AWS VPN 包括兩項服務: AWS Site-to-Site VPN 和 AWS Client VPN。AWS Site-to-Site VPN 可讓您安全地將內部部署網路或分公司站點,連接至您的 Amazon Virtual Private Cloud (Amazon VPC)。AWS Client VPN 讓您安全連接使用者至 AWS 或現場部署網路。

一般問題

問:什麼是 Client VPN 端點?

答:Client VPN 端點是您可設定使用服務的區域性建構。可在 Client VPN 端點終止最終使用者的 VPN 工作階段。作為設定 Client VPN 端點的一部份,您可指定驗證詳細資訊、伺服器憑證資訊、用戶端 IP 地址分配、記錄日誌和 VPN 選項。

問:什麼是目標網路

答:目標網路是您關聯至 Client VPN 端點的網路,讓您安全存取您的 AWS 資源和現場部署。目前目標網路是您 Amazon VPC 的子網路

計費

問:應計費的 VPN 連接時數是如何定義的?

答:VPN 連線時數的計費是按照 VPN 連接為可用狀態的任何時間。您可以透過 AWS 管理主控台、CLI 或 API,判斷 VPN 連接的狀態。如果您不想再使用 VPN 連接,只要終止 VPN 連接以避免再被額外 VPN 連線時數計費即可。

問:價格含稅嗎?

答:除非另有說明,否則我們的價格不包括適用的稅金和稅收 (包括加值稅和適用的營業稅)。帳單地址在日本的客戶若使用 AWS 服務,則需負擔日本消費稅。進一步了解

AWS Site-to-Site VPN 設定和管理

問:是否可使用 AWS 管理主控台,控制和管理 AWS Site-to-Site VPN?

答:可以。可使用 AWS 管理主控台管理 IPSec VPN 連接,例如:AWS Site-to-Site VPN。

答:我可建立多少客戶閘道、虛擬私有閘道和 AWS Site-to-Site VPN 連接?

答:數量如下:

  • 每個 VPC 1 個網際網路閘道
  • 每個 AWS 區域的每個 AWS 帳戶 5 個虛擬私有閘道
  • 每個 AWS 區域的每個 AWS 帳戶 50 個客戶閘道
  • 每個虛擬私有閘道 10 個 IPsec VPN 連接

請參閱 VPC User Guide 以了解 VPC 限制的詳細資訊。

AWS Site-to-Site VPN 連線

問:VPC 有哪些 VPN 連線選項?

答:可透過虛擬私有閘道,利用硬體 VPN 連接,將您的 VPC 連接至您的公司資料中心。

問:沒有公有 IP 地址的執行個體如何存取網際網路?

答: 沒有公有 IP 地址的執行個體可以透過以下兩種方法之一,存取網際網路:

沒有公有 IP 地址的執行個體可以透過網路地址轉譯 (NAT) 閘道或 NAT 執行個體路由流量,存取網際網路。這些執行個體使用 NAT 閘道或 NAT 執行個體的公有 IP 地址周遊網際網路。NAT 閘道或 NAT 執行個體允許傳出通訊,但不允許網際網路上的機器,啟動對擁有私有地址的執行個體之連接。

對於具有硬體 VPN 連接或 Direct Connect 連接的 VPC,執行個體可以透過虛擬私有閘道,將其網際網路流量路由到現有的資料中心。其可從該處透過現有的輸出點和網路安全/監控裝置存取網際網路。

問:AWS Site-to-Site VPN 連接如何與 Amazon VPC 搭配使用?

答: AWS Site-to-Site VPN 連接會將您的 VPC 與資料中心連接。Amazon 支援網際網路協定安全 (IPsec) VPN 連接。VPC 與資料中心之間的資料傳輸會透過加密的 VPN 連接進行路由,協助保護資料傳輸時的機密性和完整性。建立 Site-to-Site VPN 連線不需要網際網路閘道。

問:什麼是 IPSec?

答:IPsec 是一個通訊協定組合,其透過驗證和加密資料流的每個 IP 封包來保護網際網路通訊協定 (IP) 通訊安全。

問:可以使用哪種客戶閘道裝置連接到 Amazon VPC?

答:您可以建立兩種 AWS Site-to-Site VPN 連接:靜態路由 VPN 連接與動態路由 VPN 連接。支援靜態路由 VPN 連接的客戶閘道裝置必須能夠:

使用預先共用金鑰建立 IKE 安全關聯

以通道模式建立 IPsec 安全關聯

使用 AES 128 位元或 256 位元加密函數

使用 SHA-1 或 SHA-2 (256) 雜湊函數

在 "Group 2" 模式中使用 Diffie-Hellman (DH) 完全向前保密,或是我們支援的其他 DH 群組。

在加密前執行封包分段

除上述功能之外,支援動態路由 Site-to-Site VPN 連接的裝置還必須能夠:

建立邊界閘道協定 (BGP) 對等

將通道綁定到邏輯界面 (以路由為基礎的 VPN)

利用 IPsec 失效對等檢測

問:支援哪種 Diffie-Hellman 群組?

答:我們支援在階段 1 和階段 2 下的 Diffie-Hellman (DH) 群組。

階段 1 DH 群組 2、14-18、22、23、24。

階段 2 DH 群組 2、5、14-18、22、23、24。

問:當需要 IKE 金鑰更新時,AWS 建議使用哪種演算法?

答:依預設,AWS 側的 VPN 端點將提議 AES-128、SHA-1 和 DH 群組 2。若您想重設金鑰的特定建議,建議您使用「修改 VPN 隧道」選項,將隧道選項限制為所需的特定 VPN 參數。

問:已知有哪些客戶閘道裝置可用於 Amazon VPC?

答:可在「網路管理員指南」中找到以下裝置符合前述要求,已知可用於硬體 VPN 連接,而且命令列工具中也支援自動產生適用於裝置的設定檔。

問:如果沒有列出我的裝置,哪裡可以找到關於裝置與 Amazon VPC 搭配使用的更多資訊?

答: 建議您查看 Amazon VPC 論壇,因為可能有其他客戶已在使用相同的裝置。

問:什麼是 Site-to-Site VPN 連接的大約最大輸送量?

答:每個 AWS 站點至站點 VPN 連線都有兩個通道,每個通道支援最高 1.25 Gbps 的最大輸送量。若您的 VPN 連線至虛擬私有閘道,則將套用彙總輸送量限制。

問:虛擬私有閘道是否有彙總輸送量限制?

答:虛擬私有閘道對每種連線類型都具有總輸送量限制。多個 VPN 連線至相同的虛擬私有閘道受 AWS 彙總輸送量限制和內部部署最高為 1.25 Gbps 的約束。對於虛擬私有閘道上的 AWS Direct Connect 連線,輸送量受 Direct Connect 實體連接埠本身的約束。若要連線至多個 VPC 並達到更高輸送量限制,請使用 AWS Transit Gateway

問:哪些因素會影響 VPN 連接的輸送量?

答: VPN 連接輸送量可取決於多個因素,像是客戶閘道的功能、連線的容量、平均封包大小、使用的協定、TCP 對比UDP,以及客戶閘道與虛擬私有閘道之間的網路延遲。

問:什麼是 Site-to-Site VPN 連接的大約最大每秒封包數?

答:每個 AWS 站點至站點 VPN 連線都有兩個通道,每個通道支援最高 140,000 的最大每秒封包數。 

問:有哪些工具可以協助對 Site-to-Site VPN 組態進行故障排除?

答: DescribeVPNConnection API 可以顯示 VPN 連接的狀態,包括各 VPN 通道的狀態 ("up"/"down"),並在有通道處於 "down" 狀態時顯示對應的錯誤訊息。AWS 管理主控台也會顯示此資訊。

問:如何將 VPC 與我的公司資料中心連接?

答: 在現有網路和 Amazon VPC 之間建立硬體 VPN 連接,可讓您與 VPC 中的 Amazon EC2 執行個體互動,就如同它們位於您現有的網路內。在透過硬體 VPN 連接存取的 VPC 中,AWS 不會在 Amazon EC2 執行個體上執行網路地址轉譯 (NAT)

問:是否可以在路由器或防火牆後方對我的客戶閘道進行 NAT?

答:您將使用 NAT 裝置上的公有 IP 地址。

問:我的客戶閘道地址使用何種 IP 地址?

答:您將使用 NAT 裝置上的公有 IP 地址。

問:如何停用連接上的 NAT-T?

答: 您將需要在裝置上停用 NAT-T。如果您不打算使用 NAT-T 且裝置未停用此功能,我們將嘗試在 UDP 連接埠 4500 建立通道。如果連接埠未開啟,就不會建立通道。

問:我想在 NAT 後方擁有多個客戶閘道,需要怎麼做才能設定該功能?

答: 您將需要在裝置上停用 NAT-T。如果您不打算使用 NAT-T 且裝置未停用此功能,我們將嘗試在 UDP 連接埠 4500 建立通道。如果連接埠未開啟,就不會建立通道。

問:每個通道可以同時建立幾個 IPsec 安全關聯?

答:AWS VPN 服務是以路由為基礎的解決方案,因此使用以路由為基礎的組態時,就不會受限於 SA 限制。不過,如果您使用以政策為基礎的解決方案,則必須限制為單一 SA,因為服務是以路由為基礎的解決方案。

問:是否可將我的 VPC 公有 IP 地址範圍告知網際網路,並經由我的資料中心透過 Site-to-Site VPN 將流量路由到我的 VPC?

答: 是,您可以透過 VPN 連接路由流量,並從家用網路公告該地址範圍。

問:我的 VPN 連接將公告給我的客戶閘道裝置的最大路由數是多少?

答:您的 VPN 連接將公告最多 1,000 個路由至您的客戶閘道裝置。針對虛擬私有閘道上的 VPN,公告的路由來源包括 VPC 路由、其他 VPN 路由以及 DX 虛擬界面的路由。針對 AWS Transit Gateway 上的 VPN,公告的路由來自與 VPN 附件關聯的路由表。如果嘗試傳送 1,000 個以上的路由,則僅會公告 1,000 個路由的部分項目。 

問:可以從我的客戶閘道裝置公告到我 VPN 連接的最大路由數是多少?

答:您可從客戶閘道裝置公告最多 100 個路由至您的 VPN 連接。針對具有靜態路由的 VPN 連接,您將不能新增超過 100 個以上的靜態路由。針對與 BGP 的 VPN 連接,如果您嘗試公告超過 100 個以上的路由,則 BGP 工作階段將重設。

 

 

AWS Accelerated Site-to-Site VPN

問: 為什麼我應使用 AWS Accelerated Site-to-Site VPN?

答:由於流量會周遊於網際網路的多個公有網路,才會抵達 AWS 中的 VPN 端點,因此 VPN 連接面對不一致的可用性和效能。這些公有網路可能會壅塞。每次跳轉都會帶來可用性和效能風險。Accelerated Site-to-Site VPN 使用高可用性和不會壅塞的 AWS 全球網路,帶來更一致的使用者體驗。

問:如何建立 Accelerated Site-to-Site VPN?

答:建立 VPN 連接時,將「啟用加速」設定為「true」。

問:如何找出我現有的 VPN 連接是不是 Accelerated Site-to-Site VPN?

答:在您的 VPN 連接的說明中,應將「啟用加速」的值設定為「true」。

問:如何轉換現有的 Site-to-Site VPN 至 Accelerated Site-to-Site VPN?

答:建立新的 Accelerated Site-to-Site VPN,更新您的客戶閘道在裝置連接至此新 VPN 連接,然後刪除您現有的 VPN 連接。由於加速 VPN 使用有別於非加速 VPN 連接的獨立 IP 地址範圍,因此您將取得新管道端點的網際網路協定 (IP) 地址。

問:虛擬閘道在 AWS Transit Gateway Accelerated Site-to-Site VPN 支援虛擬閘道嗎?

答:只有 Transit Gateway 支援 Accelerated Site-to-Site VPN。建立 VPN 連接時應指定 Transit Gateway。AWS 端的 VPN 端點是建立在 Transit Gateway 上。

問:Accelerated Site-to-Site VPN 連接提供兩個通道,以促進高可用性嗎

答:是,每個 VPN 連接都提供兩個通道,以促進高可用性。

問:Accelerated 和 non-Accelerated Site-to-Site VPN 有沒有任何協定的不同?

答:Accelerated Site-to-Site VPN 連接要求並預設啟用 NAT-T 。此外,Accelerated 和 non-Accelerated VPN 通道支援相同的 IP 安全性 (IPSec) 和網際網路金鑰交換 (IKE) 產品,也提供相同的頻寬、通道選項、路由選項和身份驗證類型。

問:Accelerated Site-to-Site VPN 提供兩個網路區域,以促進高可用性嗎?

答:是,我們為兩個通道端點,從獨立網路區域選擇 AWS Global Accelerator 全球網際網路協定地址 (IP)。

問:Accelerated Site-to-Site VPN 是 AWS Global Accelerator 的選項嗎?

答:否,僅可透過 Accelerated Site-to-Site VPN 建立 AWS Site-to-Site VPN 。無法透過 AWS Global Accelerator 主控台或 API,建立 Accelerated Site-to-Site VPN。

問:我可以透過公有 AWS Direct Connect 虛擬界面,使用 Accelerated VPN 嗎?

答:否,不提供透過公有 AWS Direct Connect 虛擬界面,使用 Accelerated Site-to-Site VPN。在大部份情況下,透過公有 Direct Connect 使用 Accelerated Site-to-Site VPN,不會帶來加速的好處。

問:哪個 AWS 區域提供 Accelerated Site-to-Site VPN?

答: Accelerated Site-to-Site VPN 現在可在以下 AWS 區域提供:美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡)、美國西部 (加利佛尼亞北部)、歐盟 (愛爾蘭)、歐盟 (法蘭克福)、歐盟 (倫敦)、歐盟 (巴黎)、亞太地區 (新加坡)、亞太地區 (東京)、亞太地區 (雪梨)、亞太地區 (首爾)、亞太地區 (孟買) 和加拿大 (中部) 。

 

AWS Client VPN 設定和管理

問:如何設定 AWS Client VPN?

答:IT 管理員建立將目標網路關聯至特定 Client VPN 端點的端點,接著設定存取政策,允許最終使用者的連線。IT 管理員分發用戶端點 VPN 設定檔至最終使用者。每位使用者需要下載 OpenVPN 用戶端,並使用用戶端 VPN 設定檔,建立他們的 VPN 工作階段。

問:最終使用者應如何設定連接?

答:最終使用者應將 OpenVPN 用戶端下載至他們的裝置。接著使用者將把 AWS Client VPN 設定檔匯入至 OpenVPN 用戶端並啟動 VPN 連接。


AWS Client VPN 連線作業

問:如何啟用連線至其他網路?

答:您可啟用與其他網路的連接能力,例如:對等 Amazon VPC、透過虛擬閘道或 AWS 服務的現場部署網路,例如:S3、透過專電、透過 AWS PrivateLink 的網路,或透過網際網路閘道的其他資源。欲啟用連線,新增路由至 Client VPN 路由表的指定網路,然後新增授權規則,啟用指定網路的存取。

問:Client VPN 端點可以是屬於關聯子網路的不同帳戶嗎?

答:否,關聯的子網路必需和 Client VPN 端點中所用的帳戶相同。

問:我可以在有別於我在 TLS 工作階段中設定的區域,使用私有 IP 地址存取 VPC 內的資源?

答:可用以下兩個步驟達成目的:首先,在您的目的地 VPC (在不同的區域) 和 Client VPN 相關的 VPC 之間,設定跨區域的對等連接。第二,應為 Client VPN 端點中的目的地 VPC 新增路由和存取規則。現在,您的使用者就能從有別於 Client VPN 端點的區域,存取目的地 VPC 中的資源。

問:Client VPN 支援哪些傳輸協定?

答:可為 VPN 工作階段選擇 TCP 或 UDP。

問:AWS Client VPN 是否支援分割通道?

答:是。您可以選擇在啟用或停用分割通道的情況下建立端點。如果之前已在停用分割通道的情況下建立端點,您可以選擇將它修改為啟用分割通道。如果啟用分割通道,將透過 VPN 通道路由傳送到端點上設定的路由的流量。將透過區域網路界面路由所有其他流量。如果停用分割通道,所有來自裝置的流量都會透過 VPN 通道周遊。

AWS Client VPN 身份驗證和授權

問:AWS Client VPN 支援怎樣的驗證機制?

答:AWS Client VPN 使用 AWS Directory Services、憑證型身份驗證和使用 SAML-2.0 的聯合身份驗證,利用 Active Directory 支援身份驗證。

問:我可以使用內部部署的 Active Directory 服務,驗證使用者的身份嗎?

答:可以。AWS Client VPN 和 AWS Directory Service 整合,讓您連接至現場部署的 Active Directory。

問:AWS Client VPN 支援共同身份驗證嗎?

答:是,AWS Client VPN 支援共同身份驗證。啟用共同身份驗證後,客戶必須上傳在伺服器上發出用戶端憑證的根憑證。

問:我可以將用戶端憑證列入黑名單嗎?

答:可以。AWS Client VPN 支援靜態設定的憑證撤銷清單 (CRL)。

問:AWS Client VPN 是否具備支援客戶引進其個人憑證的功能?

答:可以。您應上傳憑證、根憑證授權 (CA) 憑證,以及伺服器的私有金鑰。這些都已上傳至 AWS Certificate Manager。

問:AWS Client VPN 能和 AWS Certificate Manager (ACM) 整合,以建立伺服器憑證嗎?

答:可以。您可使用 ACM 作為鏈接至外部根 CA 的從屬 CA。ACM 接著建立伺服器憑證。在本案例中,ACM 同時進行伺服器憑證輪換。

問:AWS Client VPN 支援狀態評估嗎?

答:否。AWS Client VPN 不支援狀態評估。其他類似 Amazon Inspectors 的 AWS 服務支援狀態評估。

問:AWS Client VPN 是否支援 Multi-Factor Authentication (MFA)?

答:是,AWS Client VPN 透過使用 AWS Directory Services 的 Active Directory,以及透過外部身份供應商 (例如 Okta) 支援 MFA。

問:AWS Client VPN 如何支援授權?

答:可設定授權規則,限制可存取網路的使用者。針對特定目的地網路,可設定允許存取的 Active Directory 群組/身份供應商群組。唯有屬於此 Active Directory 群組/身份供應商群組的使用者可存取特定的網路。

問:AWS Client VPN 支援安全群組嗎?

答:Client VPN 支援安全群組。您可指定關聯群組的安全群組。關聯子網路時,我們將自動套用子網路的 VPC 之預設安全群組。

問:我如何使用安全小組,限制唯有 Client VPN 連接可以存取我的應用程式?

答:應用時,可指定僅允許已套用至關聯子網路的安全群組存取。現在您就已透過 Client VPN 限制只可有已連接的使用者存取。

問:在聯合身份驗證中,我是否可以修改 IDP 中繼資料文件?

答:是,您可以在與用戶端 VPN 端點關聯的 IAM 身份供應商中上傳新的中繼資料文件。更新的中繼資料將在 2 至 4 小時內反映出來。

問:是否可以使用第三方 OpenVPN 用戶端連線至設定了聯合身份驗證的用戶端 VPN 端點?

答:否,您必須使用 AWS Client VPN 軟體用戶端連線至端點。

AWS Client VPN 能見度和監控

問:AWS Client VPN 支援哪些日誌?

答:Client VPN 匯出連接日誌,作為 CloudWatch Logs 的最佳工作記錄。這些日誌每隔 15 分鐘,定時匯出一次。連接日誌內含建立和終止連接要求的詳細資訊。

問:Client VPN 是否在端點支援 Amazon VPC Flow Logs?

答:否。可在相關的 VPC 中使用 Amazon VPC Flow Logs。

問:我可監控使用中的連接嗎?

答:是。可使用 CLI 或主控台檢視特定端點目前使用中的連接,以及終止使用中連接。

問:我可以使用 CloudWatch 按端點進行監控嗎?

答:可以。您可使用 CloudWatch 監控器,檢視每個 Client VPN 端點的輸入和輸出位元組和作用中連線。

VPN 用戶端

問:如何部署適用於 AWS Client VPN 的免費軟體用戶端?

答:適用於 AWS Client VPN 的軟體用戶端與現有的 AWS Client VPN 組態相容。用戶端支援使用 AWS Client VPN 服務產生的 OpenVPN 組態檔新增設定檔。建立設定檔後,用戶端將根據您的設定連接至您的端點。

問:使用 AWS Client VPN 軟體用戶端的額外價格為何?

答:軟體用戶端為免費提供。將僅對您收取 AWS Client VPN 服務使用費。

問:支援哪些類型的裝置和作業系統版本?

答:我們目前支援 Windows 7 (及以上) 和 macOS (64 位元版本的 macOS High Sierra、Mojave 及 Catalina) 桌面裝置。這些包括 Windows 10 和 macOS 裝置。隨著新作業系統的發佈,我們將快速新增相應的支援。

問:我們的連線設定檔是否會在我的所有裝置之間同步?

答:不會,但是 IT 管理員可向預先設定的設定提供其軟體用戶端部署的組態檔。

問:執行 AWS Client VPN 的軟體用戶端是否需要我裝置上的管理員權限?

答:是。您需要管理員權限才能在 Windows 和 Mac 上安裝應用程式。在那之後,不再需要管理員存取。

問:AWS Client VPN 用戶端使用的是哪個 VPN 通訊協定?

答:AWS Client VPN,包括軟體用戶端,支援 OpenVPN 通訊協定。

問:使用軟體用戶端是否支援 AWS Client VPN 服務支援的所有功能?

答:是。用戶端支援 AWS Client VPN 服務提供的所有功能。

問:連接後,AWS Client VPN 的軟體用戶端是否允許 LAN 存取?

答:是,連接至 AWS VPN Client 後,您可以存取區域網路。

問:軟體用戶端支援哪些驗證功能?

答:AWS Client VPN 軟體用戶端支援 AWS Client VPN 服務提供的所有身份驗證機制 - 使用 AWS Directory Services、憑證型身份驗證和使用 SAML-2.0 的聯合身份驗證,利用 Active Directory 進行身份驗證。

問:AWS Client VPN 將支援哪些類型的用戶端記錄?

答:當使用者嘗試連接時,會記錄連接設定的詳細資料。連接嘗試會儲存最多 30 天,檔案大小上限為 90 MB。

問:我是否可以混合 AWS Client VPN 的軟體用戶端和連接至 AWS Client VPN 端點的標準 OpenVPN 用戶端?

答:是,假設 AWS Client VPN 端點上定義的驗證類型受標準 OpenVPN 用戶端的支援。

問:我可以在何處下載 AWS Client VPN 的軟體用戶端?

答:您可以下載一般用戶端,而無需從 AWS Client VPN 產品頁面進行任何自訂工作。IT 管理員可以選擇在其專屬系統中託管下載。

問:我可以在一個裝置上執行多種類型的 VPN 用戶端嗎?

答:我們不建議在裝置上執行多個 VPN 用戶端。這會導致衝突,或者 VPN 用戶端會相互干擾並導致連線失敗。也就是說,AWS Client VPN 可以與另一個 VPN 用戶端一起安裝。

虛擬私有閘道

問:這個功能是什麼?

答: 對於任何新的虛擬閘道,客戶可透過可設定的私有自發系統編號 (ASN) 在 BGP 工作階段的 Amazon 端為 VPN 和 AWS Direct Connect 私有 VIF 設定 ASN。

問:使用此功能的費用是多少?

答:使用此功能無須額外付費。

問:如何設定/指派我的 ASN 將其公告為 Amazon 端 ASN?

答:您可以在建立新的虛擬私有閘道 (virtual gateway) 時設定/指派 ASN 將其公告為 Amazon 端 ASN。您可以使用 VPC 主控台或 EC2/CreateVpnGateway API 呼叫建立虛擬閘道。

問:Amazon 在這個功能之前指派哪一個 ASN?

答:Amazon 指派以下 ASN:西歐 (都柏林) 9059;亞太區域 (新加坡) 17493 以及亞太區域 (東京) 10124。所有其他區域指派的 ASN 都是 7224;這些 ASN 稱為區域的「傳統公有 ASN」。

問:是否可使用任何 ASN – 公有和私有?

答:您可以將任何私有 ASN 指派到 Amazon 端。到 2018 年 6 月 30 日為止可以指派區域的「傳統公有 ASN」,但您不能指派任何其他公有 ASN。2018 年 6 月 30 日之後,Amazon 將提供 ASN 64512。

問:為什麼不能在 BGP 工作階段的 Amazon 端指派公有 ASN?

答:Amazon 不會驗證 ASN 的擁有權,所以我們將 Amazon 端的 ASN 限制為私有 ASN。我們希望保護客戶不受 BGP 詐騙的危害。

問:我可以選擇哪一種 ASN?

答:您可以選擇任何私有 ASN。16 位元私有 ASN 的範圍包含 64512 到 65534。您也可以提供 32 位元的 ASN,範圍介於 4200000000 和 4294967294 之間。

如果您沒有選擇,Amazon 會為虛擬閘道提供預設 ASN。到 2018 年 6 月 30 日為止,Amazon 會持續提供區域的「傳統公有 ASN」。2018 年 6 月 30 日之後,Amazon 將提供 ASN 64512。

問:如果我嘗試指派公有 ASN 到 BGP 工作階段的 Amazon 端,會發生什麼情況?

答: 一旦您嘗試建立虛擬閘道,我們就會要求您重新輸入私有 ASN,除非它是區域的「傳統公有 ASN」。

問:如果我沒有為 BGP 工作階段的 Amazon 端提供 ASN,Amazon 會為我指派哪一個 ASN?

答:如果您沒有選擇,Amazon 會為虛擬閘道提供 ASN。到 2018 年 6 月 30 日為止,Amazon 會持續提供區域的「傳統公有 ASN」。2018 年 6 月 30 日之後,Amazon 將提供 ASN 64512。

問:我可以在哪裡檢視 Amazon 端 ASN?

答:您可以在 VPC 主控台的虛擬閘道頁面和 EC2/DescribeVpnGateways API 的回應中檢視 Amazon 端 ASN。

問:如果我有公有 ASN,是否可以在 AWS 端搭配私有 ASN 使用?

答:是,您可以在 BGP 工作階段的 Amazon 端設定私有 ASN,並在您這一端設定公有 ASN。

問:我已經設定了私有 VIF,希望在現有 VIF 上為 BGP 工作階段設定不同的 Amazon 端 ASN。要如何執行這項變更?

答:您必須以所需的 ASN 建立新的 Direct Connect 閘道,再以新建立的 Direct Connect 閘道建立新的 VIF。您的裝置組態也需要進行適當的變更。

問:我已經設定了 VPN 連接,希望修改這些 VPN 的 BGP 工作階段 Amazon 端 ASN。要如何執行這項變更?

答:您必須以所需的 ASN 建立新的虛擬閘道,再重新建立客戶閘道與新建立的虛擬閘道之間的 VPN 連接。

問:我已經使用 Amazon 指派的公有 ASN 7224 設定 虛擬閘道和私有 VIF/VPN 連接。如果 Amazon 自動為新的私有虛擬閘道產生 ASN,會為我指派哪一個 Amazon 端 ASN?

答:Amazon 會為新的虛擬私有閘道指派 64512 給 Amazon 端 ASN。

問:我使用 Amazon 指派的公有 ASN,設定虛擬閘道和私有 VIF/VPN 連接。現在希望為我建立的新私有 VIF/VPN 連接使用 Amazon 指派的相同公有 ASN。要怎麼做?

答:您可以在建立新的虛擬私有閘道 (virtual gateway) 時設定/指派 ASN 將其公告為 Amazon 端 ASN。您可以使用主控台或 EC2/CreateVpnGateway API 呼叫建立虛擬閘道。如之前所述,到 2018 年 6 月 30 日為止,Amazon 會持續提供區域的「傳統公有 ASN」。2018 年 6 月 30 日之後,Amazon 將提供 ASN 64512。

問:我已使用 Amazon 指派的公有 ASN 7224,設定虛擬閘道和私有 VIF/VPN 連接。如果 Amazon 使用相同的虛擬閘道自動為新的私有 VIF/VPN 連接產生 ASN,會為我指派哪一個 Amazon 端 ASN?

答:Amazon 會為新的 VIF/VPN 連接指派 7224 給 Amazon 端 ASN。新私有 VIF/VPN 連接的 Amazon 端 ASN 是繼承現有的虛擬閘道而來,且預設為該 ASN。

問:我將多個私有 VIF 連接到單一虛擬閘道。每個 VIF 是否可有個別的 Amazon 端 ASN?

答:否,您可以為每個虛擬閘道指派/設定個別的 Amazon 端 ASN,而非每個 VIF。VIF 的 Amazon 端 ASN 是繼承自連接的虛擬閘道的 Amazon 端 ASN。

問:我建立多個連接到單一虛擬閘道的 VPN 連接。每個 VPN 連接是否可有個別的 Amazon 端 ASN?

答:否,您可以為每個虛擬閘道而不是每個 VPN 連接,指派/設定個別的 Amazon 端 ASN。VPN 連接的 Amazon 端 ASN 是繼承自虛擬閘道的 Amazon 端 ASN。

問:我可以在哪裡選取自己的 ASN?

答:在 VPC 主控台建立虛擬閘道時,取消核取詢問您是否要自動產生的 Amazon BGP ASN 的方塊,並為 BGP 工作階段的 Amazon 端提供您自己的私有 ASN。透過 Amazon 端 ASN 設定虛擬閘道後,使用該虛擬閘道建立的私有 VIF 或 VPN 連接都將使用您的 Amazon 端 ASN。

問:我目前使用 CloudHub。未來是否需要調整組態?

答:您不需要做任何變更。

問:我想選取 32 位元 ASN。32 位元私有 ASN 的範圍為何?

答:我們支援從 4200000000 到 4294967294 的 32 位元 ASN。

問:虛擬閘道建立之後,是否可變更或修改 Amazon 端 ASN?

答:否,建立之後就不能修改 Amazon 端 ASN。可刪除虛擬閘道,再按意願使用 ASN,重新建立新的虛擬閘道。

問:是否有新的 API 可設定/指派 Amazon 端 ASN?

答:否。您可以使用和之前相同的 API (EC2/CreateVpnGateway) 執行此動作。我們剛在這個 API 加入了新的參數 (amazonSideAsn)。

問:是否有新的 API 可檢視 Amazon 端 ASN?

答:否。您可以使用相同的 EC2/DescribeVpnGateways API 檢視 Amazon 端 ASN。我們剛在這個 API 加入了新的參數 (amazonSideAsn)。

Product-Page_Standard-Icons_01_Product-Features_SqInk
進一步了解定價

定價結構簡單,您輕鬆就能找到合適的方案。

進一步了解 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
註冊免費帳戶

立即存取 AWS 免費方案 

註冊 
Product-Page_Standard-Icons_03_Start-Building_SqInk
開始在主控台進行建置

開始在 AWS 主控台中使用 AWS VPN 進行建置。

開始使用