私人 IP VPN 與 AWS Direct Connect

使用私有 IP VPN，您可以部署 IPsec VPN AWS Direct Connect，加密內部部署網路之間的流量 AWS，而無需使用公有 IP 位址或其他第三方 VPN 設備。

私有 IP VPN 的主要使用案例之一 AWS Direct Connect 是協助金融、醫療保健和聯邦產業的客戶達成法規和合規目標。私有 IP VPN AWS Direct Connect 可確保 AWS 與內部部署網路之間的流量既安全又私密，讓客戶能夠遵守其法規和安全要求。

私有 IP VPN 的優勢

• 簡化網絡管理和操作：如果沒有私有 IP VPN，客戶必須部署第三方 VPN 和路由器，以通過 AWS Direct Connect 網絡實施私有 VPN。有了私有 IP VPN 功能，客戶就無需部署和管理專屬的 VPN 基礎架構。如此即可簡化網路作業，並降低成本。

• 改善安全狀態：以前，客戶必須使用公用 AWS Direct Connect 虛擬介面 (VIF) 來加密流量 AWS Direct Connect，這需要 VPN 端點的公用 IP 位址。不過，使用公有 IP 會提高遭受外部 (DOS) 攻擊的可能性，導致客戶需要部署額外的安全裝置來保護網路。此外，公用 VIF 會開啟所有 AWS 公用服務與客戶內部部署網路之間的存取，進而提高風險的嚴重性。私有 IP VPN 功能允許透過 AWS Direct Connect 傳輸 VIF (而非公有 VIF) 進行加密，以及設定私有 IP 的功能。除了加密之外，這還提供 end-to-end 私人連接，從而改善整體安全狀態。

• 更高的路由規模：與 AWS Direct Connect 單獨相比，私有 IP VPN 連接提供更高的路由限制（5000 條出站路由和 1000 條入站路由），目前的出站路由限制為 200 條和 100 條入站路由。

私有 IP VPN 的運作方式

私有 IP Site-to-Site VPN 可透過 AWS Direct Connect 傳輸虛擬介面 (VIF) 運作。它會使用 AWS Direct Connect 閘道和傳輸閘道，將您的內部部署網路和 AWS VPC 予以互連。私有 IP VPN 連線在 AWS 側邊的傳輸閘道和內部部署端的客戶閘道裝置上都有終止點。您必須將私有 IP 位址指派給傳輸閘道和 IPsec 通道的客戶閘道裝置末端。您可以使用來自 RFC1918 或 RFC6598 私人 IPv4 位址範圍的私人 IP 位址。

請將私有 IP VPN 連接附加至傳輸閘道。隨後，則要路由 VPN 連接和任何 VPC (或其他網路) 之間的流量，而這些流量也會附加至傳輸閘道。只要為路由表和 VPN 連接建立關聯，即可完成這項操作。若要進行反向操作，您可以使用已和 VPC 建立關聯的路由表，將流量從 VPC 路由至私有 IP VPN 連接。

與 VPN 附件關聯的路由表可以與與基 AWS Direct Connect 礎附件相關聯的路由表相同或不同。此舉可讓您同時路由 VPC 和內部部署網路之間的加密及未加密流量。

如需離開 VPN 之流量路徑的詳細資訊，請參閱AWS Direct Connect 使用指南中的私人虛擬介面和傳輸虛擬介面路由政策。

必要條件

完成透過 AWS Direct Connect的私有 IP VPN 設定需要使用下列資源：

• 內部部署網路與之間的 AWS Direct Connect 連線 AWS

• 與適當傳輸 AWS Direct Connect 閘道關聯的閘道

• 具備可用私有 IP CIDR 區塊的傳輸閘道

• 內部部署網路中的客戶閘道裝置，以及對應的 AWS 客戶閘道

建立客戶閘道

客戶閘道是您在中建立的資源 AWS。它會用來代表您內部部署網路中的客戶閘道裝置。當您建立客戶閘道時，您會將裝置的相關資訊提供給 AWS。如需詳細資訊，請參閱客戶閘道。

使用主控台建立客戶閘道

1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇客戶閘道。

3. 選擇建立客戶閘道。

4. (選用) 針對 Name (名稱)，輸入您客戶閘道的名稱。執行此作業會使用 Name 做為索引鍵，以及您指定的值來建立標籤。

5. 對於 BGP ASN，輸入您客戶閘道的邊界閘道協定 (BGP) 自主系統編號 (ASN)。

6. 針對 IP address (IP 地址)，請輸入您客戶閘道裝置的私有 IP 地址。

7. (可選)對於 Device (裝置) 中，輸入承載此客戶閘道的裝置名稱。

8. 選擇建立客戶閘道。

使用命令列或 API 建立客戶閘道

• CreateCustomer閘道 (Amazon EC2 查詢 API)

• create-customer-gateway (AWS CLI)

準備傳輸閘道

傳輸閘道是網路傳輸中樞，您可以用於互相連接 VPC 和現場部署網路。您可以建立新的傳輸閘道進行私有 IP VPN 連接，或使用現有傳輸閘道。建立傳輸閘道或修改現有傳輸閘道時，請為連線指定私有 IP CIDR 區塊。

注意

指定要與私有 IP VPN 建立關聯的傳輸閘道 CIDR 區塊時，請確認該 CIDR 區塊未與該傳輸閘道上其他任何網路連接的任何 IP 地址重疊。如有任何 IP CIDR 區塊發生重疊，您的客戶閘道裝置可能會發生設定問題。

如需建立或修改傳輸閘道以用於私有 IP VPN 的特定 AWS 主控台步驟，請參閱《Amazon VPC 傳輸閘道指南》中的傳輸閘道。

使用命令列或 API 建立傳輸閘道

• CreateTransit閘道 (Amazon EC2 查詢 API)

• create-transit-gateway (AWS CLI)

建立 AWS Direct Connect 閘道

按照《AWS Direct Connect 使用 AWS Direct Connect 指南》中的〈建立直 Connect 閘道〉程序建立閘道。

若要使用命令列或 API 建立 AWS Direct Connect 閘道

• CreateDirectConnectGateway(AWS Direct Connect 查詢 API)

• create-direct-connect-gateway (AWS CLI)

建立傳輸閘道關聯

建立 AWS Direct Connect 閘道後，請建立閘道的傳輸 AWS Direct Connect 閘道關聯。請為先前在允許字首清單中識別的傳輸閘道指定私有 IP CIDR。

如需詳細資訊，請參閱 AWS Direct Connect 使用者指南中的傳輸閘道關聯。

若要使用命令列或 API 建立 AWS Direct Connect 閘道關聯

• CreateDirectConnectGateway關聯 (AWS Direct Connect 查詢 API)

• create-direct-connect-gateway-association (AWS CLI)

建立 VPN 連接

使用私有 IP 地址建立 VPN 連接

1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇站台對站台 VPN 連接。

3. 選擇 Create VPN Connection (建立 VPN 連接)。

4. (選用) 針對 Name tag (名稱標籤)，輸入您 Site-to-Site VPN 連接的名稱。執行此作業會使用 Name 做為鍵，以及您指定的值來建立標籤。

5. 針對目標閘道類型，請選擇傳輸閘道。然後，選擇您先前識別的傳輸閘道。

6. 針對客戶閘道，請選取現有。然後，選擇您先前建立的客戶閘道。

7. 根據您的客戶閘道裝置是否支援邊界閘道協定 (BGP)，選取任一路由選項：

   • 如果您的客戶閘道裝置支援 BGP，請選擇 Dynamic (requires BGP) (動態 (需要 BGP))。

   • 如果您的客戶閘道裝置不支援 BGP，請選擇 Static (靜態)。

8. 針對通道內部 IP 版本，請指定 VPN 通道是否支援 IPv4 或 IPv6 流量。

9. (選擇性) 如果您為 IP 版本內的通道指定 IPv4，您可以選擇性地為允許透過 VPN 通道進行通訊的客戶閘道和 AWS 端指定 IPv4 CIDR 範圍。預設值為 0.0.0.0/0。

   如果您為 IP 版本內的通道指定 IPv6，您可以選擇性地為客戶閘道和 AWS 允許透過 VPN 通道進行通訊的端指定 IPv6 CIDR 範圍。這兩個範圍的預設值為 ::/0。

10. 針對「外部 IP 位址類型」，選擇「PrivateIpv4」。

11. 針對傳輸附件 ID，選擇適當閘道的傳輸 AWS Direct Connect 閘道附件。

12. 選擇 Create VPN Connection (建立 VPN 連接)。

注意

啟用加速選項不適用於透過 AWS Direct Connect的 VPN 連線。