VPN IP privata con AWS Direct Connect - AWS Site-to-Site VPN
Vantaggi della VPN IP privataCome funziona la VPN IP privataPrerequisitiCrea il gateway del clientePreparazione del gateway di transitoCrea il gateway AWS Direct ConnectCreazione dell'associazione del gateway di transitoCreazione di una connessione VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

VPN IP privata con AWS Direct Connect

Con la VPN IP privata, puoi implementare la VPN IPSec AWS Direct Connect, crittografando il traffico tra la tua rete locale e AWS, senza l'uso di indirizzi IP pubblici o apparecchiature VPN aggiuntive di terze parti.

Uno dei principali casi d'uso di Private IP VPN over AWS Direct Connect è aiutare i clienti del settore finanziario, sanitario e federale a raggiungere gli obiettivi normativi e di conformità. Private IP VPN over AWS Direct Connect garantisce che il traffico tra le reti locali AWS e le reti locali sia sicuro e privato, consentendo ai clienti di rispettare i propri mandati normativi e di sicurezza.

Vantaggi della VPN IP privata

  • Gestione e operazioni di rete semplificate: senza VPN IP privata, i clienti devono implementare VPN e router di terze parti per implementare VPN private sulle reti. AWS Direct Connect Grazie alla funzionalità VPN IP privata, i clienti non devono implementare e gestire la propria infrastruttura VPN. Ciò comporta operazioni di rete semplificate e costi ridotti.

  • Migliore livello di sicurezza: in precedenza, i clienti dovevano utilizzare un'interfaccia AWS Direct Connect virtuale pubblica (VIF) per crittografare il traffico AWS Direct Connect, che richiedeva indirizzi IP pubblici per gli endpoint VPN. L'utilizzo di IP pubblici aumenta la probabilità di attacchi esterni (DOS) che, a loro volta, costringono i clienti a implementare dispositivi di sicurezza aggiuntivi per la protezione della rete. Inoltre, un VIF pubblico consente l'accesso tra tutti i servizi AWS pubblici e le reti locali dei clienti, aumentando la gravità del rischio. La funzionalità VPN IP privata consente la crittografia tramite VIF di AWS Direct Connect transito (anziché VIF pubblici), oltre alla possibilità di configurare IP privati. Ciò fornisce connettività end-to-end privata oltre alla crittografia, migliorando il livello di sicurezza generale.

  • Scala di routing più elevata: le connessioni VPN IP private offrono limiti di routing più elevati (5000 rotte in uscita e 1000 rotte in entrata) rispetto alle AWS Direct Connect sole, che attualmente hanno un limite di 200 rotte in uscita e 100 in entrata.

Come funziona la VPN IP privata

La VPN Site-to-Site con IP privato funziona tramite AWS Direct Connect un'interfaccia virtuale di transito (VIF). Usa un gateway AWS Direct Connect e un gateway di transito per collegare le proprie reti locali con VPC AWS . Una connessione VPN IP privata presenta punti di terminazione sul gateway di transito sul AWS lato e sul dispositivo gateway del cliente sul lato locale. È necessario assegnare indirizzi IP privati sia al gateway di transito che all'estremità del dispositivo gateway del cliente dei tunnel IPSec. È possibile utilizzare indirizzi IP privati provenienti da intervalli di indirizzi IPv4 privati RFC1918 o RFC6598.

È possibile collegare una connessione IP VPN privata a un gateway di transito. È quindi possibile instradare il traffico tra l'allegato VPN e tutti i VPC (o altre reti) collegati anche al gateway di transito, associando una tabella di instradamento all'allegato VPN. Nella direzione inversa, puoi instradare il traffico dai tuoi VPC all'allegato VPN IP privato utilizzando le tabelle di instradamento associate ai VPC.

La tabella di routing associata all'allegato VPN può essere uguale o diversa da quella associata all'allegato sottostante. AWS Direct Connect In questo modo è possibile instradare contemporaneamente il traffico crittografato e non crittografato tra i VPC e le proprie reti on-premise.

Per maggiori dettagli sul percorso del traffico in uscita dalla VPN, consulta le politiche di routing dell'interfaccia virtuale privata e dell'interfaccia virtuale di transito nella Guida per l'AWS Direct Connect utente.

Prerequisiti

Per completare la configurazione di una VPN IP privata su AWS Direct Connect sono necessarie le seguenti risorse:

  • Una AWS Direct Connect connessione tra la rete locale e AWS

  • Un AWS Direct Connect gateway associato al gateway di transito appropriato

  • Un gateway di transito con un blocco CIDR IP privato disponibile

  • Un dispositivo gateway del cliente nella rete on-premise e un gateway del cliente AWS corrispondente

Crea il gateway del cliente

Un Customer Gateway è una risorsa in cui crei AWS. Rappresenta il dispositivo gateway del cliente nella rete on-premise. Quando crei un customer gateway, fornisci informazioni sul tuo dispositivo a AWS. Per ulteriori dettagli, consulta Gateway del cliente.

Per creare un gateway del cliente utilizzando la console

  1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegli Gateway del cliente.

  3. Scegli Crea gateway del cliente.

  4. (Facoltativo) In Name (Nome), inserire un nome per il gateway del cliente. In questo modo viene creato un tag con una chiave di Name e il valore specificato.

  5. In BGP ASN, inserire un Border Gateway Protocol (BGP) Autonomous System Number (ASN) del gateway del cliente.

  6. Per Indirizzo IP, immettere l'indirizzo IP privato del dispositivo gateway del cliente.

  7. (Opzionale) Per Device (Dispositivo), inserire un nome per il dispositivo che ospita questo gateway del cliente.

  8. Scegli Crea gateway del cliente.

Per creare un gateway del cliente utilizzando l'API o la riga di comando

Preparazione del gateway di transito

Un Transit Gateway è un hub di transito di rete che è possibile utilizzare per collegare i VPC e le reti locali. È possibile creare un nuovo gateway di transito o utilizzarne uno esistente per la connessione VPN IP privata. Quando si crea il gateway di transito o si modifica un gateway di transito esistente, si specifica un blocco CIDR IP privato per la connessione.

Nota

Quando si specifica il blocco CIDR del gateway di transito da associare alla VPN IP privata, assicurarsi che il blocco CIDR non si sovrapponga a nessun indirizzo IP per altri allegati di rete sul gateway di transito. Se alcuni blocchi IP CIDR si sovrappongono, potrebbero causare problemi di configurazione con il dispositivo gateway del cliente.

Per i passaggi specifici AWS della console per creare o modificare un gateway di transito da utilizzare per la VPN IP privata, consulta Transit gateway nella Amazon VPC Transit Gateways Guide.

Per creare un gateway di transito utilizzando l'API o la riga di comando

Crea il gateway AWS Direct Connect

Crea un AWS Direct Connect gateway seguendo la procedura Creating a Direct Connect gateway nella Guida AWS Direct Connect per l'utente.

Per creare un AWS Direct Connect gateway utilizzando la riga di comando o l'API

Creazione dell'associazione del gateway di transito

Dopo aver creato il AWS Direct Connect gateway, crea un'associazione di gateway di transito per il AWS Direct Connect gateway. Specificare il CIDR IP privato per il gateway di transito identificato in precedenza nell'elenco dei prefissi consentiti.

Per ulteriori informazioni, consulta Associazioni del gateway di transito nella Guida per l’utente di AWS Direct Connect .

Per creare un'associazione AWS Direct Connect gateway utilizzando la riga di comando o l'API

Creazione di una connessione VPN

Creazione di una connessione VPN site-to-site utilizzando indirizzi IP privati

  1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione scegli Connessioni VPN site-to-site.

  3. Scegli Create VPN Connection (Crea connessione VPN).

  4. (Facoltativo) Per Name tag (Tag del nome) immetti un nome per la connessione Site-to-Site VPN. In questo modo viene creato un tag con una chiave di Name e il valore specificato.

  5. Per Tipo di gateway di destinazione, scegli Gateway di transito. Quindi, scegli il gateway di transito identificato in precedenza.

  6. Per Gateway del cliente, seleziona Esistente. Quindi, scegli il gateway del cliente creato in precedenza.

  7. Selezionare una delle opzioni di routing a seconda che il dispositivo gateway del cliente supporti Border Gateway Protocol (BGP):

    • Se il dispositivo gateway del cliente supporta BGP, scegliere Dynamic (requires BGP) (Dinamico (richiede BGP)).

    • Se il dispositivo gateway del cliente non supporta BGP, scegliere Static (Statico).

  8. Per Tunnel all'interno della versione IP, specifica se i tunnel VPN supportano il traffico IPv4 o IPv6.

  9. (Facoltativo) Se hai specificato IPv4 per Tunnel inside IP Version, puoi facoltativamente specificare gli intervalli CIDR IPv4 per il gateway e AWS i lati del cliente autorizzati a comunicare tramite i tunnel VPN. Il valore predefinito è 0.0.0.0/0.

    Se hai specificato IPv6 per la versione IP di Tunnel inside, puoi facoltativamente specificare gli intervalli CIDR IPv6 per il gateway e i lati del cliente autorizzati a comunicare tramite i tunnel VPN. AWS Il valore predefinito per entrambi gli intervalli è ::/0.

  10. Per Tipo di indirizzo IP esterno, scegli 4. PrivateIpv

  11. Per Transport attachment ID, scegliete l'allegato del gateway di transito per il AWS Direct Connect gateway appropriato.

  12. Scegliere Create VPN Connection (Crea connessione VPN).

Nota

L’opzione Abilita accelerazione non è applicabile per le connessioni VPN su AWS Direct Connect.