私有 IP AWS Site-to-Site VPN与Direct Connect

借助私有 IP VPN，您可以通过部署 IPsec VPN Direct Connect，加密本地网络和本地网络之间的流量AWS，而无需使用公有 IP 地址或其他第三方 VPN 设备。

私有 IP VPN 的主要用例之一Direct Connect是帮助金融、医疗保健和联邦行业的客户实现监管和合规目标。Private IP VPN Direct Connect可确保AWS与本地网络之间的流量既安全又私密，从而使客户能够遵守其监管和安全规定。

私有 IP VPN 的好处

简化的网络管理和操作：如果没有私有 IP VPN，客户必须部署第三方 VPN 和路由器来实现Direct Connect网络私 VPNs 有化。利用私有 IP VPN 功能，客户无需部署和管理自己的 VPN 基础结构。这可以简化网络运营并降低成本。
改善安全状况：以前，客户必须使用公共Direct Connect虚拟接口 (VIF) 来加密流量Direct Connect，这需要为 VPN 端点提供公有 IP 地址。公开使用 IPs 会增加外部 (DOS) 攻击的可能性，这反过来又迫使客户部署额外的安全设备来保护网络。此外，公共 VIF 开放了所有AWS公共服务和客户本地网络之间的访问权限，从而增加了风险的严重性。私有 IP VPN 功能允许通过Direct Connect传输进行加密 VIFs （而不是公共 VIFs），并能够配置私有 IPs。除了加密之外，这还提供 end-to-end私有连接，从而改善了整体安全状况。
更高的路由规模：私有 IP VPN 连接提供更高的路由限制（5000 条出站路由和 1000 条入站路由），而Direct Connect单独连接目前限制为 200 条出站路由和 100 条入站路由。

私有 IP VPN 的工作原理

私有 IP Site-to-Site VPN 通过Direct Connect传输虚拟接口 (VIF) 运行。它使用Direct Connect网关和传输网关将您的本地网络与AWS VPCs之互连。私有 IP VPN 连接在AWS侧面的传输网关和本地端的客户网关设备上都有终止点。您必须为 IPsec 隧道的传输网关和客户网关设备端分配私有 IP 地址。您可以使用任一地址范围内的私有 IP 地址， RFC1918 也可以使用 RFC6598 私有 IPv4 地址范围。

您将私有 IP VPN 连接附加到中转网关。然后，您可以在 VPN 连接和也连接到传输网关的任何 VPCs （或其他网络）之间路由流量。您可以通过将路由表与 VPN 连接关联来实现此目标。相反，您可以使用与关联的路由表，将流量从您的路由 VPCs 到私有 IP VPN 附件 VPCs。

与 VPN 连接关联的路由表可以与底层Direct Connect连接关联的路由表相同或不同。这使您能够在本地网络和本地网络之间同时路由加密 VPCs和未加密的流量。

有关离开 VPN 的流量路径的更多详细信息，请参阅《Direct Connect用户指南》中的私有虚拟接口和中转虚拟接口路由策略。

先决条件

下表描述了通过 Direct Connect 创建私有 IP VPN 之前需要满足的先决条件。

Item	Steps	信息
为 Site-to-Site VPN 准备传输网关。	使用Amazon Virtual Private Cloud(VPC) 控制台或使用命令行或 API 创建传输网关。请参阅《Amazon VPC 中转网关指南》中的中转网关。	传输网关是一个网络中转枢纽，可用于将您的网络 VPCs 和本地网络互连。您可以创建新的中转网关，也可以使用现有中转网关来建立私有 IP VPN 连接。在创建中转网关或修改现有中转网关时，可以为连接指定私有 IP CIDR 块。注意在指定要与私有 IP VPN 关联的中转网关 CIDR 块时，请确保 CIDR 块不会与中转网关上的任何其他网络连接的任何 IP 地址重叠。如果任何 IP CIDR 块发生了重叠，可能会导致客户网关设备出现配置问题。
为 Site-to-Site VPN 创建Direct Connect网关。	使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关。请参阅Direct Connect用户指南中的创建AWS Direct Connect 网关。	Direct Connect 网关允许您跨多个AWS区域连接虚拟接口 (VIFs)。此网关用于连接到您的 VIF。
为 Site-to-Site VPN 创建传输网关关联。	使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关和中转网关之间的关联。请参阅《Direct Connect用户指南》中的关联或取消Direct Connect与公交网关的关联。	创建Direct Connect网关后，为网关创建中转Direct Connect网关联。为之前在允许的前缀列表中确定的中转网关指定私有 IP CIDR。

Item

Steps

信息

为 Site-to-Site VPN 准备传输网关。

使用Amazon Virtual Private Cloud(VPC) 控制台或使用命令行或 API 创建传输网关。

请参阅《Amazon VPC 中转网关指南》中的中转网关。

传输网关是一个网络中转枢纽，可用于将您的网络 VPCs 和本地网络互连。您可以创建新的中转网关，也可以使用现有中转网关来建立私有 IP VPN 连接。在创建中转网关或修改现有中转网关时，可以为连接指定私有 IP CIDR 块。

注意

在指定要与私有 IP VPN 关联的中转网关 CIDR 块时，请确保 CIDR 块不会与中转网关上的任何其他网络连接的任何 IP 地址重叠。如果任何 IP CIDR 块发生了重叠，可能会导致客户网关设备出现配置问题。

为 Site-to-Site VPN 创建Direct Connect网关。

使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关。

请参阅Direct Connect用户指南中的创建AWS Direct Connect 网关。

Direct Connect 网关允许您跨多个AWS区域连接虚拟接口 (VIFs)。此网关用于连接到您的 VIF。

为 Site-to-Site VPN 创建传输网关关联。

使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关和中转网关之间的关联。

请参阅《Direct Connect用户指南》中的关联或取消Direct Connect与公交网关的关联。

创建Direct Connect网关后，为网关创建中转Direct Connect网关联。为之前在允许的前缀列表中确定的中转网关指定私有 IP CIDR。

任务

通过 Direct Connect 创建私有 IP VPN

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

轮换 VPN 隧道端点证书

通过 Direct Connect 创建私有 IP VPN