是指您的 VPC 和您的現場部署網路之間的連線。站台對站台 VPN 支援網際網路通訊協定安全 (IPsec) VPN 連接。
**Topics**
+ [
## 概念
](#concepts)
+ [
## Site-to-Site VPN 功能
](#s2svpn-features)
+ [
## 站台對站台 VPN 限制
](#site-to-site-limitations)
+ [
## 站台對站台 VPN 資源
](#site-site-tools)
+ [
## 定價
](#pricing)
## 概念
以下是站台對站台 VPN 的主要概念:
+ **VPN 連接**:內部部署設備和 VPC 之間的安全連線。
+ **VPN 通道**:資料可以在客戶網路和AWS之間往返傳送的加密連結。
每個 VPN 連接包含兩個 VPN 通道,您可以同時使用這些通道以獲得高可用性。
+ **客戶閘道**:提供AWS客戶閘道裝置相關資訊給AWS的資源。
+ **客戶閘道裝置**:站台對站台 VPN 連接位於您這端的實體裝置或軟體應用程式。
+ **Target gateway (目標閘道)**:一個通用術語,表示站台對站台 VPN 連接中 Amazon 端的 VPN 端點。
+ **Virtual private gateway (虛擬私有閘道)**:虛擬私有閘道是站台對站台 VPN 連接之 Amazon 端的 VPN 端點,可以連接到單一 VPC。
+ **Transit gateway (轉換閘道)**:可用來互連多台 VPC 和內部部署聯網的傳輸中樞,也可用作為站台對站台 VPN 連接 Amazon 端的 VPN 端點。
+ **大型頻寬通道 **:相較於標準 1.25 Gbps,每個通道最多支援 5 Gbps 頻寬的通道組態。適用於連接到 Transit Gateway 或 Cloud WAN 的 VPN 連線。
## Site-to-Site VPN 功能
AWS Site-to-Site VPN連線支援下列功能:
+ 網際網路金鑰交換版本 2 (IKEv2)
+ NAT 周遊
+ 虛擬私有閘道 (VGW) 組態範圍為 1–2147483647 的 4 位元組 ASN。如需詳細資訊,請參閱[您 AWS Site-to-Site VPN 連線的客戶閘道選項](cgw-options.md)。
+ 客戶閘道 (CGW) 的 2 位元組 ASN,範圍為 1–65535。如需詳細資訊,請參閱「[您 AWS Site-to-Site VPN 連線的客戶閘道選項](cgw-options.md)」。
+ CloudWatch 指標
+ 您客戶閘道可重複使用的 IP 地址
+ 額外的加密選項,包括 AES 256 位元加密、SHA-2 雜湊,以及其他 Diffie-Hellman 群組
+ 可設定的通道選項
+ BGP 工作階段的 Amazon 端自訂私有 ASN
+ 來自 的次級 CA 的私有憑證AWS 私有憑證授權單位
+ 支援AWS Site-to-Site VPN 的 IPv6 支援
+ 內部通道 IP 地址的 IPv6 (封包 IP)
+ Transit Gateway 和 Cloud WAN 上外部通道 IP 地址 (通道 IP) 的 IPv6
+ 具有下列組合的完整 IPv6 遷移支援:
+ IPv6 外部通道 IP 搭配 IPv6 內部封包 IP (IPv6-in-IPv6)
+ IPv6 外部通道 IP 搭配 IPv4 內部封包 IP (IPv4-in-IPv6)
## 站台對站台 VPN 限制
站台對站台 VPN 連接有下列限制。
+ 虛擬私有閘道上的 VPN 連線不支援 IPv6 流量。只有 Transit Gateway 和 Cloud WAN 支援外部通道 IPs IPv6。
+ Site-to-Site VPN連線不支援路徑 MTU 探索。
+ 單一Site-to-Site連接無法同時支援 IPv4 和 IPv6 流量。您需要個別的 VPN 連線才能傳輸 IPv4 和 IPv6 封包。
+ 私有 IP VPN 連線不支援外部通道 IPs的 IPv6 地址。
+ 您無法修改現有的 IPv4 VPN 連線以使用 IPv6。您必須刪除現有的連線,並建立新的連線。
此外,使用站台對站台 VPN 時,請考慮下列事項。
+ 將 VPC 連線到通用內部部署網路時,建議您為網路使用非重疊的 CIDR 區塊。
## 站台對站台 VPN 資源
您可以使用下列任一界面來建立、存取和管理您的站台對站台 VPN 資源:
+ **AWS 管理主控台** – 提供可存取 Site-to-Site VPN 資源的 Web 介面。
+ **AWS Command Line Interface(AWS CLI)** — 為廣泛的AWS服務提供命令,包括 Amazon VPC,並在 Windows、macOS 和 Linux 上受支援。AWS Site-to-Site VPN命令列包含在較大的 EC2 命令列參考中
+ 如需命令列界面的一般資訊,請參閱 [AWS Command Line Interface](https://aws.amazon.com/cli/)。
+ 如需可用的 EC2 命令清單,包括Site-to-Site命令,請參閱 [EC2 命令列參考](https://docs.aws.amazon.com/cli/latest/reference/ec2/)。
**注意**
命令列參考不會區分Site-to-Site命令和較大的 EC2 命令集
+ **AWS SDKs** — 提供特定語言 APIs,並負責許多連線詳細資訊,例如計算簽章、處理請求重試和錯誤處理。如需詳細資訊,請參閱 [AWS開發套件](https://aws.amazon.com/developer/tools/)。
+ **查詢 API** – 提供可以使用 HTTPS 請求呼叫的低層級 API 動作。使用查詢 API 是存取 Amazon VPC 最直接的方式,但這需要您的應用程式能處理低階詳細資訊,例如產生雜湊以簽署請求以及錯誤處理。如需詳細資訊,請參閱 [Amazon EC2 API 參考](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/)。
## 定價
系統會針對每個 VPN 連接時數 (已佈建 VPN 連接且可供使用) 來向您收取費用。如需詳細資訊,請參閱 [AWS Site-to-Site VPN和 Accelerated Site-to-Site VPN 連接定價](https://aws.amazon.com/vpn/pricing/#AWS_Site-to-Site_VPN_and_Accelerated_Site-to-Site_VPN_Connection_Pricing)。
系統會針對從 Amazon EC2 傳輸資料至網際網路來向您收取費用。如需詳細資訊,請參閱「Amazon EC2 隨需定價」頁面上的[資料傳輸](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)
當您建立加速 VPN 連接時,我們會代表您建立及管理兩個加速器。每個加速器會依小時費率和資料傳輸費用,向您收取費用。如需詳細資訊,請參閱 [AWS Global Accelerator定價](https://aws.amazon.com/global-accelerator/pricing/)。
將 IPv6 地址與Site-to-Site連接搭配使用不會產生額外費用。