Privates IP-VPN mit AWS Direct Connect

Mit Private IP VPN können Sie IPSec-VPN über bereitstellen und so den Datenverkehr zwischen Ihrem lokalen Netzwerk verschlüsseln AWS Direct Connect AWS, ohne öffentliche IP-Adressen oder zusätzliche VPN-Geräte von Drittanbietern verwenden zu müssen.

Einer der Hauptanwendungsfälle für privates IP-VPN AWS Direct Connect ist die Unterstützung von Kunden in der Finanz-, Gesundheits- und Bundesbranche bei der Einhaltung gesetzlicher Vorschriften und Compliance-Ziele. Private IP VPN Over AWS Direct Connect stellt sicher, dass der Datenverkehr zwischen AWS und lokalen Netzwerken sowohl sicher als auch privat ist, sodass Kunden ihre regulatorischen und sicherheitstechnischen Anforderungen einhalten können.

Vorteile von privatem IP-VPN

• Vereinfachtes Netzwerkmanagement und -betrieb: Ohne privates IP-VPN müssen Kunden VPNs und Router von Drittanbietern einsetzen, um private VPNs über Netzwerke zu implementieren. AWS Direct Connect Mit der Funktion für privates IP-VPN müssen Kunden keine eigene VPN-Infrastruktur bereitstellen und verwalten. Das Ergebnis ist ein vereinfachter Netzwerkbetrieb zu geringeren Kosten.

• Verbesserte Sicherheitslage: Bisher mussten Kunden eine öffentliche AWS Direct Connect virtuelle Schnittstelle (VIF) für die Verschlüsselung des Datenverkehrs verwenden AWS Direct Connect, wofür öffentliche IP-Adressen für VPN-Endpunkte erforderlich waren. Die Verwendung öffentlicher IPs erhöht die Wahrscheinlichkeit externer (DOS-)Angriffe, wodurch wiederum die Kunden gezwungen sind, zusätzliche Sicherheitsausrüstung für den Netzwerkschutz einzusetzen. Außerdem ermöglicht eine öffentliche VIF den Zugang zwischen allen AWS öffentlichen Diensten und den lokalen Netzwerken der Kunden, was die Schwere des Risikos erhöht. Die private IP-VPN-Funktion ermöglicht die Verschlüsselung über AWS Direct Connect Transit-VIFs (anstelle von öffentlichen VIFs) in Verbindung mit der Möglichkeit, private IPs zu konfigurieren. Dies bietet zusätzlich zur Verschlüsselung end-to-end private Konnektivität und verbessert so die allgemeine Sicherheitslage.

• Höherer Routenumfang: Private IP-VPN-Verbindungen bieten höhere Routenlimits (5000 ausgehende Routen und 1000 eingehende Routen) im Vergleich zu AWS Direct Connect reinen Verbindungen, bei denen derzeit ein Limit von 200 ausgehenden und 100 eingehenden Routen gilt.

Funktionsweise von privatem IP-VPN

Private IP Site-to-Site VPN funktioniert über eine virtuelle AWS Direct Connect Transitschnittstelle (VIF). Es nutzt ein AWS Direct Connect -Gateway und ein Transit Gateway zum Verbinden Ihrer On-Premises-Netzwerke mit AWS -VPCs. Eine private IP-VPN-Verbindung hat Endpunkte am Transit-Gateway auf der AWS Seite und an Ihrem Kunden-Gateway-Gerät auf der lokalen Seite. Sie müssen sowohl dem Transit-Gateway als auch dem Kunden-Gateway-Gerät der IPSec-Tunnel private IP-Adressen zuweisen. Sie können private IP-Adressen aus den privaten IPv4-Adressbereichen RFC1918 oder RFC6598 verwenden.

Sie hängen eine private IP-VPN-Verbindung an ein Transit Gateway an. Anschließend leiten Sie den Datenverkehr zwischen dem VPN-Anhang und allen VPCs (oder anderen Netzwerken) weiter, die ebenfalls an das Transit Gateway angehängt sind. Dazu ordnen Sie dem VPN-Anhang eine Routing-Tabelle zu. In umgekehrter Richtung können Sie den Datenverkehr von Ihren VPCs an den privaten IP-VPN-Anhang weiterleiten, indem Sie den VPCs zugeordnete Routing-Tabellen verwenden.

Die Routing-Tabelle, die der VPN-Anlage zugeordnet ist, kann dieselbe oder eine andere sein als die, die der zugrunde liegenden Anlage zugeordnet ist. AWS Direct Connect Auf diese Weise können Sie verschlüsselten und unverschlüsselten Datenverkehr gleichzeitig zwischen Ihren VPCs und Ihren On-Premises-Netzwerken weiterleiten.

Weitere Informationen zum Datenverkehrspfad, der das VPN verlässt, finden Sie unter Routing-Richtlinien für private virtuelle Schnittstellen und virtuelle AWS Direct Connect Transitschnittstellen im Benutzerhandbuch.

Voraussetzungen

Die folgenden Ressourcen werden benötigt, um die Einrichtung eines privaten IP-VPN über AWS Direct Connect abzuschließen:

• Eine AWS Direct Connect Verbindung zwischen Ihrem lokalen Netzwerk und AWS

• Ein AWS Direct Connect Gateway, das mit dem entsprechenden Transit-Gateway verknüpft ist

• Ein Transit Gateway mit einem verfügbaren privaten IP-CIDR-Block

• Ein Kunden-Gateway-Gerät in Ihrem On-Premises-Netzwerk und ein entsprechendes AWS -Kunden-Gateway

Das Kunden-Gateway erstellen

Ein Kunden-Gateway ist eine Ressource, die Sie in erstellen AWS. Es stellt das Kunden-Gateway-Gerät in Ihrem On-Premises-Netzwerk dar. Wenn Sie ein Kunden-Gateway erstellen, geben Sie Informationen über Ihr Gerät an AWS. Weitere Details finden Sie unter Kunden-Gateway.

So erstellen Sie ein Kunden-Gateway mithilfe der Konsole

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Kunden-Gateways aus.

3. Wählen Sie Kunden-Gateway erstellen aus.

4. (Optional) Geben Sie bei Name tag (Name-Tag) einen Namen für Ihr Kunden-Gateway ein. Auf diese Weise wird ein Tag mit dem Schlüssel Name und dem von Ihnen angegebenen Wert erstellt.

5. Geben Sie unter BGP ASN eine Border Gateway Protocol (BGP) Autonomous System Number (ASN) für Ihr Kunden-Gateway ein.

6. Geben Sie unter IP address (IP-Adresse) die private IP-Adresse für Ihr Kunden-Gateway-Gerät ein.

7. (Optional) Geben Sie bei Device (Gerät) einen Namen für das Gerät ein, das dieses Kunden-Gateway hostet.

8. Wählen Sie Kunden-Gateway erstellen aus.

So erstellen Sie ein Kunden-Gateway über die Befehlszeile oder API

• CreateCustomerGateway(Amazon EC2 EC2-Abfrage-API)

• create-customer-gateway (AWS CLI)

Das Transit Gateway vorbereiten

Ein Transit-Gateway ist ein Netzwerk-Transit-Hub, mit dem Sie Ihre VPCs und On-Premises-Netzwerke miteinander verbinden können. Sie können ein neues Transit Gateway erstellen oder ein vorhandenes für die private IP-VPN-Verbindung verwenden. Wenn Sie das Transit Gateway erstellen oder ein vorhandenes Transit Gateway ändern, geben Sie einen privaten IP-CIDR-Block für die Verbindung an.

Anmerkung

Wenn Sie den CIDR-Block des Transit Gateways angeben, der mit Ihrem privaten IP-VPN verknüpft werden soll, stellen Sie sicher, dass sich der CIDR-Block nicht mit IP-Adressen für andere Netzwerkanhänge auf dem Transit Gateway überschneidet. Wenn sich IP-CIDR-Blöcke überschneiden, kann dies zu Problemen bei der Konfiguration Ihres Kunden-Gateway-Geräts führen.

Spezifische AWS Konsolenschritte zum Erstellen oder Ändern eines Transit-Gateways zur Verwendung für das private IP-VPN finden Sie unter Transit-Gateways im Amazon VPC Transit Gateways Guide.

Erstellen eines Transit Gateways über die Befehlszeile oder die API

• CreateTransitGateway(Amazon EC2 EC2-Abfrage-API)

• create-transit-gateway (AWS CLI)

Erstellen Sie das Gateway AWS Direct Connect

Erstellen Sie ein AWS Direct Connect Gateway, indem Sie den Anweisungen zum Erstellen eines Direct Connect-Gateways im AWS Direct Connect Benutzerhandbuch folgen.

Um ein AWS Direct Connect Gateway über die Befehlszeile oder API zu erstellen

• CreateDirectConnectGateway(API AWS Direct Connect abfragen)

• create-direct-connect-gateway (AWS CLI)

Die Zuordnung für das Transit Gateway erstellen

Nachdem Sie das AWS Direct Connect Gateway erstellt haben, erstellen Sie eine Transit-Gateway-Zuordnung für das AWS Direct Connect Gateway. Geben Sie das private IP-CIDR für das Transit Gateway an, das zuvor in der Liste zulässiger Präfixe identifiziert wurde.

Weitere Informationen finden Sie unter Transit-Gateway-Zuordnungen im Benutzerhandbuch zu AWS Direct Connect .

Um eine AWS Direct Connect Gateway-Zuordnung mithilfe der Befehlszeile oder API zu erstellen

• CreateDirectConnectGatewayAssociation(API AWS Direct Connect abfragen)

• create-direct-connect-gateway-Assoziation ()AWS CLI

Die VPN-Verbindung erstellen

So erstellen Sie eine VPN-Verbindung mit privaten IP-Adressen

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Site-to-Site-VPN-Verbindungen aus.

3. Wählen Sie Create VPN connection (VPN-Verbindung erstellen) aus.

4. (Optional) Geben Sie unter Namens-Tag einen Namen für Ihre Site-to-Site-VPN-Verbindung ein. Auf diese Weise wird ein Tag mit dem Schlüssel Name und dem von Ihnen angegebenen Wert erstellt.

5. Wählen Sie für Target gateway type (Typ des Ziel-Gateways) die Option Transit gateway (Transit Gateway) aus. Wählen Sie dann das zuvor identifizierte Transit-Gateway aus.

6. Wählen Sie für Customer gateway (Kunden-Gateway) die Option Existing (Vorhanden) aus. Wählen Sie dann das zuvor identifizierte Kunden-Gateway aus.

7. Wählen Sie eine der Routing-Optionen aus, je nachdem, ob Ihr Kunden-Gateway-Gerät das Border Gateway Protocol (BGP) unterstützt:

   • Wenn Ihr Kunden-Gateway-Gerät BGP unterstützt, wählen Sie Dynamic (requires BGP) (Dynamisch (erfordert BGP)) aus.

   • Wenn Ihr Kunden-Gateway-Gerät BGP nicht unterstützt, wählen Sie Static (Statisch) aus.

8. Geben Sie für Interne Tunnel-IP-Version an, ob die VPN-Tunnel IPv4- oder IPv6-Datenverkehr unterstützen.

9. (Optional) Wenn Sie IPv4 für Tunnel inside IP Version angegeben haben, können Sie optional die IPv4-CIDR-Bereiche für das Kunden-Gateway und die AWS Seiten angeben, die über die VPN-Tunnel kommunizieren dürfen. Der Standardwert ist 0.0.0.0/0.

   Wenn Sie IPv6 für die Tunnel-Inside-IP-Version angegeben haben, können Sie optional die IPv6-CIDR-Bereiche für das Kunden-Gateway und die AWS Seiten angeben, die über die VPN-Tunnel kommunizieren dürfen. Die Standardeinstellung für beide Bereiche lautet ::/0.

10. Wählen Sie für den Typ der externen IP-Adresse die Option 4. PrivateIpv

11. Wählen Sie unter Transport Attachment ID den Transit-Gateway-Anhang für das entsprechende AWS Direct Connect Gateway aus.

12. Wählen Sie Create VPN connection (VPN-Verbindung erstellen) aus.

Anmerkung

Die Option Enable acceleration (Beschleunigung aktivieren) ist für VPN-Verbindungen über AWS Direct Connect nicht anwendbar.