Wie AWS Site-to-Site VPN funktioniert

Eine Site-to-Site-VPN-Verbindung besteht aus den folgenden Komponenten:

• Ein Virtual Private Gateway oder ein Transit-Gateway

• Ein Kunden-Gateway-Gerät

• Ein Kunden-Gateway

Die VPN-Verbindung bietet zwei VPN-Tunnel zwischen einem virtuellen privaten Gateway oder Transit-Gateway auf der AWS Seite und einem Kunden-Gateway auf der lokalen Seite.

Weitere Informationen zu Site-to-Site-VPN-Kontingenten finden Sie unter Site-to-Site VPN-Kontingente.

Virtuelles Privates Gateway

Ein Virtual Private Gateway ist der VPN-Konzentrator auf der Amazon-Seite der Site-to-Site-VPN-Verbindung. Sie erstellen ein virtuelles privates Gateway und fügen es mit Ressourcen an eine Virtual Private Cloud (VPC) an, die auf die Site-to-Site-VPN-Verbindung zugreifen müssen.

Das folgende Diagramm zeigt eine VPN-Verbindung zwischen einer VPC und Ihrem On-Premises-Netzwerk unter Verwendung eines Virtual Private Gateways.

Während der Erstellung eines Virtual Private Gateway können Sie die private Autonomous System Number (ASN) für die Amazon-Seite des Gateways angeben. Wenn Sie keine ASN angeben, wird der Virtual Private Gateway mit der Standard-ASN (64512) erstellt. Sie können die ASN nicht ändern, nachdem Sie das Virtual Private Gateway erstellt haben. Um die ASN für Ihr Virtual Private Gateway zu überprüfen, sehen Sie sich dessen Details auf der Seite Virtual Private Gateways in der Amazon VPC-Konsole an oder verwenden Sie den Befehl. describe-vpn-gateways AWS CLI

Transit Gateway

Ein Transit-Gateway ist ein Transit-Hub, mit dem Sie Ihre VPCs und Ihre On-Premises-Netzwerke miteinander verbinden können. Weitere Informationen finden Sie unter Amazon VPC Transit Gateways. Sie können eine Site-to-Site-VPN-Verbindung als Anhang auf einem Transit-Gateway erstellen.

Das folgende Diagramm zeigt eine VPN-Verbindung zwischen mehreren VPCs und Ihrem On-Premises-Netzwerk unter Verwendung eines Transit Gateways. Das Transit Gateway hat drei VPC-Anhänge und einen VPN-Anhang.

Ihre Site-to-Site VPN-Verbindung auf einem Transit-Gateway kann innerhalb der VPN-Tunnel IPv4- oder IPv6-Datenverkehr unterstützen. Weitere Informationen finden Sie unter IPv4- und IPv6-Datenverkehr.

Sie können das Ziel-Gateway einer Site-to-Site-VPN-Verbindung von einem Virtual Private Gateway zu einem Transit-Gateway ändern. Weitere Informationen finden Sie unter Das Ziel-Gateway der -Site-to-Site VPN-Verbindung ändern.

Kunden-Gateway-Gerät

Ein Kunden-Gateway-Gerät ist ein physisches Gerät oder eine Softwareanwendung auf Ihrer Seite der Site-to-Site-VPN-Verbindung. Sie konfigurieren das Gerät so, dass es mit der Site-to-Site-VPN-Verbindung funktioniert. Weitere Informationen finden Sie unter Ihr Kunden-Gateway-Gerät.

Standardmäßig muss Ihr Kunden-Gateway-Gerät die Tunnel für Ihre Site-to-Site-VPN-Verbindung aufbauen, indem Datenverkehr generiert und der IKE (Internet Key Exchange)-Aushandlungsprozess initiiert wird. Sie können Ihre Site-to-Site-VPN-Verbindung so konfigurieren, dass AWS stattdessen den IKE-Aushandlungsprozess initiieren muss. Weitere Informationen finden Sie unter Initiierungsoptionen für Site-to-Site-VPN-Tunnel.

Kunden-Gateway

Ein Kunden-Gateway ist eine Ressource, die Sie in AWS erstellen, die das Kunden-Gateway-Gerät in Ihrem lokalen Netzwerk darstellt. Wenn Sie ein Kunden-Gateway erstellen, geben Sie Informationen über Ihr Gerät an. AWS Weitere Informationen finden Sie unter Optionen für das Kunden-Gateway für Ihre Site-to-Site-VPN-Verbindung.

Um Amazon VPC mit einer Site-to-Site-VPN-Verbindung zu verwenden, müssen Sie oder Ihr Netzwerkadministrator auch das Kunden-Gateway-Gerät und eine Anwendung in Ihrem Remote-Netzwerk konfigurieren. Wenn Sie die Site-to-Site-VPN-Verbindung erstellen, erhalten Sie von uns die erforderlichen Konfigurationsinformationen, und in der Regel führt Ihr Netzwerkadministrator diese Konfiguration aus. Weitere Informationen über die Anforderungen und Konfiguration von Kunden-Gateways finden Sie unter Ihr Kunden-Gateway-Gerät.