AWS Site-to-Site VPN 客戶閘道裝置的需求

網際網路金鑰交換 (IKE) 安全關聯。這對於交換用來建立 IPsec 安全關聯的金鑰是必要的。

IPsec 安全關聯。這會處理通道的加密、身分驗證等。

通道界面。這會接收往返通道的流量。

(選用) 邊界閘道協定 (BGP) 對等互連。對於使用 BGP 的裝置，這會交換客戶閘道裝置和虛擬私有閘道之間的路由。

建立 IKE 安全關聯

RFC 2409

RFC 7296

首先，會使用預先共用的金鑰或使用 AWS Private Certificate Authority 做為驗證器的私有憑證，在虛擬私有閘道與客戶閘道裝置之間建立 IKE 安全關聯。建立之後，IKE 會交涉暫時性金鑰以保護未來 IKE 訊息的安全。參數之間必須完全一致，包括加密和身分驗證參數。

在 中建立 VPN 連線時 AWS，您可以為每個通道指定自己的預先共用金鑰，也可以讓 為您 AWS 產生金鑰。或者，您可以使用 來指定私有憑證 AWS Private Certificate Authority ，以用於您的客戶閘道裝置。如需有關設定 VPN 通道的詳細資訊，請參閱 AWS Site-to-Site VPN 連線的通道選項。

支援下列版本：IKEv1 和 IKEv2。

主要模式僅支援 IKEv1。

Site-to-Site VPN 服務是以路由為基礎的解決方案。如果您使用以政策為基礎的組態，您必須將組態限制為單一安全關聯 (SA)。

以通道模式建立 IPsec 安全關聯

RFC 4301

使用 IKE 暫時性金鑰時，會建立虛擬私有閘道與客戶閘道裝置之間的金鑰以形成 IPsec 安全關聯 (SA)。系統會使用此 SA 來加密和解密閘道之間的流量。IKE 會定期自動輪換用來加密 IPsec SA 內部流量的暫時性金鑰，以保障通訊的機密性。

使用 AES 128 位元加密或 AES 256 位元加密函數

RFC 3602

加密函數可用來確保 IKE 和 IPsec 安全關聯之間的隱私權。

使用 SHA-1 或 SHA-2 (256) 雜湊函數

RFC 2404

此雜湊函數可用來驗證 IKE 和 IPsec 安全關聯。

使用 Diffie-Hellman 完整轉寄密碼。

RFC 2409

IKE 會使用 Diffie-Hellman 來建立暫時性金鑰，以保護客戶閘道裝置與虛擬私有閘道之間的所有通訊。

支援以下群組：

(動態路由 VPN 連接) 使用 IPsec 失效對等偵測

RFC 3706

失效對等偵測可讓 VPN 裝置快速辨識出無法透過網際網路交付封包的網路狀況。在此情況下，閘道會偵測安全關聯，並嘗試建立新的關聯。程序進行期間，會盡可能使用備用 IPsec 通道。

(動態路由 VPN 連接) 將通道繫結至邏輯界面 (路由型 VPN)

無

您的裝置必須能夠將 IPsec 通道繫結至邏輯界面。邏輯界面包含可用來對虛擬私有閘道建立 BGP 對等互連的 IP 地址。此邏輯界面不應執行任何額外封裝 (例如 GRE 或 IP in IP)。您的界面應該設為 1399 位元組最大傳輸單位 (MTU)。

(動態路由 VPN 連接) 建立 BGP 對等互連

RFC 4271

如果裝置使用 BGP，其會使用 BGP 來交換客戶閘道裝置和虛擬私有閘道之間的路由。所有 BGP 流量都會透過 IPsec 安全關聯來加密和傳輸。兩種閘道都必須使用 BGP 來交換可透過 IPsec SA 存取的 IP 字首。