VPN IP privada con AWS Direct Connect

Con una VPN con IP privada, puede implementar una VPN con IPSec AWS Direct Connect, cifrando el tráfico entre su red local y AWS sin el uso de direcciones IP públicas ni equipos VPN adicionales de terceros.

Uno de los principales usos de la VPN con IP privada AWS Direct Connect es ayudar a los clientes de los sectores financiero, sanitario y federal a cumplir sus objetivos normativos y de cumplimiento. La conexión VPN con IP privada AWS Direct Connect garantiza que el tráfico entre las redes locales AWS y entre ellas sea seguro y privado, lo que permite a los clientes cumplir con sus requisitos normativos y de seguridad.

Beneficios de la VPN de IP privada

• Administración y operaciones de red simplificadas: sin una VPN IP privada, los clientes tienen que implementar VPN y enrutadores de terceros para implementar VPN privadas a través AWS Direct Connect de las redes. Con la capacidad de VPN de IP privada, los clientes no tienen que implementar ni administrar su propia infraestructura de VPN. De este modo, se simplifican las operaciones de la red y se reducen los costos.

• Mejora de la seguridad: anteriormente, los clientes tenían que utilizar una interfaz AWS Direct Connect virtual pública (VIF) para cifrar el tráfico AWS Direct Connect, lo que requería direcciones IP públicas para los puntos finales de la VPN. El uso de IP públicas aumenta la probabilidad de ataques externos (DOS), lo que a su vez obliga a los clientes a implementar equipos de seguridad adicionales para la protección de la red. Además, una VIF pública abre el acceso entre todos los servicios AWS públicos y las redes locales de los clientes, lo que aumenta la gravedad del riesgo. La función de VPN con IP privada permite el cifrado a través de VIF en AWS Direct Connect tránsito (en lugar de VIF públicas), además de la posibilidad de configurar direcciones IP privadas. Esto proporciona conectividad end-to-end privada además del cifrado, lo que mejora la seguridad general.

• Mayor escala de rutas: las conexiones VPN IP privadas ofrecen límites de ruta más altos (5000 rutas de salida y 1000 rutas de entrada) en comparación con las conexiones individuales AWS Direct Connect , que actualmente tienen un límite de 200 rutas de salida y 100 de entrada.

Cómo funciona la VPN de IP privada

La VPN Site-to-Site con IP privada funciona a través de una interfaz virtual de AWS Direct Connect tránsito (VIF). Utiliza una puerta de enlace de AWS Direct Connect y otra de tránsito para interconectar sus redes en las instalaciones con las VPC de AWS . Una conexión VPN IP privada tiene puntos de terminación en la puerta de enlace de tránsito, en el AWS lateral, y en el dispositivo de puerta de enlace del cliente, en el lado local. Debe asignar direcciones IP privadas a los extremos de los túneles IPSec de la puerta de enlace de tránsito y del dispositivo de puerta de enlace del cliente. Puede usar direcciones IP privadas de los rangos de direcciones IPv4 privadas RFC1918 o RFC6598.

Adjunta una conexión de VPN de IP privada a una puerta de enlace de tránsito. A continuación, enruta el tráfico entre la conexión de VPN y cualquier VPC (u otras redes) que también estén conectadas a la puerta de enlace de tránsito. Esto se hace asociando una tabla de enrutamiento con la conexión de VPN. En la dirección inversa, puede enrutar el tráfico de sus VPC a la conexión de VPN de IP privada mediante las tablas de enrutamiento que están asociadas a las VPC.

La tabla de enrutamiento asociada al adjunto de la VPN puede ser la misma o diferente de la asociada al adjunto subyacente. AWS Direct Connect De esta forma, podrá enrutar simultáneamente el tráfico cifrado y no cifrado entre sus VPC y sus redes en las instalaciones.

Para obtener más información sobre la ruta de tráfico que sale de la VPN, consulte las políticas de enrutamiento de la interfaz virtual privada y de la interfaz virtual de tránsito en la Guía del AWS Direct Connect usuario.

Requisitos previos

Se necesitan los siguientes recursos para completar la configuración de una VPN de IP privada sobre AWS Direct Connect:

• Una AWS Direct Connect conexión entre la red local y AWS

• Una AWS Direct Connect puerta de enlace asociada a la puerta de enlace de tránsito adecuada

• Una puerta de enlace de tránsito con un bloque de CIDR de IP privada disponible

• Un dispositivo de puerta de enlace de cliente en las instalaciones y una puerta de enlace de cliente de AWS correspondiente

Creación de la puerta de enlace de cliente

Una pasarela de clientes es un recurso que se crea en él AWS. Representa el dispositivo de puerta de enlace de cliente en las instalaciones. Cuando crea una pasarela de clientes, proporciona información sobre su dispositivo a AWS. Para obtener más información, consulte Gateway de cliente.

Para crear una gateway de cliente con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Puertas de enlace de cliente.

3. Elija Crear puerta de enlace de cliente.

4. (Opcional) En Name tag (Etiqueta de nombre), ingrese un nombre para la puerta de enlace de cliente. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

5. En BGP ASN, ingrese un número de sistema autónomo (ASN) para protocolo de puerta de enlace fronteriza (BGP) de la puerta de enlace de cliente.

6. En IP address (Dirección IP), ingrese la dirección IP privada de su dispositivo de puerta de enlace de cliente.

7. (Opcional) En Device (Dispositivo), ingrese un nombre para el dispositivo que aloja esta puerta de enlace de cliente.

8. Elija Crear puerta de enlace de cliente.

Para crear una gateway de cliente mediante la línea de comando o API

• CreateCustomerGateway(API de consultas de Amazon EC2)

• create-customer-gateway (AWS CLI)

Preparación de la puerta de enlace de tránsito

Una puerta de enlace de tránsito es un hub de tránsito de red que puede utilizar para interconectar sus VPC y redes en las instalaciones. Puede crear una nueva puerta de enlace de tránsito o utilizar una ya existente para la conexión de VPN de IP privada. Al crear la puerta de enlace de tránsito, o al modificar una ya existente, se especifica un bloque de CIDR de IP privada para la conexión.

nota

Al especificar el bloque de CIDR de la puerta de enlace de tránsito que se va a asociar a su VPN de IP privada, asegúrese de que el bloque de CIDR no se solapa con ninguna dirección IP de ninguna otra conexión de red en la puerta de enlace de tránsito. Si algún bloque de CIDR de IP se solapa, puede provocar problemas de configuración con su dispositivo de puerta de enlace de cliente.

Para ver los pasos de AWS consola específicos para crear o modificar una pasarela de tránsito para utilizarla en la VPN con IP privada, consulte Transit Gateways en la Guía de pasarelas de tránsito de Amazon VPC.

Para crear una puerta de enlace de tránsito mediante la línea de comandos o la API

• CreateTransitGateway(API de consultas de Amazon EC2)

• create-transit-gateway (AWS CLI)

Cree la puerta de AWS Direct Connect enlace

Cree una AWS Direct Connect puerta de enlace siguiendo el procedimiento de creación de una puerta de enlace de Direct Connect de la Guía del AWS Direct Connect usuario.

Para crear una AWS Direct Connect puerta de enlace mediante la línea de comandos o la API

• CreateDirectConnectGateway(API de AWS Direct Connect consulta)

• create-direct-connect-gateway (AWS CLI)

Creación de la asociación de la puerta de enlace de tránsito

Después de crear la AWS Direct Connect puerta de enlace, cree una asociación de puerta de enlace de tránsito para la AWS Direct Connect puerta de enlace. Especifique el CIDR de IP privada para la puerta de enlace de tránsito que se identificó anteriormente en la lista de prefijos permitidos.

Para obtener más información, consulte Transit Gateway associations (Asociaciones de la puerta de enlace de tránsito) en la Guía del usuario de AWS Direct Connect .

Para crear una asociación de AWS Direct Connect puerta de enlace mediante la línea de comandos o la API

• CreateDirectConnectGatewayAssociation(API de AWS Direct Connect consulta)

• create-direct-connect-gateway-asociación ()AWS CLI

Creación de la conexión de VPN

Para crear una conexión de VPN mediante direcciones IP privadas

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Conexiones de Site-to-Site VPN.

3. Elija Create VPN Connection (Crear conex‎ión VPN).

4. (Opcional) En Name tag (Etiqueta de nombre), escriba el nombre de la conexión de Site-to-Site VPN. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

5. En Target gateway type (Tipo de puerta de enlace de destino), elija Transit gateway (Puerta de enlace de tránsito). A continuación, elija la puerta de enlace de tránsito que identificó anteriormente.

6. En Customer gateway (Puerta de enlace de cliente), seleccione Existing (Existente). A continuación, elija la puerta de enlace de cliente que creó anteriormente.

7. Seleccione una de las opciones de direccionamiento en función de si el dispositivo de gateway de cliente da soporte al protocolo de gateway fronteriza (BGP):

   • Si el dispositivo de gateway de cliente da soporte a BGP, elija Dynamic (requires BGP) (Dinámico [requiere BGP]).

   • Si el dispositivo de gateway de cliente no da soporte a BGP, elija Static (Estático).

8. En Túnel dentro de la versión IP, especifique si los túneles de VPN admiten tráfico IPv4 o IPv6.

9. (Opcional) Si especificó IPv4 para la versión Túnel dentro de IP, también puede especificar los rangos de CIDR de IPv4 para la puerta de enlace del cliente y los AWS lados que pueden comunicarse a través de los túneles de la VPN. El valor predeterminado es 0.0.0.0/0.

   Si especificó IPv6 para la versión Túnel dentro de IP, también puede especificar los rangos de CIDR de IPv6 para la puerta de enlace del cliente y los AWS lados que pueden comunicarse a través de los túneles VPN. El valor predeterminado para ambos rangos es ::/0.

10. En el tipo de dirección IP externa, elija 4. PrivateIpv

11. En el campo ID del adjunto de transporte, elija el adjunto de la pasarela de tránsito correspondiente a la AWS Direct Connect pasarela correspondiente.

12. Elija Create VPN Connection (Crear conex‎ión VPN).

nota

La opción Enable acceleration (Habilitar aceleración) no es aplicable a las conexiones de VPN sobre AWS Direct Connect.