本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用AWS Site-to-Site VPN
您可以使用 Amazon VPC 主控台或AWS CLI運用 Site-to-Site VPN 資源。
**Topics**
+ [建立和管理 VPN 集中器](create-manage-vpn-concentrators.md)
+ [建立 VPN 連接](create-vpn-connection.md)
+ [測試 VPN 連接](HowToTestEndToEnd_Linux.md)
+ [刪除 VPN 連線和閘道](delete-vpn.md)
+ [修改 VPN 連接的目標閘道](modify-vpn-target.md)
+ [修改 VPN 連接選項](modify-vpn-connection-options.md)
+ [修改 VPN 通道選項](modify-vpn-tunnel-options.md)
+ [編輯 VPN 連接的靜態路由](vpn-edit-static-routes.md)
+ [變更 VPN 連接的客戶閘道](change-vpn-cgw.md)
+ [更換已洩露的登入資料](CompromisedCredentials.md)
+ [輪換 VPN 通道端點憑證](rotate-vpn-certificate.md)
+ [使用 Direct Connect 的私有 IP VPN](private-ip-dx.md)
# 建立和管理AWS Site-to-Site VPN集中器
Site-to-Site VPN 集中器可讓您從遠端站台彙總和管理多個 VPN 連線,提供集中式管理。
建立Site-to-Site VPN 集中器後,您可以從 Amazon VPC 主控台中的Site-to-Site VPN 集中器主頁面檢視和管理它們。此儀表板會顯示管理 AWS 和遠端網站之間安全連線的所有作用中 VPN 集中器。
**Topics**
+ [建立 VPN 集中器](create-vpn-concentrator.md)
+ [管理 VPN 集中器標籤](manage-vpn-concentrator-tags.md)
+ [刪除 VPN 集中器](delete-vpn-concentrator.md)
# 建立 AWS Site-to-Site VPN 集中器
使用 Amazon VPC 主控台、 APIs 或 建立集中器 AWS CLI。建立集中器之前,您必須先建立傳輸閘道以與集中器建立關聯。如需建立傳輸閘道的詳細資訊,請參閱《Amazon VPC [Transit Gateway 指南》中的建立](https://docs.aws.amazon.com/vpc/latest/tgw/create-tgw.html)傳輸閘道。 * AWS *
## 使用主控台建立Site-to-Site VPN 集中器
若要使用 AWS 管理主控台建立Site-to-Site VPN 集中器,請遵循下列步驟:
**使用主控台建立Site-to-Site VPN 集中器**
1. 開啟位於 https://[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**Site-to-Site VPN 集中器**。
1. 選擇**建立Site-to-Site VPN 集中器**。
1. (選用) 在**名稱標籤**中,輸入Site-to-Site VPN 集中器的名稱。
1. 針對**傳輸閘道**,選取現有的傳輸閘道。
1. (選用) 新增標籤以協助識別和組織您的Site-to-Site VPN 集中器。
1. 選擇 **Add new tag (新增標籤)**。
1. 針對**金鑰**,輸入標籤金鑰 (例如,**Name**)。
1. 針對**值**,輸入標籤值 (例如,**Production-VPN-Concentrator**)。
1. 重複上述步驟,視需要新增其他標籤。
1. 選擇**建立Site-to-Site VPN 集中器**。
建立之後,Site-to-Site VPN 集中器在佈建時會處於 `pending` 狀態。準備就緒後,狀態會變更為 `available`,而且您可以開始建立使用Site-to-Site VPN 連線。
## 使用 Site-to-Site VPN 集中器
使用 Site-to-Site VPN 集中器之前,請確定您有下列項目:
+ 您 AWS 帳戶中現有的 Transit Gateway
+ 建立Site-to-Site VPN 集中器的適當 IAM 許可
+ 您要連接 Concentrator 的 Transit Gateway ID
下列範例會為指定的傳輸閘道建立Site-to-Site VPN 集中器:
```
aws ec2 create-vpn-concentrator --transit-gateway-id tgw-123456789
```
以下顯示成功的回應:
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "pending",
"TransitGatewayId": "tgw-123456789",
"CreationTime": "2025-09-29T17:26:31.000Z",
"Tags": []
}
}
```
## 使用 API 建立Site-to-Site VPN 集中器
您可以使用 CreateVpnConcentrator API Site-to-Site VPN 集中器。 CreateVpnConcentrators
API 接受下列金鑰參數:
`TransitGatewayId`
要連接Site-to-Site VPN 集中器的傳輸閘道 ID。
`TagSpecification`
要指派給 Site-to-Site VPN Concentrator 以進行資源組織和計費的標籤。
下列範例示範如何建立連接到傳輸閘道的Site-to-Site VPN 集中器:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConcentrator
&Version=2016-11-15
&TransitGatewayId=tgw-0123456789abcdef0
&TagSpecification.1.ResourceType=vpn-concentrator
&TagSpecification.1.Tag.1.Key=Name
&TagSpecification.1.Tag.1.Value=MyVpnConcentrator
```
成功建立後,API 會傳回新建立Site-to-Site VPN 集中器的詳細資訊:
```
12345678-1234-1234-1234-123456789012
vcn-0123456789abcdef0
pending
tgw-0123456789abcdef0
2024-01-15T10:30:00.000Z
-
Name
MyVpnConcentrator
```
# 管理AWS Site-to-Site VPN集中器標籤
標籤是索引鍵/值對,可協助您組織和管理Site-to-Site VPN 集中器。您可以使用標籤,依用途、環境、成本中心或任何其他對組織有意義的條件來分類Site-to-Site VPN 集中器。
## 使用主控台管理標籤
您可以使用AWS管理主控台新增或刪除Site-to-Site VPN 集中器的標籤。
**將標籤新增至Site-to-Site VPN 集中器**
1. 開啟位於 https://[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**Site-to-Site VPN 集中器**。
1. 選取您要標記的Site-to-Site VPN 集中器。
1. 選擇 **Tags** (標籤) 索引標籤。
1. 選擇**管理標籤**。
1. 選擇 **Add new tag** (新增標籤)。
1. 針對**金鑰**,輸入標籤金鑰 (例如,**Environment**)。
1. 針對**值**,輸入標籤值 (例如,**Production**)。
1. 選擇**儲存變更**。
**從Site-to-Site VPN 集中器刪除標籤**
1. 開啟位於 https://[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**Site-to-Site VPN 集中器。**
1. 選取您要從中移除標籤Site-to-Site VPN 集中器。
1. 選擇 **Tags** (標籤) 索引標籤。
1. 選擇**管理標籤**。
1. 針對您要移除的每個標籤,選擇**移除**。
1. 選擇**儲存變更**。
## 使用 CLI 管理標籤
您可以使用 新增、修改或移除標籤AWS CLI。
**新增標籤**
下列範例會將標籤新增至Site-to-Site VPN 集中器:
```
aws ec2 create-tags --resources vcn-0123456789abcdef0 --tags Key=Environment,Value=Production Key=Team,Value=NetworkOps
```
此命令在成功時不會傳回任何輸出。
**檢視標籤**
下列範例說明 Site-to-Site VPN Concentrator 的標籤:
```
aws ec2 describe-tags --filters "Name=resource-id,Values=vcn-0123456789abcdef0"
```
會傳回下列回應:
```
{
"Tags": [
{
"Key": "Environment",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "Production"
},
{
"Key": "Team",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "NetworkOps"
}
]
}
```
**移除標籤**
下列範例會從Site-to-Site VPN 集中器移除標籤:
```
aws ec2 delete-tags --resources vcn-0123456789abcdef0 --tags Key=Environment Key=Team
```
此命令在成功時不會傳回任何輸出。
## 使用 API 管理標籤
您可以使用 Amazon EC2 API 操作,以程式設計方式管理Site-to-Site VPN 集中器標籤。
**CreateTags**
使用 `CreateTags`操作來新增或更新標籤:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.1.Value=Production
&Tag.2.Key=Team
&Tag.2.Value=NetworkOps
&Version=2016-11-15
```
會傳回下列回應:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
**DescribeTags**
使用 `DescribeTags`操作擷取標籤:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DescribeTags
&Filter.1.Name=resource-id
&Filter.1.Value.1=vcn-0123456789abcdef0
&Version=2016-11-15
```
會傳回下列回應:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
-
vcn-0123456789abcdef0
vpn-concentrator
Environment
Production
-
vcn-0123456789abcdef0
vpn-concentrator
Team
NetworkOps
```
**DeleteTags**
使用 `DeleteTags`操作移除標籤:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.2.Key=Team
&Version=2016-11-15
```
會傳回下列回應:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
# 刪除 AWS Site-to-Site VPN 集中器
當您不再需要Site-to-Site VPN 集中器時,您可以將其刪除以停止產生費用。刪除Site-to-Site VPN 集中器會永久移除它以及所有相關聯的組態。
## 先決條件
刪除Site-to-Site VPN 集中器之前,請確定下列事項:
+ 與Site-to-Site VPN 連線都會遭到刪除。
+ 您擁有刪除Site-to-Site VPN 集中器 () 的必要許可`ec2:DeleteVpnConcentrator`。
## 使用主控台刪除Site-to-Site VPN 集中器
**刪除Site-to-Site VPN 集中器**
1. 開啟位於 https://[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**Site-to-Site集中器**。
1. 選取您要刪除的Site-to-Site VPN 集中器。
1. 選擇**動作**,然後選擇**刪除Site-to-Site VPN 集中器**。
1. 在確認對話方塊中,輸入 **delete** 以確認刪除。
1. 選擇 **刪除**。
## 使用 CLI 刪除Site-to-Site VPN 集中器
使用 `delete-vpn-concentrator`命令來刪除Site-to-Site VPN 集中器。您需要 `vpn-concentrator-id`才能將其刪除。
下列範例會刪除Site-to-Site VPN 集中器:
```
aws ec2 delete-vpn-concentrator --vpn-concentrator-id vcn-0123456789abcdef0
```
會傳回下列回應:
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "deleting",
"Message": "The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account."
}
}
```
## 使用 API Site-to-Site VPN 集中器
使用 `DeleteVpnConcentrator`操作來刪除Site-to-Site VPN 集中器。您需要 `VpnConcentratorId`才能將其刪除。
下列範例會刪除Site-to-Site VPN 集中器:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteVpnConcentrator
&VpnConcentratorId=vcn-0123456789abcdef0
&Version=2016-11-15
```
會傳回下列回應:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vcn-0123456789abcdef0
deleting
The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account.
```
# 建立AWS Site-to-Site VPN連線
您可以建立連接到傳輸閘道或 Cloud WAN 全域網路的Site-to-Site VPN 連接。這兩種連接類型都支援 IPv4 和 IPv6 通訊協定,並且可以選擇性地使用Site-to-Site VPN 集中器以經濟實惠的方式連接多個遠端站台。
## 使用主控台建立 VPN 連線
**使用主控台建立 VPN 連線**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選擇 **Create VPN Connection (建立 VPN 連接)**。
1. (選用) 針對**名稱標籤**,輸入連接的名稱。執行此作業會使用 `Name` 做為索引鍵,以及您指定的值來建立標籤。
1. 針對**目標閘道類型**,選擇下列其中一項:
+ **虛擬私有閘道** - 選擇現有的虛擬私有閘道,建立新的**虛擬私有閘道** VPN 連接。
+ **傳輸閘道** - 透過選擇現有的傳輸閘道建立新的**傳輸閘道** VPN 連接。如需建立傳輸閘道的詳細資訊,請參閱 *Amazon VPC 傳輸閘道*中的[傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。
+ **Site-to-Site VPN 集中器** - 使用現有的Site-to-Site VPN 集中器或建立新的Site-to-Site VPN 集中器連線。選擇下列其中一項:
+ **現有** - 使用現有的集中器建立新的Site-to-Site VPN 集中器 VPN 連接。
+ **新增** - 輸入Site-to-Site VPN 集中器的選用名稱,然後選擇要與其建立關聯的傳輸閘道。
+ **未關聯** - 建立未連接的 VPN 連接,稍後可透過 Network Manager 主控台或 API 與 Cloud WAN 建立關聯。如需 VPN 連接和 Cloud WAN 的詳細資訊,請參閱*AWS《Cloud WAN 使用者指南*》中的 [AWS Cloud WAN 中的Site-to-site VPN 連接](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html)。
1. 在 **Customer Gateway (客戶閘道)** 中,執行下列事項之一:
+ 若要使用現有的客戶閘道,請選擇**現有**,然後選擇**客戶閘道 ID**。
+ 若要建立新的客戶閘道,請選擇**新增**,然後執行下列動作:
+ 針對 **IP 地址 **,輸入靜態 **IPv4** 或 **IPv6** 地址。
+ (選用) 對於**憑證 ARN**,選擇私有憑證的 ARN (如果使用憑證型身分驗證)。
+ 對於 **BGP ASN**,輸入您客戶閘道的邊界閘道協定 (BGP) 自主系統編號 (ASN)。如需詳細資訊,請參閱[客戶閘道選項](cgw-options.md)。
1. 針對**路由選項**,選擇**動態 (需要 BGP) **或**靜態**。
**注意**
使用 Concentrator 的 Cloud WAN VPN 連線和 VPN 連線僅支援 BGP 路由。這些連線類型不支援靜態路由。
1. 針對**預先共用金鑰儲存**,選擇**標準**或 **Secrets Manager**。預設選擇為**標準**。如需有關使用AWS Secrets Manager的詳細資訊,請參閱 [安全](security.md)。
1. 若為**通道內部 IP 版本**,請選擇 **IPv4** 或 **IPv6**。
1. (選用) 針對**啟用加速**,選擇核取方塊以啟用加速。如需詳細資訊,請參閱[加速 VPN 連接](accelerated-vpn.md)。
如果您啟用加速,我們會建立由 VPN 連接所使用的兩個加速器。需支付額外費用。
1. (選用) 根據您選擇的 IP 版本內的通道,執行下列其中一項操作:
+ IPv4 — 對於**本機 IPv4 網路 CIDR**,請在客戶閘道 (內部部署) 端指定允許透過 VPN 通道通訊的 IPv4 CIDR 範圍。針對**遠端 IPv4 網路 CIDR**,選擇允許透過 VPN 通道通訊的AWS端 CIDR 範圍。這兩個欄位的預設值為 `0.0.0.0/0`。
+ IPv6 — 對於**本機 IPv6 網路 CIDR**,請在客戶閘道 (內部部署) 端指定允許透過 VPN 通道通訊的 IPv6 CIDR 範圍。針對**遠端 IPv6 網路 CIDR**,選擇允許透過 VPN 通道通訊的AWS端 CIDR 範圍。這兩個欄位的預設值為 `::/0`
1. 針對**外部 IP 地址類型**,選擇下列其中一個選項:
+ **公有 IPv4** - (預設) 使用外部通道 IPs的 IPv4 地址。
+ **私有 IPv4** - 使用私有 IPv4 地址在私有網路內使用。
+ **IPv6** - 使用外部通道 IPs的 IPv6 地址。此選項需要您的客戶閘道裝置支援 IPv6 定址。
**注意**
如果您為外部 IP 地址類型選取 **IPv6**,則必須使用 IPv6 地址建立客戶閘道
1. (選用) 對於**通道 1 選項**,您可以為每個通道指定下列資訊:
+ 適用於內部通道 IPv4 位址,且在 `169.254.0.0/16` 範圍中大小為 /30 的 IPv4 CIDR 的區塊。
+ 如果您為**通道內部 IP 版本**指定 **IPv6**,則可為內部通道 IPv6 位址指定在 `fd00::/8` 範圍中且大小為 /126 IPv6 CIDR 的區塊。
+ IKE 預先共享金鑰 (PSK)。支援下列版本:IKEv1 或 IKEv2。
+ 若要編輯通道的進階選項,請選擇**編輯通道選項**。如需詳細資訊,請參閱[VPN 通道選項](VPNTunnels.md)。
+ (選用) 針對**通道活動日誌**選擇**啟用**,以擷取 IPsec 活動和 DPD 通訊協定訊息的日誌訊息。
+ (選用) 選擇**開啟****通道端點生命週期**以控制端點取代的排程。如需通道端點生命週期的詳細資訊,請參閱 [通道端點生命週期](tunnel-endpoint-lifecycle.md)。
1. (選用) 選擇**通道 2 選項**,然後依照先前的步驟設定第二個通道。
1. 選擇 **Create VPN Connection (建立 VPN 連接)**。
# 使用 CLI 或 API 建立 AWS Site-to-Site VPN 傳輸閘道連線
## 使用 CLI 建立與 Transit Gateway 的 VPN 連線
使用 [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html) 命令,並指定 `--transit-gateway-id` 選項的傳輸閘道 ID。
下列範例示範使用 IPv6 外部通道 IPs和 IPv6 內部通道 IPs 建立 VPN 連接:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--transit-gateway-id tgw-12312312312312312 \
--customer-gateway-id cgw-001122334455aabbc \
--options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
回應範例:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-001122334455aabbc",
"Type": "ipsec.1",
"TransitGatewayId": "tgw-12312312312312312",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false,
"OutsideIPAddressType": "Ipv6",
"TunnelInsideIpVersion": "ipv6"
}
}
}
```
## 使用 API 建立與 Transit Gateway 的 VPN 連線
您可以使用 Amazon EC2 API 建立 VPN 連線。本節提供使用 API 建立傳輸閘道 VPN 連線的請求和回應訊息範例。
### 先決條件
使用 API 建立 VPN 連線之前,請確定您已:
+ 已建立和可用的傳輸閘道
+ 使用現場部署裝置詳細資訊設定的客戶閘道
下列範例示範如何使用 `CreateVpnConnection` API 動作建立 VPN 連線:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&TransitGatewayId=tgw-12345678901234567
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
此範例會在指定的傳輸閘道和客戶閘道之間建立具有動態路由 (BGP) 的 VPN 連接。
成功的 API 回應會傳回 VPN 連線詳細資訊:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vpn-1a2b3c4d5e6f78901
pending
cgw-12345678901234567
ipsec.1
tgw-12345678901234567
VPN
false
```
回應包含 VPN 連線 ID、目前狀態和組態詳細資訊。當 AWS 佈建 VPN 通道時,連線一開始會處於「待定」狀態。
# 使用 CLI 或 API 建立 AWS Site-to-Site VPN Cloud WAN 連線
您可以依照下列程序,在內部部署和 AWS Cloud WAN 之間建立Site-to-Site VPN 連線。如需詳細資訊,請參閱《[AWS Cloud WAN 使用者指南》中的 Cloud WAN 中的Site-to-site VPN 連接](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html)。 *AWS *
## 使用 CLI 建立與 Cloud WAN 的 VPN 連線
使用 [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html) 命令來建立稍後會連接到 Cloud WAN 全域網路的 VPN 連線。這會建立未連接的 VPN 連線,之後可以透過 Network Manager 主控台或 API 與 Cloud WAN 建立關聯。
**先決條件**
建立 Cloud WAN VPN 連線之前,請確定您有下列項目:
+ `customer-gateway-id` - 代表您內部部署 VPN 裝置的現有客戶閘道資源 (`cgw-xxxxxxxxx`)。
+ **Cloud WAN 全球網路** - 必須使用適當的網路區段建立和設定 Cloud WAN 全球網路。
+ **BGP 組態** - Cloud WAN VPN 連線需要 BGP 路由;不支援靜態路由。您必須在選項參數`StaticRoutesOnly=false`中設定
此命令會建立 VPN 連線,而不指定目標閘道。連線將處於未連接狀態,稍後可以透過 Network Manager 主控台或 API 與您的 Cloud WAN 全域網路建立關聯。`StaticRoutesOnly=false` 選項會啟用 BGP 路由,這是 Cloud WAN VPN 連接的必要項目,因為不支援靜態路由。
下列範例會建立 Cloud WAN 的未連接 VPN 連接:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-0123456789abcdef0 \
--options StaticRoutesOnly=false
```
回應會傳回下列項目:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-0123456789abcdef0",
"Type": "ipsec.1",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
建立 VPN 連接後,您可以使用 Network Manager 主控台或 `create-site-to-site-vpn-attachment` API 呼叫將其連接到 Cloud WAN 全域網路。
## 使用 API 建立 VPN Cloud WAN 連線
您可以使用 EC2 API 為 Cloud WAN 整合建立 VPN 連線。這涉及進行 `CreateVpnConnection` API 呼叫來建立未連接的 VPN 連接,然後可以與您的 Cloud WAN 全域網路建立關聯。
API 請求會在不指定目標閘道的情況下建立 VPN 連線,使其處於準備好進行 Cloud WAN 整合的未連接狀態。連線使用 BGP 路由,這是 Cloud WAN VPN 連接所需的路由。
下列範例顯示建立 Cloud WAN VPN 連線的 HTTP 請求:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConnection
&Type=ipsec.1
&CustomerGatewayId=cgw-0123456789abcdef0
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
API 會傳回成功回應,其中包含 VPN 連線詳細資訊。當 AWS 佈建 VPN 通道時,連線一開始會處於 `pending` 狀態,此時狀態會變更為 `available`。
```
12345678-1234-1234-1234-123456789012
vpn-0abcdef1234567890
pending
cgw-0123456789abcdef0
ipsec.1
VPN
false
```
**回應詳細資訊**
API 回應提供下列金鑰資訊:
+ **vpnConnectionId** - 用於將其連接到 Cloud WAN 的 VPN 連接的唯一識別符 (例如 `vpn-0abcdef1234567890`)
+ **狀態** - 當 AWS 佈建 VPN 通道時,一開始「待定」,然後在準備好連接時轉換為「可用」
+ **類別** - 顯示「VPN」,指出這是適用於 Cloud WAN 整合的未連接 VPN 連接
+ **staticRoutesOnly** - 設定為「false」以啟用 BGP 路由,這是 Cloud WAN VPN 連接所需的路由
一旦 VPN 連線達到「可用」狀態,您就可以使用 Network Manager `CreateSiteToSiteVpnAttachment` API 或透過 AWS 主控台將其連接至 Cloud WAN 全域網路。
# 使用 AWS Site-to-Site VPN CLI 或 API 建立集中器連線
## 使用 Site-to-Site VPN 集中器連線
建立Site-to-Site VPN 集中器之後,您需要建立從遠端站台到Site-to-Site VPN 集中器的個別 VPN 連線。每個遠端站台都需要自己的 VPN 連接,參考Site-to-Site VPN 集中器 ID。這可讓多個遠端站台共用相同的Site-to-Site VPN 集中器基礎設施,同時為每個站台維護個別且安全的通道。
若要使用Site-to-Site VPN 集中器建立 VPN 連接,請在建立 VPN 連接時指定Site-to-Site VPN 集中器,而非傳輸閘道。下列範例使用Site-to-Site VPN 連接:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-123456789 \
--vpn-concentrator-id vcn-0123456789abcdef0
```
成功的回應會傳回下列項目:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-123456789",
"Type": "ipsec.1",
"VpnConcentratorId": "vcn-0123456789abcdef0",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
## 使用 API Site-to-Site VPN 集中器連線
您可以使用 Amazon EC2 API 建立使用Site-to-Site VPN 集中器的 VPN 連接。本節提供使用 Site-to-Site VPN Concentrator 建立 VPN 連線的請求和回應訊息範例。
使用 API 建立與Site-to-Site VPN 連線之前,請確定您已:
+ 已建立和可用的Site-to-Site VPN 集中器
+ 為您的遠端網站設定的客戶閘道
+ 網路組態允許網站與 AWS 之間的 IPsec 流量
下列範例示範如何使用具有 `CreateVpnConnection` API 動作的 Site-to-Site VPN Concentrator 建立 VPN 連接:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&VpnConcentratorId=vcn-0123456789abcdef0
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
此範例會在指定的Site-to-Site VPN 連線。Site-to-Site VPN Concentrator 做為 AWS 側邊端點,允許多個遠端站台透過集中式中樞進行連線。
成功的 API 回應會傳回包含Site-to-Site VPN 連線詳細資訊:
```
8b73d60f-458f-5gc5-a442-7f9fEXAMPLE
vpn-9z8y7x6w5v4u32109
pending
cgw-12345678901234567
ipsec.1
vcn-0123456789abcdef0
VPN
false
```
回應包含 VPN 連線 ID,並參考Site-to-Site VPN 集中器 ID,而非傳輸閘道 ID。此連線可讓您的遠端站台與其他連線至相同 Site-to-Site VPN Concentrator 的站台通訊,以啟用hub-and-spoke網路拓撲。
# 檢視AWS Site-to-Site VPN連線
## 使用主控台檢視 VPN 連線
您可以使用 AWS 管理主控台檢視 VPN 連線及其詳細資訊。這提供視覺化界面來監控連線狀態、通道運作狀態和組態詳細資訊。
**使用主控台檢視 VPN 連線**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Site-to-Site VPN Connections** (Site-to-Site VPN 連接)。
1. 選取您的 VPN 連接以檢視詳細資訊,包括:
+ 連線狀態和狀態
+ 通道詳細資訊和運作狀態
+ 路由資訊
+ 組態參數
主控台會顯示即時狀態資訊,並可讓您監控通道連線、檢視路由表,以及存取組態詳細資訊以進行故障診斷。
## 使用 CLI 檢視 VPN 連線
使用 AWS CLI 以程式設計方式查詢和擷取 VPN 連線的詳細資訊。此方法可實現自動化、指令碼編寫和與監控工具的整合。
若要查詢目前 AWS 帳戶和區域中的所有 VPN 連線,請執行不含參數的 `describe-vpn-connections`命令。不過,如果您想要檢視特定 VPN 連線的詳細資訊,則需要知道 VPN 連線 ID。
若要擷取特定 VPN 連線的詳細資訊,請將連線 ID 指定為參數。下列範例顯示檢視特定 VPN 連線詳細資訊的請求。
```
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0
```
回應包含 VPN 連線的完整資訊,包括通道選項、路由詳細資訊和目前狀態。
+ `State` - VPN 連接的目前狀態
+ `TunnelOptions` - 每個通道的組態和狀態
+ `OutsideIpAddress` - VPN 通道的公有 IP 地址
+ `Routes` - 連線的路由資訊
顯示金鑰連線詳細資訊的回應摘錄範例:
```
{
"VpnConnections": [
{
"VpnConnectionId": "vpn-1234567890abcdef0",
"State": "available",
"CustomerGatewayId": "cgw-1234567890abcdef0",
"Type": "ipsec.1",
"Options": {
"StaticRoutesOnly": false,
"TunnelOptions": [
{
"OutsideIpAddress": "203.0.113.12",
"TunnelInsideCidr": "169.254.10.0/30",
"PreSharedKey": "example_key_1234567890abcdef0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
},
{
"OutsideIpAddress": "203.0.113.34",
"TunnelInsideCidr": "169.254.11.0/30",
"PreSharedKey": "example_key_0987654321fedcba0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
}
]
}
}
]
}
```
## 使用 API 檢視 VPN 連線
直接對 Amazon EC2 服務進行 API 呼叫,以擷取 VPN 連線資訊。此方法可為自訂應用程式和程式設計整合提供最大的彈性。
`DescribeVpnConnections` API 動作會查詢並傳回一或多個 VPN 連線的詳細資訊。您可以依連線 ID、狀態或其他屬性套用篩選條件,以縮小結果範圍。
以下顯示提供單一 VPN 連線詳細資訊的範例請求。
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20230101/us-east-1/ec2/aws4_request, SignedHeaders=host;x-amz-date, Signature=example_signature
Action=DescribeVpnConnections
&VpnConnectionId.1=vpn-1234567890abcdef0
&Version=2016-11-15
```
回應會傳回該 VPN 連線的詳細資訊。
```
12345678-1234-1234-1234-123456789012
-
vpn-1234567890abcdef0
available
cgw-1234567890abcdef0
ipsec.1
false
-
203.0.113.12
169.254.10.0/30
example_key_1234567890abcdef0
-
203.0.113.34
169.254.11.0/30
example_key_0987654321fedcba0
```
# 測試 AWS Site-to-Site VPN 連線
建立 AWS Site-to-Site VPN 連線並設定客戶閘道之後,您可以啟動執行個體,並透過 ping 執行個體來測試連線。
開始之前,請確認以下事項:
+ 使用會回應 ping 請求的 AMI。建議您使用 Amazon Linux AMI。
+ 在您的 VPC 中設定任何安全群組或網路 ACL,篩選執行個體的流量,以允許傳入和傳出 ICMP 流量。這可讓執行個體接收 `ping` 請求。
+ 如果您使用的是執行 Windows Server 的執行個體,請連接至執行個體,並在 Windows 防火牆上啟用傳入 ICMPv4,才能 ping 執行個體。
+ (靜態路由) 確定客戶閘道裝置具有連往 VPC 的靜態路由,而且您的 VPN 連線是具有靜態路由,以便流量可以回到您的客戶閘道裝置。
+ (動態路由) 確定已建立客戶閘道裝置上的 BGP 狀態。BGP 對等互連工作階段大約需要 30 秒的時間才能建立。確定路由已經 BGP 正確公告且顯示在子網路路由表中,這樣流量才能回到您的客戶閘道。確定兩個通道均已使用 BGP 路由來設定。
+ 確定您已在 VPN 連接的子網路路由表中設定路由。
**測試連線**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 在儀表板上,選擇**啟動執行個體**。
1. (選用) 對於**名稱**,輸入執行個體的描述性名稱。
1. 在**應用程式和作業系統映像 (Amazon Machine Image)** 下,選擇**快速入門**,然後選擇執行個體的作業系統。
1. 針對**金鑰對名稱**,選擇現有的金鑰對或建立新的金鑰對。
1. 對於**網路設定**,請選擇**選取現有的安全群組**,然後選擇您已設定的安全群組。
1. 在 **Summary** (摘要) 面板中,選擇 **Launch instance** (啟動執行個體)。
1. 待執行個體執行之後,取得其私有 IP 地址 (例如 10.0.0.4)。Amazon EC2 主控台顯示的執行個體詳細資訊將包含該地址。
1. 從客戶閘道裝置後端之網路中的電腦,使用 **ping** 命令加上執行個體的私有 IP 地址。
```
ping 10.0.0.4
```
成功回應類似如下。
```
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```
若要測試通道容錯移轉,您可以暫時停用客戶閘道裝置上的其中一個通道,然後重複此步驟。您無法從 VPN 連接的 AWS 端停用通道。
1. 若要測試從 AWS 到內部部署網路的連線,您可以使用 SSH 或 RDP 從網路連線至執行個體。然後,您可以使用網路中另一部電腦的私人 IP 位址執行 `ping` 命令,以確認連線的雙方都可以發出和接收請求。
如需如何連線至 Linux 執行個體的詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[連線至 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-linux-instance.html)。如需如何連線至 Windows 執行個體的詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[連線至 Windows 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connecting_to_windows_instance.html)。
# 刪除 AWS Site-to-Site VPN 連線和閘道
如果您不再需要 AWS Site-to-Site VPN 連線,則可以將其刪除。當您刪除站台對站台 VPN 連接時,我們不會刪除與站台對站台 VPN 連接相關聯的客戶閘道或虛擬私有閘道。您可以刪除不再需要的客戶閘道和虛擬私有閘道。
**警告**
如果您刪除站台對站台 VPN 連接,然後建立新的連接,您必須下載新的組態檔案,然後重新設定客戶閘道裝置。
**Topics**
+ [刪除 VPN 連接](delete-vpn-connection.md)
+ [刪除客戶閘道](delete-cgw.md)
+ [分離和刪除虛擬私有閘道](delete-vgw.md)
# 刪除 AWS Site-to-Site VPN 連線
刪除站台對站台 VPN 連接之後,它會在一段時間內保持顯示並處於 `deleted` 狀態,然後系統會自動移除該項目。
**使用主控台刪除 VPN 連接**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選取 VPN 連接,然後選擇**動作**、**刪除 VPN 連接**。
1. 出現確認提示時,請輸入 **delete**,然後選擇 **Delete** (刪除)。
**使用命令列或 API 刪除 VPN 連接**
+ [DeleteVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnection.html) (Amazon EC2 Query API)
+ [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html) (AWS CLI)
+ [Remove-EC2VpnConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnection.html) (AWS Tools for Windows PowerShell)
# 刪除 AWS Site-to-Site VPN 客戶閘道
您可以刪除不再需要的客戶閘道。您不能刪除站台對站台 VPN 連接中正在使用的客戶閘道。
**使用主控台刪除客戶閘道**
1. 在導覽窗格中,選擇**客戶閘道**。
1. 選取客戶閘道,然後選擇**動作**、**刪除客戶閘道**。
1. 出現確認提示時,請輸入 **delete**,然後選擇 **Delete** (刪除)。
**使用命令列或 API 刪除客戶閘道**
+ [DeleteCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteCustomerGateway.html) (Amazon EC2 Query API)
+ [delete-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-customer-gateway.html) (AWS CLI)
+ [Remove-EC2CustomerGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2CustomerGateway.html) (AWS Tools for Windows PowerShell)
# 在 中分離和刪除虛擬私有閘道 AWS Site-to-Site VPN
您可以分離不再需要用於 VPC 的虛擬私有閘道。
**使用主控台分離虛擬私有閘道**
1. 在導覽窗格中,選擇**虛擬私有閘道**。
1. 選取虛擬私有閘道,然後選擇 **Actions (動作)**、**Detach from VPC (自 VPC 分離)**。
1. 選擇**分離虛擬私有閘道**。
您可以刪除不再需要的分離虛擬私有閘道。您不能刪除仍然連接至 VPC 的虛擬私有閘道。刪除虛擬私有閘道之後,它會在一段時間內保持顯示並處於 `deleted` 狀態,然後系統會自動移除該項目。
**使用主控台刪除虛擬私有閘道**
1. 在導覽窗格中,選擇**虛擬私有閘道**。
1. 選取虛擬私有閘道,然後選擇**動作**、**刪除虛擬私有閘道**。
1. 出現確認提示時,請輸入 **delete**,然後選擇 **Delete** (刪除)。
**使用命令列或 API 分離虛擬私有閘道**
+ [DetachVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DetachVpnGateway.html) (Amazon EC2 Query API)
+ [detach-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-vpn-gateway.html) (AWS CLI)
+ [Dismount-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Dismount-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
**使用命令列或 API 刪除虛擬私有閘道**
+ [DeleteVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnGateway.html) (Amazon EC2 Query API)
+ [delete-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-gateway.html) (AWS CLI)
+ [Remove-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
# 修改 AWS Site-to-Site VPN 連線的目標閘道
您可以修改 AWS Site-to-Site VPN 連線的目標閘道。有以下遷移選項可用:
+ 傳輸閘道現有的虛擬私有閘道
+ 現有的虛擬私有閘道到另一個虛擬私有閘道
+ 其他傳輸閘道現有的傳輸閘道
+ 虛擬私有閘道現有的傳輸閘道
修改目標閘道之後,在我們佈建新端點時,您的站台對站台 VPN 連接將暫時無法使用。
以下任務可協助您完成遷移到新的閘道。
**Topics**
+ [步驟 1:建立新的目標閘道](#step-create-gateway)
+ [步驟 2:刪除靜態路由 (視情況)](#step-update-staic-route)
+ [步驟 3:遷移到新的閘道](#step-migrate-gateway)
+ [步驟 4:更新 VPC 路由表](#step-update-routing)
+ [步驟 5:更新目標閘道路由 (視情況)](#step-update-transit-gateway-routing)
+ [步驟 6:更新客戶閘道 ASN (視情況)](#step-update-customer-gateway-asn)
## 步驟 1:建立新的目標閘道
遷移到新的目標閘道之前,您必須先設定新的閘道。如需有關新增虛擬私有閘道的詳細資訊,請參閱[建立虛擬私有閘道](SetUpVPNConnections.md#vpn-create-vpg)。如需新增傳輸閘道的詳細資訊,請參閱《Amazon VPC 傳輸閘道》**中的[建立傳輸閘](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw)。
如果新的目標閘道是傳輸閘道,請將 VPC 連接至傳輸閘道。如需 VPC 連接的相關資訊,請參閱《Amazon VPC 傳輸閘道》**中的[連接到 VPC 的傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html)。
當您將目標從虛擬私有閘道修改為傳輸閘道時,您可以選擇將傳輸閘道 ASN 設定為和虛擬私有閘道 ASN 相同的值。如果您選擇使用不同的 ASN,則必須將客戶閘道裝置上的 ASN 設為傳輸閘道 ASN。如需詳細資訊,請參閱[步驟 6:更新客戶閘道 ASN (視情況)](#step-update-customer-gateway-asn)。
## 步驟 2:刪除靜態路由 (視情況)
當您從使用靜態路由的虛擬私有閘道遷移到傳輸閘道時,這是必要的步驟。
您必須先刪除靜態路由,再遷移到新的閘道。
**提示**
刪除靜態路由之前,請保留其副本。在 VPN 連接遷移完成之後,您需要將這些路由新增回傳輸閘道。
**從路由表刪除路由**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Route Tables** (路由表),然後選取路由表。
1. 在 **Routes (路由)** 標籤中,選擇 **Edit routes (編輯路由)**。
1. 選擇**移除**虛擬私有閘道的靜態路由。
1. 選擇**儲存變更**。
## 步驟 3:遷移到新的閘道
**如要變更目標閘道**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選取 VPN 連接,然後選擇**動作**、**修改 VPN 連接**。
1. 對於**目標類型**,選擇閘道類型。
1. 如果新的目標閘道為虛擬私有閘道,請選擇 **VPN 閘道**。
1. 如果新的目標閘道為傳輸閘道,請選擇**傳輸閘道**。
1. 選擇**儲存變更**。
**使用命令列或 API 修改站台對站台 VPN 連接**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) (Amazon EC2 查詢 API)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html) (AWS CLI)
## 步驟 4:更新 VPC 路由表
遷移到新的閘道後,您可能需要修改 VPC 路由表。如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)。
下列表格提供了修改 VPN 閘道目標後要進行的 VPC 路由表更新之相關資訊。
| 現有的閘道 | 新閘道 | VPC 路由表變更 |
| --- | --- | --- |
| 含傳播路由的虛擬私有閘道 | 轉換閘道 | 新增包含傳輸閘道 ID 的路由。 |
| 含傳播路由的虛擬私有閘道 | 含傳播路由的虛擬私有閘道 | 不需要採取行動。 |
| 含傳播路由的虛擬私有閘道 | 含靜態路由的虛擬私有閘道 | 新增包含新虛擬私有閘道 ID 的路由。 |
| 含靜態路由的虛擬私有閘道 | Transit Gateway | 將包含虛擬私有閘道 ID 的路由更新為傳輸閘道 ID。 |
| 含靜態路由的虛擬私有閘道 | 含靜態路由的虛擬私有閘道 | 將包含虛擬私有閘道 ID 的路由更新為新虛擬私有閘道 ID。 |
| 含靜態路由的虛擬私有閘道 | 含傳播路由的虛擬私有閘道 | 刪除包含虛擬私有閘道 ID 的路由。 |
| Transit Gateway | 含靜態路由的虛擬私有閘道 | 將包含傳輸閘道 ID 的路由更新為虛擬私有閘道 ID。 |
| Transit Gateway | 含傳播路由的虛擬私有閘道 | 刪除包含傳輸閘道 ID 的路由。 |
| Transit Gateway | Transit Gateway | 將包含傳輸閘道 ID 的路由更新為新傳輸閘道 ID。 |
## 步驟 5:更新目標閘道路由 (視情況)
當新閘道是傳輸閘道時,請修改傳輸閘道路由表,以允許 VPC 和站台對站台 VPN 之間的流量。如需詳細資訊,請參閱 *Amazon VPC Transit Gateways* 中的[傳輸閘道路由表](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html)。
如已刪除 VPN 靜態路由,您即必須將此靜態路由新增到傳輸閘道路由表。
與虛擬私有閘道不同,傳輸閘道會為 VPN 連接上所有通道之中的 Multi-Exit Discriminator (MED) 設定相同的值。如果要從虛擬私有閘道遷移到傳輸閘道,並且依靠 MED 值進行通道選擇,我們建議您更改路由以避免連接問題。例如,您可以在傳輸閘道上公告更具體的路由。如需詳細資訊,請參閱[路由表和 AWS Site-to-Site VPN 路由優先順序](vpn-route-priority.md)。
## 步驟 6:更新客戶閘道 ASN (視情況)
當新閘道的 ASN 與舊閘道不同時,您必須更新客戶閘道裝置上的 ASN,以指向新的 ASN。如需詳細資訊,請參閱「[您 AWS Site-to-Site VPN 連線的客戶閘道選項](cgw-options.md)」。
# 修改 AWS Site-to-Site VPN 連線選項
您可以修改您 Site-to-Site VPN 連接的連接選項。您可以修改下列選項:
+ IPv4 CIDR 範圍位於本機 (客戶閘道) 端,以及可透過 VPN 通道通訊之 VPN 連線的遠端 (AWS) 通訊端。兩個範圍的預設值為 `0.0.0.0/0`。
+ IPv6 CIDR 範圍位於可透過 VPN 通道通訊的 VPN 連線的本機 (客戶閘道) 和遠端 (AWS) 通訊端。兩個範圍的預設值為 `::/0`。
當您修改 VPN 連接選項時, AWS 側邊的 VPN 端點 IP 地址不會變更,通道選項也不會變更。在 VPN 連線更新期間,您的 VPN 連線將暫時無法使用。
**使用主控台修改 VPN 連線選項**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選取您的 VPN 連接,然後依序選擇**動作**、**修改 VPN 連接選項**。
1. 視需要輸入新的 CIDR 範圍。
1. 選擇**儲存變更**。
**使用命令列或 API 修改 VPN 連線選項**
+ [modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html) (AWS CLI)
+ [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html) (Amazon EC2 查詢 API)
# 修改 AWS Site-to-Site VPN 通道選項
您可以修改站台對站台 VPN 連接中 VPN 通道的通道選項。一次可以修改一個 VPN 通道。
**重要**
修改 VPN 通道時,通道的連線會中斷最多數分鐘。請務必為預期的停機時間做好規劃。
**使用主控台修改 VPN 通道選項**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選取站台對站台 VPN 連接,然後選擇**動作**和**修改 VPN 通道選項**。
1. 對於 **VPN 通道外部 IP 地址**,請選擇 VPN 通道的通道端點 IP。
1. 視需要選擇或輸入通道選項的新值。如需通道選項的詳細資訊,請參閱 [VPN 通道選項](VPNTunnels.md)。
**注意**
有些通道選項具有多個預設值。按一下以移除任何預設值。然後,該預設值會從通道選項中移除。
1. 選擇**儲存變更**。
**使用命令列或 API 修改 VPN 通道選項**
+ (AWS CLI) 使用 [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) 來檢視目前的通道選項,並使用 [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) 來修改通道選項。
+ (Amazon EC2 查詢 API) 使用 [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html) 檢視目前的通道選項,並使用 [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) 修改通道選項。
# 編輯 AWS Site-to-Site VPN 連線的靜態路由
對於在虛擬私有閘道上設定為靜態路由的 Site-to-Site VPN 連接,您可以新增或移除 VPN 組態的靜態路由。
**若要使用主控台新增或移除靜態路由**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選取 VPN 連接。
1. 選擇**編輯靜態路由**。
1. 視需要新增或移除路由。
1. 選擇**儲存變更**。
1. 如果您尚未啟用路由表的路由傳播,您必須在路由表中手動更新路由,以反映您 VPN 連接中更新的靜態 IP 前綴。如需詳細資訊,請參閱[(虛擬私有閘道) 在路由表中啟用路由傳播](SetUpVPNConnections.md#vpn-configure-routing)。
1. 對於傳輸閘道上的 VPN 連接,您可以在傳輸閘道路由表格中新增、修改或移除靜態路由。如需詳細資訊,請參閱 *Amazon VPC Transit Gateways* 中的[傳輸閘道路由表](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html)。
**使用命令列或 API 新增靜態路由**
+ [CreateVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnectionRoute.html) (Amazon EC2 查詢 API)
+ [create-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection-route.html) (AWS CLI)
+ [New-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnConnectionRoute.html) (AWS Tools for Windows PowerShell)
**使用命令列或 API 刪除靜態路由**
+ [DeleteVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnectionRoute.html) (Amazon EC2 查詢 API)
+ [delete-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection-route.html) (AWS CLI)
+ [Remove-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnectionRoute.html) (AWS Tools for Windows PowerShell)
# 變更 AWS Site-to-Site VPN 連線的客戶閘道
您可以使用 Amazon VPC 主控台或命令列工具,變更站台對站台 VPN 連接的客戶閘道。
變更客戶閘道之後,在我們佈建新端點時,您的 VPN 連接將暫時無法使用。
**使用主控台變更客戶閘道**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選取 VPN 連接。
1. 選擇**動作**、**修改 VPN 連接**。
1. 對於**目標類型**,選擇**客戶閘道**。
1. 針對**目標客戶閘道**,選擇新的客戶閘道。
1. 選擇**儲存變更**。
**使用命令列或 API 變更客戶閘道**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) (Amazon EC2 查詢 API)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html) (AWS CLI)
# 取代 AWS Site-to-Site VPN 連線遭到入侵的登入資料
如您確信站台對站台 VPN 連接的通道登入資料有安全風險,您可變更 IKE 預先共用金鑰或變更 ACM 憑證。您使用的方法取決於您用於 VPN 通道的驗證選項。如需詳細資訊,請參閱[AWS Site-to-Site VPN 通道身分驗證選項](vpn-tunnel-authentication-options.md)。
**變更 IKE 預先共享金鑰**
您可以修改 VPN 連接的通道選項,並為每個通道指定新的 IKE 預先共享金鑰。如需詳細資訊,請參閱[修改 AWS Site-to-Site VPN 通道選項](modify-vpn-tunnel-options.md)。
或者,您可以刪除 VPN 連接。如需詳細資訊,請參閱[刪除 VPN 連線和閘道](delete-vpn.md)。您不需要刪除 VPC 或虛擬私有閘道。然後,使用相同的虛擬私有閘道建立新的 VPN 連接,然後在您的客戶閘道裝置上設定新的金鑰。您可以為通道指定自己的預先共用金鑰,或讓 為您 AWS 產生新的預先共用金鑰。如需詳細資訊,請參閱[建立 VPN 連接](SetUpVPNConnections.md#vpn-create-vpn-connection)。當您重新建立 VPN 連接時,通道的內部和外部位址可能會變更。
**變更通道端點 AWS 端的憑證**
輪換憑證。如需詳細資訊,請參閱[輪換 VPN 通道端點憑證](rotate-vpn-certificate.md)。
**變更客戶閘道裝置上的憑證**
1. 建立新憑證。如需相關資訊,請參閱 *AWS Certificate Manager 使用者指南*中的[發行和管理憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)。
1. 將憑證新增至客戶閘道裝置。
# 輪換 AWS Site-to-Site VPN 通道端點憑證
您可以使用 Amazon VPC 主控台輪換 AWS 側邊通道端點上的憑證。當通道端點的憑證即將過期時, 會使用服務連結角色 AWS 自動輪換憑證。如需詳細資訊,請參閱[站台對站台 VPN 服務連結角色](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)。
**使用主控台輪換站台對站台 VPN 通道端點憑證**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選取站台對站台 VPN 連接,然後選擇**動作**、**修改 VPN 通道憑證**。
1. 選取通道端點。
1. 選擇**儲存**。
**使用 輪換Site-to-Site通道端點憑證 AWS CLI**
使用 [modify-vpn-tunnel-certificate](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-certificate.html) 命令。
# AWS Site-to-Site VPN使用 的私有 IP Direct Connect
您可以使用私有 IP VPN 透過 部署 IPsec VPN Direct Connect,加密內部部署網路與 之間的流量AWS,而無需使用公有 IP 地址或其他第三方 VPN 設備。
私有 IP VPN 的主要使用案例之一Direct Connect,就是協助金融、醫療保健和聯邦產業的客戶達成法規和合規目標。透過 的私有 IP VPN Direct Connect可確保AWS和內部部署網路之間的流量既安全又私密,讓客戶能夠遵守其法規和安全要求。
## 私有 IP VPN 的優勢
+ **簡化的網路管理和操作:**如果沒有私有 IP VPN,客戶必須部署第三方 VPN 和路由器,才能透過Direct Connect網路實作私有 VPNs。有了私有 IP VPN 功能,客戶就無需部署和管理專屬的 VPN 基礎架構。如此即可簡化網路作業,並降低成本。
+ **改善安全狀態:**先前,客戶必須使用公有Direct Connect虛擬介面 (VIF) 來加密通過的流量Direct Connect,這需要 VPN 端點的公有 IP 地址。不過,使用公有 IP 會提高遭受外部 (DOS) 攻擊的可能性,導致客戶需要部署額外的安全裝置來保護網路。此外,公有 VIF 會開放所有AWS公有服務與客戶內部部署網路之間的存取,增加風險的嚴重性。私有 IP VPN 功能允許透過Direct Connect傳輸 VIFs(而非公VIFs) 進行加密,以及設定私有 IPs的能力。如此即可在加密之外提供端對端私有連線,從而改善整體安全狀態。
+ **更高的路由規模:**相較於Direct Connect單獨使用 ,私有 IP VPN 連線提供更高的路由限制 (5000 個傳出路由和 1000 個傳入路由),目前有 200 個傳出路由和 100 個傳入路由的限制。
## 私有 IP VPN 的運作方式
私有 IP Site-to-Site VPN 透過Direct Connect傳輸虛擬介面 (VIF) 運作。它會使用Direct Connect閘道和傳輸閘道,將您的內部部署網路和AWS VPC 予以互連。私有 IP VPN 連接在AWS端的傳輸閘道,以及內部部署端的客戶閘道裝置具有終止點。您必須將私有 IP 地址指派給傳輸閘道和 IPsec 通道的客戶閘道裝置端。您可以使用來自 RFC1918 或 RFC6598 私有 IPv4 地址範圍的私有 IP 地址。
請將私有 IP VPN 連接附加至傳輸閘道。隨後,則要路由 VPN 連接和任何 VPC (或其他網路) 之間的流量,而這些流量也會附加至傳輸閘道。只要為路由表和 VPN 連接建立關聯,即可完成這項操作。若要進行反向操作,您可以使用已和 VPC 建立關聯的路由表,將流量從 VPC 路由至私有 IP VPN 連接。
與 VPN 連接相關聯的路由表可與與基礎Direct Connect連接相關聯的路由表相同或不同。此舉可讓您同時路由 VPC 和內部部署網路之間的加密及未加密流量。
如需離開 VPN 的流量路徑詳細資訊,請參閱*Direct Connect《 使用者指南*》中的[私有虛擬介面和傳輸虛擬介面路由政策](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies)。
## 先決條件
下表說明透過 Direct Connect 建立私有 IP VPN 之前的詳細資訊。
| 項目 | 步驟 | 資訊 |
| --- | --- | --- |
| 準備Site-to-Site的傳輸閘道。 | 使用Amazon Virtual Private Cloud(VPC) 主控台或使用命令列或 API 建立傳輸閘道。 請參閱《Amazon VPC [傳輸閘道指南》](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)中的傳輸閘道。 ** | 傳輸閘道是網路傳輸中樞,您可以用於互相連接 VPC 和現場部署網路。您可以建立新的傳輸閘道進行私有 IP VPN 連接,或使用現有傳輸閘道。建立傳輸閘道或修改現有傳輸閘道時,請為連線指定私有 IP CIDR 區塊。 指定要與私有 IP VPN 建立關聯的傳輸閘道 CIDR 區塊時,請確認該 CIDR 區塊未與該傳輸閘道上其他任何網路連接的任何 IP 地址重疊。如有任何 IP CIDR 區塊發生重疊,您的客戶閘道裝置可能會發生設定問題。 |
| 建立Site-to-Site的Direct Connect閘道。 | 使用 Direct Connect 主控台或使用命令列或 API 建立 Direct Connect 閘道。 請參閱*Direct Connect《 使用者指南*》中的[建立AWS Direct Connect 閘道](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)。 | Direct Connect 閘道可讓您跨多個AWS區域連接虛擬介面 (VIFs)。此閘道用於連線至您的 VIF。 |
| 建立Site-to-Site的傳輸閘道關聯。 | 使用 Direct Connect 主控台或使用命令列或 API,建立 Direct Connect 閘道與傳輸閘道之間的關聯。 請參閱*Direct Connect《 使用者指南*》中的[建立或取消Direct Connect與傳輸閘道的關聯](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)。 | 建立Direct Connect閘道之後,請為閘道建立傳輸Direct Connect閘道關聯。請為先前在允許字首清單中識別的傳輸閘道指定私有 IP CIDR。 |
**Topics**
+ [私有 IP VPN 的優勢](#private-ip-dx-features)
+ [私有 IP VPN 的運作方式](#private-ip-dx-how)
+ [先決條件](#private-ip-dx-prereqs)
+ [透過 Direct Connect 建立私有 IP VPN](private-ip-dx-steps.md)
# AWS Site-to-Site VPN 透過 建立私有 IP Direct Connect
若要使用 建立私有 IP VPN Direct Connect ,請遵循下列步驟。在透過 Direct Connect 建立私有 IP VPN 之前,您需要確保先建立傳輸閘道和 Direct Connect 閘道。建立兩個閘道之後,您需要在兩個閘道之間建立關聯。下表說明這些先決條件。建立並關聯兩個閘道後,您將使用該關聯建立 VPN 客戶閘道和連線。
## 先決條件
下表說明透過 Direct Connect 建立私有 IP VPN 之前的詳細資訊。
| 項目 | 步驟 | 資訊 |
| --- | --- | --- |
| 準備Site-to-Site的傳輸閘道。 | 使用 Amazon Virtual Private Cloud (VPC) 主控台或使用命令列或 API 建立傳輸閘道。 請參閱《Amazon VPC [傳輸閘道指南》](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)中的傳輸閘道。 ** | 傳輸閘道是網路傳輸中樞,您可以用於互相連接 VPC 和現場部署網路。您可以建立新的傳輸閘道進行私有 IP VPN 連接,或使用現有傳輸閘道。建立傳輸閘道或修改現有傳輸閘道時,請為連線指定私有 IP CIDR 區塊。 指定要與私有 IP VPN 建立關聯的傳輸閘道 CIDR 區塊時,請確認該 CIDR 區塊未與該傳輸閘道上其他任何網路連接的任何 IP 地址重疊。如有任何 IP CIDR 區塊發生重疊,您的客戶閘道裝置可能會發生設定問題。 |
| 建立Site-to-Site的 Direct Connect 閘道。 | 使用 Direct Connect 主控台或使用命令列或 API 建立 Direct Connect 閘道。 請參閱*Direct Connect 《 使用者指南*》中的[建立 AWS Direct Connect 閘道](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)。 | Direct Connect 閘道可讓您跨多個 AWS 區域連接虛擬介面 (VIFs)。此閘道用於連線至您的 VIF。 |
| 建立Site-to-Site的傳輸閘道關聯。 | 使用 Direct Connect 主控台或使用命令列或 API,建立 Direct Connect 閘道與傳輸閘道之間的關聯。 請參閱*Direct Connect 《 使用者指南*》中的[建立或取消 Direct Connect 與傳輸閘道的關聯](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)。 | 建立 Direct Connect 閘道之後,請為閘道建立傳輸 Direct Connect 閘道關聯。請為先前在允許字首清單中識別的傳輸閘道指定私有 IP CIDR。 |
## 建立Site-to-Site的客戶閘道和連線
客戶閘道是您建立的資源 AWS。它會用來代表您內部部署網路中的客戶閘道裝置。當您建立客戶閘道時,您會提供裝置的相關資訊 AWS。如需詳細資訊,請參閱[客戶閘道](how_it_works.md#CustomerGateway)。
**使用主控台建立客戶閘道**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**客戶閘道**。
1. 選擇**建立客戶閘道**。
1. (選用) 針對 **Name (名稱)**,輸入您客戶閘道的名稱。執行此作業會使用 `Name` 做為索引鍵,以及您指定的值來建立標籤。
1. 對於 **BGP ASN**,輸入您客戶閘道的邊界閘道協定 (BGP) 自主系統編號 (ASN)。
1. 針對 **IP address (IP 地址)**,請輸入您客戶閘道裝置的私有 IP 地址。
**重要**
設定 AWS 私有 IP 時 AWS Site-to-Site VPN,您必須使用 RFC 1918 地址指定自己的通道端點 IP 地址。請勿在客戶閘道路由器和 Direct Connect endpoint 之間使用 point-to-point IP 地址。 AWS 建議使用客戶閘道路由器上的迴路或 LAN 界面作為來源或目的地地址,而不是point-to-point連線。
如需有關 RFC 1918 的詳細資訊,請參閱[私有網路的地址配置](https://datatracker.ietf.org/doc/html/rfc1918)。
1. (可選)對於 **Device (裝置)** 中,輸入承載此客戶閘道的裝置名稱。
1. 選擇**建立客戶閘道**。
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選擇 **Create VPN Connection (建立 VPN 連接)**。
1. (選用) 針對 **Name tag** (名稱標籤),輸入您 Site-to-Site VPN 連接的名稱。執行此作業會使用 `Name` 做為鍵,以及您指定的值來建立標籤。
1. 針對**目標閘道類型**,請選擇**傳輸閘道**。然後,選擇您先前識別的傳輸閘道。
1. 針對**客戶閘道**,請選取**現有**。然後,選擇您先前建立的客戶閘道。
1. 根據您的客戶閘道裝置是否支援邊界閘道協定 (BGP),選取任一路由選項:
+ 如果您的客戶閘道裝置支援 BGP,請選擇 **Dynamic (requires BGP)** (動態 (需要 BGP))。
+ 如果您的客戶閘道裝置不支援 BGP,請選擇 **Static** (靜態)。
1. 針對**通道內部 IP 版本**,請指定 VPN 通道是否支援 IPv4 或 IPv6 流量。
1. (選用) 如果您在 **IP 版本內為通道**指定 **IPv4**,您可以選擇為允許透過 VPN 通道通訊的客戶閘道和 AWS 端指定 IPv4 CIDR 範圍。預設值為 `0.0.0.0/0`。
如果您為 **IP 版本內的通道**指定 **IPv6**,您可以選擇為允許透過 VPN 通道通訊的客戶閘道和 AWS 端指定 IPv6 CIDR 範圍。這兩個範圍的預設值為 `::/0`。
1. 針對**外部 IP 地址類型**,請選擇 **PrivateIpv4**。
1. 針對**傳輸連接 ID**,選擇適當閘道的傳輸 Direct Connect 閘道連接。
1. 選擇 **Create VPN Connection (建立 VPN 連接)**。
**注意**
**啟用加速**選項不適用於透過 Direct Connect的 VPN 連線。
**使用命令列或 API 建立客戶閘道**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html) (Amazon EC2 查詢 API)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)