私有 IP VPN 与 AWS Direct Connect

使用私有 IP VPN，您可以通过部署 IPsec VPN AWS Direct Connect，加密本地网络和本地网络之间的流量 AWS，而无需使用公有 IP 地址或其他第三方 VPN 设备。

私有 IP VPN 的主要用例之一 AWS Direct Connect 是帮助金融、医疗保健和联邦行业的客户实现监管和合规目标。Private IP VPN AWS Direct Connect 可确保 AWS 和本地网络之间的流量既安全又私密，从而使客户能够遵守其监管和安全规定。

私有 IP VPN 的好处

• 简化网络管理和操作：如果没有私有 IP VPN，客户必须部署第三方 VPN 和路由器才能通过网络 AWS Direct Connect 实现私有 VPN。利用私有 IP VPN 功能，客户无需部署和管理自己的 VPN 基础设施。这可以简化网络运营并降低成本。

• 改善安全状况：以前，客户必须使用公共 AWS Direct Connect 虚拟接口 (VIF) 来加密流量 AWS Direct Connect，这需要为 VPN 端点提供公有 IP 地址。使用公有 IP 会增大外部 (DOS) 攻击的概率，这反过来迫使客户部署额外的安全设备来保护网络。此外，公共 VIF 开放了所有 AWS 公共服务和客户本地网络之间的访问权限，从而增加了风险的严重性。私有 IP VPN 功能允许通过传 AWS Direct Connect 输 VIF（而不是公共 VIF）进行加密，并能够配置私有 IP。除了加密之外，这还提供 end-to-end 私有连接，从而改善了整体安全状况。

• 更高的路由规模：私有 IP VPN 连接提供更高的路由限制（5000 条出站路由和 1000 条入站路由），而 AWS Direct Connect 单独连接目前限制为 200 条出站路由和 100 条入站路由。

私有 IP VPN 的工作原理

私有 IP 站点到站点 VPN 通过 AWS Direct Connect 传输虚拟接口 (VIF) 运行。它使用 AWS Direct Connect 网关和中转网关将本地网络与 AWS VPC 互连。私有 IP VPN 连接在 AWS 侧面的传输网关和本地端的客户网关设备上都有终止点。您必须为 IPsec 隧道的传输网关和客户网关设备端分配私有 IP 地址。您可以使用来自 RFC1918 或 RFC6598 私有 IPv4 地址范围的私有 IP 地址。

您将私有 IP VPN 连接附加到中转网关。随后，您可以在 VPN 连接和任何也连接到中转网关的 VPC（或其他网络）之间路由流量。您可以通过将路由表与 VPN 连接关联来实现此目标。对于相反的方向，您可以使用与 VPC 关联的路由表将来自 VPC 的流量路由到私有 IP VPN 连接。

与 VPN 连接关联的路由表可以与底层 AWS Direct Connect 连接关联的路由表相同或不同。这使您能够在 VPC 和本地网络之间同时路由加密的流量和未加密的流量。

有关离开 VPN 的流量路径的更多详细信息，请参阅《AWS Direct Connect 用户指南》中的私有虚拟接口和传输虚拟接口路由策略。

先决条件

要完成对 AWS Direct Connect上的私有 IP VPN 的设置，需要以下资源：

• 您的本地网络和之间的 AWS Direct Connect 连接 AWS

• 与相应传输 AWS Direct Connect 网关关联的网关

• 具有可用的私有 IP CIDR 块的中转网关

• 本地网络中的客户网关设备和相应的 AWS 客户网关

创建客户网关

客户网关是您在中创建的资源 AWS。它表示本地网络中的客户网关设备。创建客户网关时，您需要向提供有关您的设备的信息 AWS。有关更多详细信息，请参阅客户网关。

使用控制台创建客户网关

1. 通过 https://console.aws.amazon.com/vpc/ 打开 Amazon VPC 控制台。

2. 在导航窗格中，选择客户网关。

3. 选择创建客户网关。

4. （可选）对于 Name tag（名称标签），为您的客户网关输入名称。这样做可创建具有 Name 键以及您指定的值的标签。

5. 对于 BGP ASN，输入您的客户网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

6. 对于 IP address（IP 地址），输入您的客户网关设备的私有 IP 地址。

7. （可选）对于 Device（设备），输入托管此客户网关的设备的名称。

8. 选择创建客户网关。

使用命令行或 API 创建客户网关

• CreateCustomer网关（亚马逊 EC2 查询 API）

• create-customer-gateway (AWS CLI)

准备中转网关

中转网关是网络中转中心，您可用它来互连 VPC 和本地网络。您可以创建新的中转网关，也可以使用现有中转网关来建立私有 IP VPN 连接。在创建中转网关或修改现有中转网关时，可以为连接指定私有 IP CIDR 块。

注意

在指定要与私有 IP VPN 关联的中转网关 CIDR 块时，请确保 CIDR 块不会与中转网关上的任何其他网络连接的任何 IP 地址重叠。如果任何 IP CIDR 块发生了重叠，可能会导致客户网关设备出现配置问题。

有关创建或修改用于私有 IP VPN 的传输网关的特定 AWS 控制台步骤，请参阅 Amazon VPC 传输网关指南中的传输网关。

使用命令行或 API 创建中转网关

• CreateTransit网关（亚马逊 EC2 查询 API）

• create-transit-gateway (AWS CLI)

创建网 AWS Direct Connect 关

按照AWS Direct Connect 用户指南中的创建 Di rect Connect 网关步骤创建网关。 AWS Direct Connect

使用命令行或 API 创建 AWS Direct Connect 网关

• CreateDirectConnectGateway（AWS Direct Connect 查询 API）

• create-direct-connect-gateway (AWS CLI)

创建中转网关关联

创建 AWS Direct Connect 网关后，为网关创建中转 AWS Direct Connect 网关联。为之前在允许的前缀列表中确定的中转网关指定私有 IP CIDR。

有关更多信息，请参阅《AWS Direct Connect 用户指南》中的中转网关关联。

使用命令行或 API 创建 AWS Direct Connect 网关关联

• CreateDirectConnectGateway关联（AWS Direct Connect 查询 API）

• create-direct-connect-gateway-association (AWS CLI)

创建 VPN 连接

使用私有 IP 地址创建 VPN 连接

1. 通过 https://console.aws.amazon.com/vpc/ 打开 Amazon VPC 控制台。

2. 在导航窗格中，选择 Site-to-Site VPN 连接。

3. 选择 Create VPN connection（创建 VPN 连接）。

4. （可选）对于名称标签，为您的 Site-to-Site VPN 连接输入名称。这样做可创建具有 Name 键以及您指定的值的标签。

5. 对于 Target gateway type（目标网关类型），选择 Transit gateway（中转网关）。然后，选择您之前确定的中转网关。

6. 对于 Customer gateway（客户网关），选择 Existing（现有）。然后，选择您之前创建的客户网关。

7. 根据您的客户网关设备是否支持边界网关协议 (BGP)，选择一个路由选项：

   • 如果您的客户网关设备支持 BGP，请选择 Dynamic (requires BGP)（动态 (需要 BPG)）。

   • 如果您的客户网关设备不支持 BGP，请选择 Static（静态）。

8. 对于隧道内部 IP 版本，指定 VPN 隧道是支持 IPv4 还是 IPv6 流量。

9. （可选）如果您在 IP 版本内为隧道指定了 IPv4，则可以选择为允许通过 VPN 隧道进行通信的客户网关和 AWS 端指定 IPv4 CIDR 范围。默认值为 0.0.0.0/0。

   如果您在 IP 版本内为隧道指定了 IP v 6，则可以选择为客户网关和允许通过 VPN 隧道进行通信的 AWS 端指定 IPv6 CIDR 范围。这两个范围的默认值均为 ::/0。

10. 对于外部 IP 地址类型，请选择 PrivateIpv4。

11. 对于传输附件 ID，请为相应网关选择传输 AWS Direct Connect 网关附件。

12. 选择 Create VPN connection（创建 VPN 连接）。

注意

Enable acceleration（启用加速）选项不适用于 AWS Direct Connect上的 VPN 连接。