View a markdown version of this page

IP privado AWS Site-to-Site VPN com Direct Connect - AWS Site-to-Site VPN
Benefícios da VPN de IP privadoComo funciona a VPN de IP privadoPré-requisitos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

IP privado AWS Site-to-Site VPN com Direct Connect

Com a VPN IP privada, você pode implantar a IPsec VPN Direct Connect, criptografando o tráfego entre sua rede local e AWS sem o uso de endereços IP públicos ou equipamentos VPN adicionais de terceiros.

Um dos principais casos de uso da VPN IP privada Direct Connecté ajudar clientes dos setores financeiro, de saúde e federal a cumprir as metas regulatórias e de conformidade. A VPN IP privada Direct Connect garante que o tráfego entre redes locais AWS e redes locais seja seguro e privado, permitindo que os clientes cumpram suas exigências regulatórias e de segurança.

Benefícios da VPN de IP privado

  • Gerenciamento e operações de rede simplificados: sem VPN IP privada, os clientes precisam implantar VPN e roteadores de terceiros para implementar Direct Connect redes privadas VPNs . Com o recurso da VPN de IP privado, os clientes não precisam implantar nem gerenciar sua própria infraestrutura de VPN. Isso resulta em operações de rede simplificadas e custos reduzidos.

  • Postura de segurança aprimorada: anteriormente, os clientes precisavam usar uma interface Direct Connect virtual pública (VIF) para criptografar o tráfego Direct Connect, o que exigia endereços IP públicos para endpoints de VPN. O uso público IPs aumenta a probabilidade de ataques externos (DOS), o que, por sua vez, obriga os clientes a implantar equipamentos de segurança adicionais para proteção da rede. Além disso, uma VIF pública abre o acesso entre todos os serviços AWS públicos e as redes locais do cliente, aumentando a gravidade do risco. O recurso VPN IP privado permite a criptografia em Direct Connect trânsito VIFs (em vez de pública VIFs), juntamente com a capacidade de configuração privada IPs. Isso fornece conectividade end-to-end privada, além da criptografia, melhorando a postura geral de segurança.

  • Maior escala de rota: as conexões VPN IP privadas oferecem limites de rota mais altos (5.000 rotas de saída e 1.000 rotas de entrada) em comparação com as Direct Connectúnicas, que atualmente têm um limite de 200 rotas de saída e 100 rotas de entrada.

Como funciona a VPN de IP privado

A Site-to-Site VPN IP privada funciona em uma interface virtual de Direct Connect trânsito (VIF). Ele usa um Direct Connect gateway e um gateway de trânsito para interconectar suas redes locais com.AWS VPCs Uma conexão VPN IP privada tem pontos de terminação no gateway de trânsito na AWS lateral e no dispositivo de gateway do cliente no lado local. Você deve atribuir endereços IP privados às extremidades dos IPsec túneis do gateway de trânsito e do dispositivo de gateway do cliente. Você pode usar endereços IP privados de qualquer um RFC1918 ou de intervalos IPv4 de endereços RFC6598 privados.

Anexe uma conexão VPN de IP privado a um gateway de trânsito. Em seguida, você roteia o tráfego entre o anexo VPN e qualquer rede VPCs (ou outras) que também esteja conectada ao gateway de trânsito. Isso é feito associando uma tabela de rotas ao anexo da VPN. Na direção inversa, você pode VPCs rotear o tráfego do seu anexo IP VPN privado usando tabelas de rotas associadas ao VPCs.

A tabela de rotas associada ao anexo VPN pode ser a mesma ou diferente daquela associada ao Direct Connect anexo subjacente. Isso permite rotear tráfego criptografado e não criptografado simultaneamente entre sua rede VPCs e sua rede local.

Para obter mais detalhes sobre o caminho do tráfego que sai da VPN, consulte Políticas de roteamento da interface virtual privada e da interface virtual de trânsito no Guia do usuário do Direct Connect.

Pré-requisitos

A tabela a seguir descreve os pré-requisitos antes de criar uma VPN IP privada pelo Direct Connect.

Item Steps Informações
Prepare o gateway de trânsito para Site-to-Site VPN.

Crie o gateway de trânsito usando o console Amazon Virtual Private Cloud(VPC) ou usando a linha de comando ou a API.

Consulte Gateways de trânsito no Guia de gateways de trânsito da Amazon VPC.

 Um gateway de trânsito é um hub de trânsito de rede que você pode usar para interconectar sua rede com VPCs a rede local. É possível criar um gateway de trânsito ou usar um existente para a conexão da VPN de IP privado. Ao criar o gateway de trânsito ou modificar um existente, especifique um bloco CIDR de IP privado para a conexão.
nota

Ao especificar o bloco CIDR do gateway de trânsito a ser associado à VPN de IP privado, garanta que o bloco CIDR não se sobreponha a nenhum endereço IP referente a qualquer outro anexo de rede no gateway de trânsito. Se algum bloco CIDR IP se sobrepuser, isso poderá causar problemas de configuração com o dispositivo gateway do cliente.
Crie o Direct Connect gateway para Site-to-Site VPN.

Crie o gateway Direct Connect usando o console do Direct Connect ou usando a linha de comando ou a API.

Consulte Criar um gateway AWS Direct Connect no Guia Direct Connect do usuário.

 Um gateway Direct Connect permite que você conecte interfaces virtuais (VIFs) em várias AWS regiões. Esse gateway é usado para se conectar à sua VIF.
Crie a associação de gateway de trânsito para Site-to-Site VPN.

Crie a associação entre o gateway Direct Connect e o gateway de trânsito usando o console Direct Connect ou a linha de comando ou API.

Consulte Associar ou desassociar Direct Connect com um gateway de trânsito no Guia do Direct Connect usuário.

Depois de criar o Direct Connect gateway, crie uma associação de gateway de trânsito para o Direct Connect gateway. Especifique o CIDR de IP privado para o gateway de trânsito identificado anteriormente na lista de prefixos permitidos.
Tarefas