Benefícios da VPN de IP privado Como funciona a VPN de IP privado Pré-requisitos Criar o gateway do cliente Preparar o gateway de trânsito Crie o AWS Direct Connect gateway Criar a associação a um gateway de trânsito Criar a conexão VPN

VPN IP privada com AWS Direct Connect

Com a VPN IP privada, você pode implantar a VPN IPsec AWS Direct Connect, criptografando o tráfego entre sua rede local e AWS sem o uso de endereços IP públicos ou equipamentos VPN adicionais de terceiros.

Um dos principais casos de uso da VPN IP privada AWS Direct Connect é ajudar clientes dos setores financeiro, de saúde e federal a cumprir as metas regulatórias e de conformidade. A VPN IP privada AWS Direct Connect garante que o tráfego entre redes locais AWS e redes locais seja seguro e privado, permitindo que os clientes cumpram suas exigências regulatórias e de segurança.

Conteúdo

Benefícios da VPN de IP privado
Como funciona a VPN de IP privado
Pré-requisitos
Criar o gateway do cliente
Preparar o gateway de trânsito
Crie o AWS Direct Connect gateway
Criar a associação a um gateway de trânsito
Criar a conexão VPN

Benefícios da VPN de IP privado

Gerenciamento e operações de rede simplificados: sem VPN IP privada, os clientes precisam implantar VPN e roteadores de terceiros para implementar VPNs privadas em redes. AWS Direct Connect Com o recurso da VPN de IP privado, os clientes não precisam implantar nem gerenciar sua própria infraestrutura de VPN. Isso resulta em operações de rede simplificadas e custos reduzidos.
Postura de segurança aprimorada: anteriormente, os clientes precisavam usar uma interface AWS Direct Connect virtual pública (VIF) para criptografar o tráfego AWS Direct Connect, o que exigia endereços IP públicos para endpoints de VPN. O uso de IPs públicos aumenta a probabilidade de ataques externos (DOS), o que, por sua vez, obriga os clientes a implantar equipamentos de segurança adicionais para proteção de rede. Além disso, uma VIF pública abre o acesso entre todos os serviços AWS públicos e as redes locais do cliente, aumentando a gravidade do risco. O recurso VPN IP privado permite a criptografia em VIFs em AWS Direct Connect trânsito (em vez de VIFs públicas), juntamente com a capacidade de configurar IPs privados. Isso fornece conectividade end-to-end privada, além da criptografia, melhorando a postura geral de segurança.
Maior escala de rota: as conexões VPN IP privadas oferecem limites de rota mais altos (5.000 rotas de saída e 1.000 rotas de entrada) em comparação com as conexões AWS Direct Connect isoladas, que atualmente têm um limite de 200 rotas de saída e 100 rotas de entrada.

Como funciona a VPN de IP privado

A VPN Site-to-Site com IP privado funciona em AWS Direct Connect uma interface virtual de trânsito (VIF). Ela usa um gateway do AWS Direct Connect e um gateway de trânsito para interconectar suas redes on-premises com as VPCs da AWS . Uma conexão VPN IP privada tem pontos de terminação no gateway de trânsito na AWS lateral e no dispositivo de gateway do cliente no lado local. Você deve atribuir endereços IP privados às extremidades do gateway de trânsito e do dispositivo de gateway do cliente dos túneis IPsec. Você pode usar endereços IP privados dos intervalos de endereços IPv4 privados RFC1918 ou RFC6598.

Anexe uma conexão VPN de IP privado a um gateway de trânsito. Depois, roteie o tráfego entre o anexo da VPN e qualquer VPC (ou outras redes) que também estejam anexadas ao gateway de trânsito. Isso é feito associando uma tabela de rotas ao anexo da VPN. Na direção inversa, você pode rotear o tráfego das VPCs para o anexo da VPN de IP privado usando tabelas de rotas associadas às VPCs.

A tabela de rotas associada ao anexo VPN pode ser a mesma ou diferente daquela associada ao AWS Direct Connect anexo subjacente. Isso oferece a possibilidade de rotear tráfego criptografado e não criptografado simultaneamente entre as VPCs e as redes on-premises.

Para obter mais detalhes sobre o caminho do tráfego que sai da VPN, consulte Políticas de roteamento da interface virtual privada e da interface virtual de trânsito no Guia do AWS Direct Connect usuário.

Pré-requisitos

Os seguintes recursos são necessários para concluir a configuração de uma VPN de IP privado sobre o AWS Direct Connect:

Uma AWS Direct Connect conexão entre sua rede local e AWS
Um AWS Direct Connect gateway com uma associação com o gateway de trânsito apropriado
Um gateway de trânsito com um bloco CIDR de IP privado disponível
Um dispositivo de gateway do cliente na rede on-premises e um gateway do cliente da AWS correspondente

Criar o gateway do cliente

Um gateway do cliente é um recurso que você cria em AWS. Ele representa o dispositivo de gateway do cliente na rede on-premises. Ao criar um gateway do cliente, você fornece informações sobre seu dispositivo para AWS. Para obter mais detalhes, consulte Gateway do cliente.

Para criar um gateway do cliente usando o console

Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.
No painel de navegação, escolha Gateways do cliente.
Escolha Criar gateway do cliente.
(Opcional) Em Name (Nome), insira um nome para o gateway do cliente. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.
Para BGP ASN, informe o Número de sistema autônomo (ASN) do Border Gateway Protocol (BGP) do gateway do cliente.
Em IP address (Endereço IP), insira o endereço IP privado do dispositivo de gateway do cliente.
(Opcional) Para Device (Dispositivo), insira um nome para o dispositivo que hospeda esse gateway do cliente.
Escolha Criar gateway do cliente.

Para criar um gateway do cliente usando a linha de comando ou a API

CreateCustomerGateway(API de consulta do Amazon EC2)
create-customer-gateway (AWS CLI)

Preparar o gateway de trânsito

Um gateway de trânsito é um hub de trânsito de rede que pode ser usado para interconectar as VPCs e as redes on-premises. Você pode criar um gateway de trânsito ou usar um existente para a conexão da VPN de IP privado. Ao criar o gateway de trânsito ou modificar um existente, especifique um bloco CIDR de IP privado para a conexão.

nota

Ao especificar o bloco CIDR do gateway de trânsito a ser associado à VPN de IP privado, garanta que o bloco CIDR não se sobreponha a nenhum endereço IP referente a qualquer outro anexo de rede no gateway de trânsito. Se algum bloco CIDR IP se sobrepuser, isso poderá causar problemas de configuração com o dispositivo gateway do cliente.

Para ver as etapas específicas AWS do console para criar ou modificar um gateway de trânsito para usar na VPN IP privada, consulte Transit Gateways no Amazon VPC Transit Gateways Guide.

Para criar um gateway de trânsito usando a linha de comando ou a API

CreateTransitGateway(API de consulta do Amazon EC2)
create-transit-gateway (AWS CLI)

Crie o AWS Direct Connect gateway

Crie um AWS Direct Connect gateway seguindo o procedimento Criando um gateway Direct Connect no Guia AWS Direct Connect do usuário.

Para criar um AWS Direct Connect gateway usando a linha de comando ou a API

CreateDirectConnectGateway(API AWS Direct Connect de consulta)
create-direct-connect-gateway (AWS CLI)

Criar a associação a um gateway de trânsito

Depois de criar o AWS Direct Connect gateway, crie uma associação de gateway de trânsito para o AWS Direct Connect gateway. Especifique o CIDR de IP privado para o gateway de trânsito identificado anteriormente na lista de prefixos permitidos.

Para obter mais informações, consulte Associações do gateway de trânsito no Guia do usuário do AWS Direct Connect .

Para criar uma associação de AWS Direct Connect gateway usando a linha de comando ou a API

CreateDirectConnectGatewayAssociation(API AWS Direct Connect de consulta)
create-direct-connect-gateway-associação ()AWS CLI

Criar a conexão VPN

Como criar uma conexão VPN usando endereços IP privados

Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.
No painel de navegação, selecione Conexões VPN de local a local.
Escolha Create VPN Connection (Criar conexão VPN).
(Opcional) Em Name tag (Marcação de nome), insira um nome para a conexão de VPN de local a local. Ao fazer isso, é criada uma marcação com a chave de Name e o valor que você especificar.
Em Target gateway type (Tipo de gateway de destino), escolha Transit gateway (Gateway de trânsito). Depois, selecione o gateway de trânsito identificado anteriormente.
Em Customer gateway (Gateway do cliente), selecione Existing (Existente). Depois, selecione o gateway do cliente criado anteriormente.
Escolha uma das opções de roteamento dependendo se o seu dispositivo de gateway do cliente oferece suporte ao Border Gateway Protocol (BGP):
- Se o dispositivo de gateway do cliente oferecer suporte ao BGP, selecione Dynamic (requires BGP) (Dinâmico [requer BGP]).
- Se o dispositivo de gateway do cliente não oferecer suporte ao BGP, selecione Static (Estático).
Em Versão IP de túnel interno, especifique se os túneis VPN são compatíveis com tráfego IPv4 ou IPv6.
(Opcional) Se você especificou IPv4 para túnel dentro da versão IP, você pode, opcionalmente, especificar os intervalos de CIDR IPv4 para o gateway do cliente e AWS os lados que têm permissão para se comunicar pelos túneis VPN. O padrão é 0.0.0.0/0.

Se você especificou IPv6 para túnel dentro da versão IP, você pode, opcionalmente, especificar os intervalos de CIDR IPv6 para o gateway do cliente e AWS os lados que têm permissão para se comunicar pelos túneis VPN. O padrão para ambos os intervalos é ::/0.
Em Tipo de endereço IP externo, escolha PrivateIpv4.
Em ID do anexo de transporte, escolha o anexo do gateway de trânsito para o AWS Direct Connect gateway apropriado.
Escolha Create VPN Connection (Criar conexão VPN).

nota

A opção Enable acceleration (Habilitar a aceleração) não é aplicável para conexões VPN sobre o AWS Direct Connect.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Alternar os certificados de endpoint do túnel da VPN

Segurança