Vorteile von privatem IP-VPN Funktionsweise von privatem IP-VPN Voraussetzungen

Private IP AWS Site-to-Site VPN mit Direct Connect

Mit Private IP VPN können Sie IPsec VPN über Direct Connect bereitstellen und dabei den Datenverkehr zwischen Ihrem lokalen Netzwerk verschlüsseln AWS, ohne öffentliche IP-Adressen oder zusätzliche VPN-Geräte von Drittanbietern verwenden zu müssen.

Einer der Hauptanwendungsfälle für privates IP-VPN Direct Connect ist die Unterstützung von Kunden in der Finanz-, Gesundheits- und Bundesbranche bei der Einhaltung gesetzlicher Vorschriften und Compliance-Ziele. Private IP VPN Over Direct Connect stellt sicher, dass der Datenverkehr zwischen AWS und lokalen Netzwerken sowohl sicher als auch privat ist, sodass Kunden ihre regulatorischen und sicherheitstechnischen Anforderungen einhalten können.

Vorteile von privatem IP-VPN

Vereinfachtes Netzwerkmanagement und -betrieb: Ohne privates IP-VPN müssen Kunden VPNs und Router von Drittanbietern einsetzen, um private VPNs Netzwerke zu implementieren.Direct Connect Mit der Funktion für privates IP-VPN müssen Kunden keine eigene VPN-Infrastruktur bereitstellen und verwalten. Das Ergebnis ist ein vereinfachter Netzwerkbetrieb zu geringeren Kosten.
Verbesserter Sicherheitsstatus: Bisher mussten Kunden eine öffentliche Direct Connect virtuelle Schnittstelle (VIF) für die Verschlüsselung des Datenverkehrs verwenden Direct Connect, wofür öffentliche IP-Adressen für VPN-Endpunkte erforderlich waren. Die Nutzung öffentlicher IPs Netzwerke erhöht die Wahrscheinlichkeit von externen Angriffen (DOS), was wiederum Kunden dazu zwingt, zusätzliche Sicherheitsausrüstung für den Netzwerkschutz einzusetzen. Darüber hinaus ermöglicht ein öffentliches VIF den Zugang zwischen allen AWSöffentlichen Diensten und den Netzwerken der Kunden vor Ort, was die Schwere des Risikos erhöht. Die private IP-VPN-Funktion ermöglicht die Verschlüsselung über die Direct ConnectÜbertragung VIFs (statt über die öffentliche Verbindung VIFs) und bietet zudem die Möglichkeit, private Verbindungen zu konfigurieren. IPs Dies bietet zusätzlich zur Verschlüsselung end-to-end private Konnektivität und verbessert so die allgemeine Sicherheitslage.
Höherer Routenumfang: Private IP-VPN-Verbindungen bieten höhere Routenlimits (5000 ausgehende Routen und 1000 eingehende Routen) im Vergleich zu Direct Connect reinen Verbindungen, bei denen derzeit ein Limit von 200 ausgehenden und 100 eingehenden Routen gilt.

Funktionsweise von privatem IP-VPN

Privates Site-to-Site IP-VPN funktioniert über eine virtuelle Direct Connect Transitschnittstelle (VIF). Es verwendet ein Direct Connect Gateway und ein Transit-Gateway, um Ihre lokalen Netzwerke miteinander zu verbinden.AWS VPCs Eine private IP-VPN-Verbindung hat Endpunkte am Transit-Gateway auf der AWS Seite und an Ihrem Kunden-Gateway-Gerät auf der lokalen Seite. Sie müssen sowohl dem Transit-Gateway als auch dem Kunden-Gateway-Geräteende der IPsec Tunnel private IP-Adressen zuweisen. Sie können private IP-Adressen aus einem RFC1918 oder RFC6598 privaten IPv4 Adressbereichen verwenden.

Sie hängen eine private IP-VPN-Verbindung an ein Transit Gateway an. Anschließend leiten Sie den Verkehr zwischen der VPN-Verbindung und allen VPCs (oder anderen Netzwerken) weiter, die ebenfalls an das Transit-Gateway angeschlossen sind. Dazu ordnen Sie dem VPN-Anhang eine Routing-Tabelle zu. In umgekehrter Richtung können Sie den Verkehr von Ihrem VPCs zum privaten IP-VPN-Anhang weiterleiten, indem Sie Routentabellen verwenden, die dem zugeordnet sind VPCs.

Die Routing-Tabelle, die der VPN-Anlage zugeordnet ist, kann dieselbe oder eine andere sein als die Routing-Tabelle, die der zugrunde liegenden Direct Connect Anlage zugeordnet ist. Auf diese Weise können Sie sowohl verschlüsselten als auch unverschlüsselten Datenverkehr gleichzeitig zwischen Ihren VPCs und Ihren lokalen Netzwerken weiterleiten.

Weitere Informationen zum Datenverkehrspfad, der das VPN verlässt, finden Sie unter Routing-Richtlinien für private virtuelle Schnittstellen und virtuelle Transitschnittstellen im Direct Connect Benutzerhandbuch.

Voraussetzungen

In der folgenden Tabelle werden die Voraussetzungen beschrieben, bevor Sie ein privates IP-VPN über Direct Connect einrichten.

Item	Schritte	Informationen
Bereiten Sie das Transit-Gateway für Site-to-Site VPN vor.	Erstellen Sie das Transit-Gateway mithilfe der Amazon Virtual Private Cloud(VPC-) Konsole oder mithilfe der Befehlszeile oder API. Weitere Informationen finden Sie unter Transit-Gateways im Amazon VPC Transit Gateways-Handbuch.	Ein Transit-Gateway ist ein Netzwerk-Transit-Hub, über den Sie Ihre Netzwerke und Ihre VPCs lokalen Netzwerke miteinander verbinden können. Sie können ein neues Transit Gateway erstellen oder ein vorhandenes für die private IP-VPN-Verbindung verwenden. Wenn Sie das Transit Gateway erstellen oder ein vorhandenes Transit Gateway ändern, geben Sie einen privaten IP-CIDR-Block für die Verbindung an. Anmerkung Wenn Sie den CIDR-Block des Transit Gateways angeben, der mit Ihrem privaten IP-VPN verknüpft werden soll, stellen Sie sicher, dass sich der CIDR-Block nicht mit IP-Adressen für andere Netzwerkanhänge auf dem Transit Gateway überschneidet. Wenn sich IP-CIDR-Blöcke überschneiden, kann dies zu Problemen bei der Konfiguration Ihres Kunden-Gateway-Geräts führen.
Erstellen Sie das Direct Connect Gateway für Site-to-Site VPN.	Erstellen Sie das Direct Connect-Gateway mithilfe der Direct Connect-Konsole oder mithilfe der Befehlszeile oder API. Weitere Informationen finden Sie unter Erstellen eines AWS Direct Connect-Gateways im Direct Connect Benutzerhandbuch.	Ein Direct Connect-Gateway ermöglicht es Ihnen, virtuelle Schnittstellen (VIFs) über mehrere AWS Regionen hinweg zu verbinden. Dieses Gateway wird verwendet, um eine Verbindung zu Ihrer VIF herzustellen.
Erstellen Sie die Transit-Gateway-Zuordnung für Site-to-Site VPN.	Erstellen Sie die Zuordnung zwischen dem Direct Connect-Gateway und dem Transit-Gateway mithilfe der Direct Connect-Konsole oder mithilfe der Befehlszeile oder API. Weitere Informationen finden Sie im Benutzerhandbuch unter Zuordnen oder Direct Connect Aufheben der Verbindung zu einem Transit-Gateway.Direct Connect	Nachdem Sie das Direct Connect Gateway erstellt haben, erstellen Sie eine Transit-Gateway-Zuordnung für das Direct Connect Gateway. Geben Sie das private IP-CIDR für das Transit Gateway an, das zuvor in der Liste zulässiger Präfixe identifiziert wurde.

Item

Schritte

Informationen

Bereiten Sie das Transit-Gateway für Site-to-Site VPN vor.

Erstellen Sie das Transit-Gateway mithilfe der Amazon Virtual Private Cloud(VPC-) Konsole oder mithilfe der Befehlszeile oder API.

Weitere Informationen finden Sie unter Transit-Gateways im Amazon VPC Transit Gateways-Handbuch.

Ein Transit-Gateway ist ein Netzwerk-Transit-Hub, über den Sie Ihre Netzwerke und Ihre VPCs lokalen Netzwerke miteinander verbinden können. Sie können ein neues Transit Gateway erstellen oder ein vorhandenes für die private IP-VPN-Verbindung verwenden. Wenn Sie das Transit Gateway erstellen oder ein vorhandenes Transit Gateway ändern, geben Sie einen privaten IP-CIDR-Block für die Verbindung an.

Anmerkung

Wenn Sie den CIDR-Block des Transit Gateways angeben, der mit Ihrem privaten IP-VPN verknüpft werden soll, stellen Sie sicher, dass sich der CIDR-Block nicht mit IP-Adressen für andere Netzwerkanhänge auf dem Transit Gateway überschneidet. Wenn sich IP-CIDR-Blöcke überschneiden, kann dies zu Problemen bei der Konfiguration Ihres Kunden-Gateway-Geräts führen.

Erstellen Sie das Direct Connect Gateway für Site-to-Site VPN.

Erstellen Sie das Direct Connect-Gateway mithilfe der Direct Connect-Konsole oder mithilfe der Befehlszeile oder API.

Weitere Informationen finden Sie unter Erstellen eines AWS Direct Connect-Gateways im Direct Connect Benutzerhandbuch.

Ein Direct Connect-Gateway ermöglicht es Ihnen, virtuelle Schnittstellen (VIFs) über mehrere AWS Regionen hinweg zu verbinden. Dieses Gateway wird verwendet, um eine Verbindung zu Ihrer VIF herzustellen.

Erstellen Sie die Transit-Gateway-Zuordnung für Site-to-Site VPN.

Erstellen Sie die Zuordnung zwischen dem Direct Connect-Gateway und dem Transit-Gateway mithilfe der Direct Connect-Konsole oder mithilfe der Befehlszeile oder API.

Weitere Informationen finden Sie im Benutzerhandbuch unter Zuordnen oder Direct Connect Aufheben der Verbindung zu einem Transit-Gateway.Direct Connect

Nachdem Sie das Direct Connect Gateway erstellt haben, erstellen Sie eine Transit-Gateway-Zuordnung für das Direct Connect Gateway. Geben Sie das private IP-CIDR für das Transit Gateway an, das zuvor in der Liste zulässiger Präfixe identifiziert wurde.

Aufgaben

Erstellen Sie ein privates IP-VPN über Direct Connect

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

VPN-Tunnelendpunkt-Zertifikate rotieren

Erstellen Sie ein privates IP-VPN über Direct Connect