本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Site-to-Site VPN 客戶閘道裝置的防火牆規則
您必須具有靜態 IP 地址,才能做為將客戶閘道裝置連接到端點的IPsec通道的 AWS Site-to-Site VPN 端點。如果防火牆位於 AWS 和您的客戶閘道裝置之間,則必須備妥下表中的規則,才能建立IPsec通道。該 AWS端的 IP 地址將位於組態檔案中。
|
輸入規則 I1 |
|
|---|---|
|
來源 IP |
Tunnel1 外部 IP |
|
目標 IP |
客戶閘道 |
|
通訊協定 |
UDP |
|
來源連接埠 |
500 |
|
目的地 |
500 |
|
輸入規則 I2 |
|
|
來源 IP |
Tunnel2 外部 IP |
|
目標 IP |
客戶閘道 |
|
通訊協定 |
UDP |
|
來源連接埠 |
500 |
|
目標連接埠 |
500 |
|
輸入規則 I3 |
|
|
來源 IP |
Tunnel1 外部 IP |
|
目標 IP |
客戶閘道 |
|
通訊協定 |
IP 50 (ESP) |
|
輸入規則 I4 |
|
|
來源 IP |
Tunnel2 外部 IP |
|
目標 IP |
客戶閘道 |
|
通訊協定 |
IP 50 (ESP) |
|
輸出規則 O1 |
|
|---|---|
|
來源 IP |
客戶閘道 |
|
目標 IP |
Tunnel1 外部 IP |
|
通訊協定 |
UDP |
|
來源連接埠 |
500 |
|
目標連接埠 |
500 |
|
輸出規則 O2 |
|
|
來源 IP |
客戶閘道 |
|
目標 IP |
Tunnel2 外部 IP |
|
通訊協定 |
UDP |
|
來源連接埠 |
500 |
|
目標連接埠 |
500 |
|
輸出規則 O3 |
|
|
來源 IP |
客戶閘道 |
|
目標 IP |
Tunnel1 外部 IP |
|
通訊協定 |
IP 50 (ESP) |
|
輸出規則 O4 |
|
|
來源 IP |
客戶閘道 |
|
目標 IP |
Tunnel2 外部 IP |
|
通訊協定 |
IP 50 (ESP) |
規則 I1, I2, O1 和 O2 會啟用IKE封包傳輸。規則 I3, I4, O3和 O4 可啟用包含加密網路流量的IPsec封包傳輸。
注意
如果您在裝置上使用周遊 NAT (NAT-T),請確定連接埠 4500 上的UDP流量也允許在您的網路和 AWS Site-to-Site VPN 端點之間傳遞。檢查您的裝置是否正在廣告 NAT-T。
