本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立AWS Site-to-Site VPN連線
您可以建立連接到傳輸閘道或 Cloud WAN 全域網路的Site-to-Site VPN 連接。這兩種連接類型都支援 IPv4 和 IPv6 通訊協定,並且可以選擇性地使用Site-to-Site VPN 集中器以經濟實惠的方式連接多個遠端站台。
## 使用主控台建立 VPN 連線
**使用主控台建立 VPN 連線**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選擇 **Create VPN Connection (建立 VPN 連接)**。
1. (選用) 針對**名稱標籤**,輸入連接的名稱。執行此作業會使用 `Name` 做為索引鍵,以及您指定的值來建立標籤。
1. 針對**目標閘道類型**,選擇下列其中一項:
+ **虛擬私有閘道** - 選擇現有的虛擬私有閘道,建立新的**虛擬私有閘道** VPN 連接。
+ **傳輸閘道** - 透過選擇現有的傳輸閘道建立新的**傳輸閘道** VPN 連接。如需建立傳輸閘道的詳細資訊,請參閱 *Amazon VPC 傳輸閘道*中的[傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。
+ **Site-to-Site VPN 集中器** - 使用現有的Site-to-Site VPN 集中器或建立新的Site-to-Site VPN 集中器連線。選擇下列其中一項:
+ **現有** - 使用現有的集中器建立新的Site-to-Site VPN 集中器 VPN 連接。
+ **新增** - 輸入Site-to-Site VPN 集中器的選用名稱,然後選擇要與其建立關聯的傳輸閘道。
+ **未關聯** - 建立未連接的 VPN 連接,稍後可透過 Network Manager 主控台或 API 與 Cloud WAN 建立關聯。如需 VPN 連接和 Cloud WAN 的詳細資訊,請參閱*AWS《Cloud WAN 使用者指南*》中的 [AWS Cloud WAN 中的Site-to-site VPN 連接](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html)。
1. 在 **Customer Gateway (客戶閘道)** 中,執行下列事項之一:
+ 若要使用現有的客戶閘道,請選擇**現有**,然後選擇**客戶閘道 ID**。
+ 若要建立新的客戶閘道,請選擇**新增**,然後執行下列動作:
+ 針對 **IP 地址 **,輸入靜態 **IPv4** 或 **IPv6** 地址。
+ (選用) 對於**憑證 ARN**,選擇私有憑證的 ARN (如果使用憑證型身分驗證)。
+ 對於 **BGP ASN**,輸入您客戶閘道的邊界閘道協定 (BGP) 自主系統編號 (ASN)。如需詳細資訊,請參閱[客戶閘道選項](cgw-options.md)。
1. 針對**路由選項**,選擇**動態 (需要 BGP) **或**靜態**。
**注意**
使用 Concentrator 的 Cloud WAN VPN 連線和 VPN 連線僅支援 BGP 路由。這些連線類型不支援靜態路由。
1. 針對**預先共用金鑰儲存**,選擇**標準**或 **Secrets Manager**。預設選擇為**標準**。如需有關使用AWS Secrets Manager的詳細資訊,請參閱 [安全](security.md)。
1. 若為**通道內部 IP 版本**,請選擇 **IPv4** 或 **IPv6**。
1. (選用) 針對**啟用加速**,選擇核取方塊以啟用加速。如需詳細資訊,請參閱[加速 VPN 連接](accelerated-vpn.md)。
如果您啟用加速,我們會建立由 VPN 連接所使用的兩個加速器。需支付額外費用。
1. (選用) 根據您選擇的 IP 版本內的通道,執行下列其中一項操作:
+ IPv4 — 對於**本機 IPv4 網路 CIDR**,請在客戶閘道 (內部部署) 端指定允許透過 VPN 通道通訊的 IPv4 CIDR 範圍。針對**遠端 IPv4 網路 CIDR**,選擇允許透過 VPN 通道通訊的AWS端 CIDR 範圍。這兩個欄位的預設值為 `0.0.0.0/0`。
+ IPv6 — 對於**本機 IPv6 網路 CIDR**,請在客戶閘道 (內部部署) 端指定允許透過 VPN 通道通訊的 IPv6 CIDR 範圍。針對**遠端 IPv6 網路 CIDR**,選擇允許透過 VPN 通道通訊的AWS端 CIDR 範圍。這兩個欄位的預設值為 `::/0`
1. 針對**外部 IP 地址類型**,選擇下列其中一個選項:
+ **公有 IPv4** - (預設) 使用外部通道 IPs的 IPv4 地址。
+ **私有 IPv4** - 使用私有 IPv4 地址在私有網路內使用。
+ **IPv6** - 使用外部通道 IPs的 IPv6 地址。此選項需要您的客戶閘道裝置支援 IPv6 定址。
**注意**
如果您為外部 IP 地址類型選取 **IPv6**,則必須使用 IPv6 地址建立客戶閘道
1. (選用) 對於**通道 1 選項**,您可以為每個通道指定下列資訊:
+ 適用於內部通道 IPv4 位址,且在 `169.254.0.0/16` 範圍中大小為 /30 的 IPv4 CIDR 的區塊。
+ 如果您為**通道內部 IP 版本**指定 **IPv6**,則可為內部通道 IPv6 位址指定在 `fd00::/8` 範圍中且大小為 /126 IPv6 CIDR 的區塊。
+ IKE 預先共享金鑰 (PSK)。支援下列版本:IKEv1 或 IKEv2。
+ 若要編輯通道的進階選項,請選擇**編輯通道選項**。如需詳細資訊,請參閱[VPN 通道選項](VPNTunnels.md)。
+ (選用) 針對**通道活動日誌**選擇**啟用**,以擷取 IPsec 活動和 DPD 通訊協定訊息的日誌訊息。
+ (選用) 選擇**開啟****通道端點生命週期**以控制端點取代的排程。如需通道端點生命週期的詳細資訊,請參閱 [通道端點生命週期](tunnel-endpoint-lifecycle.md)。
1. (選用) 選擇**通道 2 選項**,然後依照先前的步驟設定第二個通道。
1. 選擇 **Create VPN Connection (建立 VPN 連接)**。
# 使用 CLI 或 API 建立 AWS Site-to-Site VPN 傳輸閘道連線
## 使用 CLI 建立與 Transit Gateway 的 VPN 連線
使用 [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html) 命令,並指定 `--transit-gateway-id` 選項的傳輸閘道 ID。
下列範例示範使用 IPv6 外部通道 IPs和 IPv6 內部通道 IPs 建立 VPN 連接:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--transit-gateway-id tgw-12312312312312312 \
--customer-gateway-id cgw-001122334455aabbc \
--options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
回應範例:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-001122334455aabbc",
"Type": "ipsec.1",
"TransitGatewayId": "tgw-12312312312312312",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false,
"OutsideIPAddressType": "Ipv6",
"TunnelInsideIpVersion": "ipv6"
}
}
}
```
## 使用 API 建立與 Transit Gateway 的 VPN 連線
您可以使用 Amazon EC2 API 建立 VPN 連線。本節提供使用 API 建立傳輸閘道 VPN 連線的請求和回應訊息範例。
### 先決條件
使用 API 建立 VPN 連線之前,請確定您已:
+ 已建立和可用的傳輸閘道
+ 使用現場部署裝置詳細資訊設定的客戶閘道
下列範例示範如何使用 `CreateVpnConnection` API 動作建立 VPN 連線:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&TransitGatewayId=tgw-12345678901234567
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
此範例會在指定的傳輸閘道和客戶閘道之間建立具有動態路由 (BGP) 的 VPN 連接。
成功的 API 回應會傳回 VPN 連線詳細資訊:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vpn-1a2b3c4d5e6f78901
pending
cgw-12345678901234567
ipsec.1
tgw-12345678901234567
VPN
false
```
回應包含 VPN 連線 ID、目前狀態和組態詳細資訊。當 AWS 佈建 VPN 通道時,連線一開始會處於「待定」狀態。
# 使用 CLI 或 API 建立 AWS Site-to-Site VPN Cloud WAN 連線
您可以依照下列程序,在內部部署和 AWS Cloud WAN 之間建立Site-to-Site VPN 連線。如需詳細資訊,請參閱《[AWS Cloud WAN 使用者指南》中的 Cloud WAN 中的Site-to-site VPN 連接](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html)。 *AWS *
## 使用 CLI 建立與 Cloud WAN 的 VPN 連線
使用 [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html) 命令來建立稍後會連接到 Cloud WAN 全域網路的 VPN 連線。這會建立未連接的 VPN 連線,之後可以透過 Network Manager 主控台或 API 與 Cloud WAN 建立關聯。
**先決條件**
建立 Cloud WAN VPN 連線之前,請確定您有下列項目:
+ `customer-gateway-id` - 代表您內部部署 VPN 裝置的現有客戶閘道資源 (`cgw-xxxxxxxxx`)。
+ **Cloud WAN 全球網路** - 必須使用適當的網路區段建立和設定 Cloud WAN 全球網路。
+ **BGP 組態** - Cloud WAN VPN 連線需要 BGP 路由;不支援靜態路由。您必須在選項參數`StaticRoutesOnly=false`中設定
此命令會建立 VPN 連線,而不指定目標閘道。連線將處於未連接狀態,稍後可以透過 Network Manager 主控台或 API 與您的 Cloud WAN 全域網路建立關聯。`StaticRoutesOnly=false` 選項會啟用 BGP 路由,這是 Cloud WAN VPN 連接的必要項目,因為不支援靜態路由。
下列範例會建立 Cloud WAN 的未連接 VPN 連接:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-0123456789abcdef0 \
--options StaticRoutesOnly=false
```
回應會傳回下列項目:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-0123456789abcdef0",
"Type": "ipsec.1",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
建立 VPN 連接後,您可以使用 Network Manager 主控台或 `create-site-to-site-vpn-attachment` API 呼叫將其連接到 Cloud WAN 全域網路。
## 使用 API 建立 VPN Cloud WAN 連線
您可以使用 EC2 API 為 Cloud WAN 整合建立 VPN 連線。這涉及進行 `CreateVpnConnection` API 呼叫來建立未連接的 VPN 連接,然後可以與您的 Cloud WAN 全域網路建立關聯。
API 請求會在不指定目標閘道的情況下建立 VPN 連線,使其處於準備好進行 Cloud WAN 整合的未連接狀態。連線使用 BGP 路由,這是 Cloud WAN VPN 連接所需的路由。
下列範例顯示建立 Cloud WAN VPN 連線的 HTTP 請求:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConnection
&Type=ipsec.1
&CustomerGatewayId=cgw-0123456789abcdef0
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
API 會傳回成功回應,其中包含 VPN 連線詳細資訊。當 AWS 佈建 VPN 通道時,連線一開始會處於 `pending` 狀態,此時狀態會變更為 `available`。
```
12345678-1234-1234-1234-123456789012
vpn-0abcdef1234567890
pending
cgw-0123456789abcdef0
ipsec.1
VPN
false
```
**回應詳細資訊**
API 回應提供下列金鑰資訊:
+ **vpnConnectionId** - 用於將其連接到 Cloud WAN 的 VPN 連接的唯一識別符 (例如 `vpn-0abcdef1234567890`)
+ **狀態** - 當 AWS 佈建 VPN 通道時,一開始「待定」,然後在準備好連接時轉換為「可用」
+ **類別** - 顯示「VPN」,指出這是適用於 Cloud WAN 整合的未連接 VPN 連接
+ **staticRoutesOnly** - 設定為「false」以啟用 BGP 路由,這是 Cloud WAN VPN 連接所需的路由
一旦 VPN 連線達到「可用」狀態,您就可以使用 Network Manager `CreateSiteToSiteVpnAttachment` API 或透過 AWS 主控台將其連接至 Cloud WAN 全域網路。
# 使用 AWS Site-to-Site VPN CLI 或 API 建立集中器連線
## 使用 Site-to-Site VPN 集中器連線
建立Site-to-Site VPN 集中器之後,您需要建立從遠端站台到Site-to-Site VPN 集中器的個別 VPN 連線。每個遠端站台都需要自己的 VPN 連接,參考Site-to-Site VPN 集中器 ID。這可讓多個遠端站台共用相同的Site-to-Site VPN 集中器基礎設施,同時為每個站台維護個別且安全的通道。
若要使用Site-to-Site VPN 集中器建立 VPN 連接,請在建立 VPN 連接時指定Site-to-Site VPN 集中器,而非傳輸閘道。下列範例使用Site-to-Site VPN 連接:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-123456789 \
--vpn-concentrator-id vcn-0123456789abcdef0
```
成功的回應會傳回下列項目:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-123456789",
"Type": "ipsec.1",
"VpnConcentratorId": "vcn-0123456789abcdef0",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
## 使用 API Site-to-Site VPN 集中器連線
您可以使用 Amazon EC2 API 建立使用Site-to-Site VPN 集中器的 VPN 連接。本節提供使用 Site-to-Site VPN Concentrator 建立 VPN 連線的請求和回應訊息範例。
使用 API 建立與Site-to-Site VPN 連線之前,請確定您已:
+ 已建立和可用的Site-to-Site VPN 集中器
+ 為您的遠端網站設定的客戶閘道
+ 網路組態允許網站與 AWS 之間的 IPsec 流量
下列範例示範如何使用具有 `CreateVpnConnection` API 動作的 Site-to-Site VPN Concentrator 建立 VPN 連接:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&VpnConcentratorId=vcn-0123456789abcdef0
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
此範例會在指定的Site-to-Site VPN 連線。Site-to-Site VPN Concentrator 做為 AWS 側邊端點,允許多個遠端站台透過集中式中樞進行連線。
成功的 API 回應會傳回包含Site-to-Site VPN 連線詳細資訊:
```
8b73d60f-458f-5gc5-a442-7f9fEXAMPLE
vpn-9z8y7x6w5v4u32109
pending
cgw-12345678901234567
ipsec.1
vcn-0123456789abcdef0
VPN
false
```
回應包含 VPN 連線 ID,並參考Site-to-Site VPN 集中器 ID,而非傳輸閘道 ID。此連線可讓您的遠端站台與其他連線至相同 Site-to-Site VPN Concentrator 的站台通訊,以啟用hub-and-spoke網路拓撲。
# 檢視AWS Site-to-Site VPN連線
## 使用主控台檢視 VPN 連線
您可以使用 AWS 管理主控台檢視 VPN 連線及其詳細資訊。這提供視覺化界面來監控連線狀態、通道運作狀態和組態詳細資訊。
**使用主控台檢視 VPN 連線**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Site-to-Site VPN Connections** (Site-to-Site VPN 連接)。
1. 選取您的 VPN 連接以檢視詳細資訊,包括:
+ 連線狀態和狀態
+ 通道詳細資訊和運作狀態
+ 路由資訊
+ 組態參數
主控台會顯示即時狀態資訊,並可讓您監控通道連線、檢視路由表,以及存取組態詳細資訊以進行故障診斷。
## 使用 CLI 檢視 VPN 連線
使用 AWS CLI 以程式設計方式查詢和擷取 VPN 連線的詳細資訊。此方法可實現自動化、指令碼編寫和與監控工具的整合。
若要查詢目前 AWS 帳戶和區域中的所有 VPN 連線,請執行不含參數的 `describe-vpn-connections`命令。不過,如果您想要檢視特定 VPN 連線的詳細資訊,則需要知道 VPN 連線 ID。
若要擷取特定 VPN 連線的詳細資訊,請將連線 ID 指定為參數。下列範例顯示檢視特定 VPN 連線詳細資訊的請求。
```
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0
```
回應包含 VPN 連線的完整資訊,包括通道選項、路由詳細資訊和目前狀態。
+ `State` - VPN 連接的目前狀態
+ `TunnelOptions` - 每個通道的組態和狀態
+ `OutsideIpAddress` - VPN 通道的公有 IP 地址
+ `Routes` - 連線的路由資訊
顯示金鑰連線詳細資訊的回應摘錄範例:
```
{
"VpnConnections": [
{
"VpnConnectionId": "vpn-1234567890abcdef0",
"State": "available",
"CustomerGatewayId": "cgw-1234567890abcdef0",
"Type": "ipsec.1",
"Options": {
"StaticRoutesOnly": false,
"TunnelOptions": [
{
"OutsideIpAddress": "203.0.113.12",
"TunnelInsideCidr": "169.254.10.0/30",
"PreSharedKey": "example_key_1234567890abcdef0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
},
{
"OutsideIpAddress": "203.0.113.34",
"TunnelInsideCidr": "169.254.11.0/30",
"PreSharedKey": "example_key_0987654321fedcba0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
}
]
}
}
]
}
```
## 使用 API 檢視 VPN 連線
直接對 Amazon EC2 服務進行 API 呼叫,以擷取 VPN 連線資訊。此方法可為自訂應用程式和程式設計整合提供最大的彈性。
`DescribeVpnConnections` API 動作會查詢並傳回一或多個 VPN 連線的詳細資訊。您可以依連線 ID、狀態或其他屬性套用篩選條件,以縮小結果範圍。
以下顯示提供單一 VPN 連線詳細資訊的範例請求。
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20230101/us-east-1/ec2/aws4_request, SignedHeaders=host;x-amz-date, Signature=example_signature
Action=DescribeVpnConnections
&VpnConnectionId.1=vpn-1234567890abcdef0
&Version=2016-11-15
```
回應會傳回該 VPN 連線的詳細資訊。
```
12345678-1234-1234-1234-123456789012
-
vpn-1234567890abcdef0
available
cgw-1234567890abcdef0
ipsec.1
false
-
203.0.113.12
169.254.10.0/30
example_key_1234567890abcdef0
-
203.0.113.34
169.254.11.0/30
example_key_0987654321fedcba0
```