本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 私有 IP AWS Site-to-Site VPN与Direct Connect
借助私有 IP VPN,您可以通过部署 IPsec VPN Direct Connect,加密本地网络和本地网络之间的流量AWS,而无需使用公有 IP 地址或其他第三方 VPN 设备。
私有 IP VPN 的主要用例之一Direct Connect是帮助金融、医疗保健和联邦行业的客户实现监管和合规目标。Private IP VPN Direct Connect可确保AWS与本地网络之间的流量既安全又私密,从而使客户能够遵守其监管和安全规定。
## 私有 IP VPN 的好处
+ **简化的网络管理和操作:**如果没有私有 IP VPN,客户必须部署第三方 VPN 和路由器来实现Direct Connect网络私 VPNs 有化。利用私有 IP VPN 功能,客户无需部署和管理自己的 VPN 基础结构。这可以简化网络运营并降低成本。
+ **改善安全状况:**以前,客户必须使用公共Direct Connect虚拟接口 (VIF) 来加密流量Direct Connect,这需要为 VPN 端点提供公有 IP 地址。公开使用 IPs 会增加外部 (DOS) 攻击的可能性,这反过来又迫使客户部署额外的安全设备来保护网络。此外,公共 VIF 开放了所有AWS公共服务和客户本地网络之间的访问权限,从而增加了风险的严重性。私有 IP VPN 功能允许通过Direct Connect传输进行加密 VIFs (而不是公共 VIFs),并能够配置私有 IPs。除了加密之外,这还提供 end-to-end私有连接,从而改善了整体安全状况。
+ **更高的路由规模:**私有 IP VPN 连接提供更高的路由限制(5000 条出站路由和 1000 条入站路由),而Direct Connect单独连接目前限制为 200 条出站路由和 100 条入站路由。
## 私有 IP VPN 的工作原理
私有 IP Site-to-Site VPN 通过Direct Connect传输虚拟接口 (VIF) 运行。它使用Direct Connect网关和传输网关将您的本地网络与AWS VPCs之互连。私有 IP VPN 连接在AWS侧面的传输网关和本地端的客户网关设备上都有终止点。您必须为 IPsec 隧道的传输网关和客户网关设备端分配私有 IP 地址。您可以使用任一地址范围内的私有 IP 地址, RFC1918 也可以使用 RFC6598 私有 IPv4 地址范围。
您将私有 IP VPN 连接附加到中转网关。然后,您可以在 VPN 连接和也连接到传输网关的任何 VPCs (或其他网络)之间路由流量。您可以通过将路由表与 VPN 连接关联来实现此目标。相反,您可以使用与关联的路由表,将流量从您的路由 VPCs 到私有 IP VPN 附件 VPCs。
与 VPN 连接关联的路由表可以与底层Direct Connect连接关联的路由表相同或不同。这使您能够在本地网络和本地网络之间同时路由加密 VPCs和未加密的流量。
有关离开 VPN 的流量路径的更多详细信息,请参阅《Direct Connect用户指南》**中的[私有虚拟接口和中转虚拟接口路由策略](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies)。
## 先决条件
下表描述了通过 Direct Connect 创建私有 IP VPN 之前需要满足的先决条件。
| Item | Steps | 信息 |
| --- | --- | --- |
| 为 Site-to-Site VPN 准备传输网关。 | 使用Amazon Virtual Private Cloud(VPC) 控制台或使用命令行或 API 创建传输网关。 请参阅《Amazon VPC 中转网关指南》**中的[中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。 | 传输网关是一个网络中转枢纽,可用于将您的网络 VPCs 和本地网络互连。您可以创建新的中转网关,也可以使用现有中转网关来建立私有 IP VPN 连接。在创建中转网关或修改现有中转网关时,可以为连接指定私有 IP CIDR 块。 在指定要与私有 IP VPN 关联的中转网关 CIDR 块时,请确保 CIDR 块不会与中转网关上的任何其他网络连接的任何 IP 地址重叠。如果任何 IP CIDR 块发生了重叠,可能会导致客户网关设备出现配置问题。 |
| 为 Site-to-Site VPN 创建Direct Connect网关。 | 使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关。 请参阅*Direct Connect用户指南*中的[创建AWS Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)。 | Direct Connect 网关允许您跨多个AWS区域连接虚拟接口 (VIFs)。此网关用于连接到您的 VIF。 |
| 为 Site-to-Site VPN 创建传输网关关联。 | 使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关和中转网关之间的关联。 请参阅《*Direct Connect用户指南》*中的[关联或取消Direct Connect与公交网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)的关联。 | 创建Direct Connect网关后,为网关创建中转Direct Connect网关联。为之前在允许的前缀列表中确定的中转网关指定私有 IP CIDR。 |
**Topics**
+ [私有 IP VPN 的好处](#private-ip-dx-features)
+ [私有 IP VPN 的工作原理](#private-ip-dx-how)
+ [先决条件](#private-ip-dx-prereqs)
+ [通过 Direct Connect 创建私有 IP VPN](private-ip-dx-steps.md)
# 通过创建私有 AWS Site-to-Site VPN IP Direct Connect
要使用创建私有 IP VPN, Direct Connect 请按照以下步骤操作。在通过 Direct Connect 创建私有 IP VPN 之前,您需要确保首先创建中转网关和 Direct Connect 网关。在创建这两个网关后,需要在两个网关之间创建关联。下表描述了这些先决条件。在创建并关联这两个网关后,应使用该关联创建 VPN 客户网关和连接。
## 先决条件
下表描述了通过 Direct Connect 创建私有 IP VPN 之前需要满足的先决条件。
| Item | Steps | 信息 |
| --- | --- | --- |
| 为 Site-to-Site VPN 准备传输网关。 | 使用 Amazon Virtual Private Cloud (VPC) 控制台或使用命令行或 API 创建传输网关。 请参阅《Amazon VPC 中转网关指南》**中的[中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。 | 传输网关是一个网络中转枢纽,可用于将您的网络 VPCs 和本地网络互连。您可以创建新的中转网关,也可以使用现有中转网关来建立私有 IP VPN 连接。在创建中转网关或修改现有中转网关时,可以为连接指定私有 IP CIDR 块。 在指定要与私有 IP VPN 关联的中转网关 CIDR 块时,请确保 CIDR 块不会与中转网关上的任何其他网络连接的任何 IP 地址重叠。如果任何 IP CIDR 块发生了重叠,可能会导致客户网关设备出现配置问题。 |
| 为 Site-to-Site VPN 创建 Direct Connect 网关。 | 使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关。 请参阅*Direct Connect 用户指南*中的[创建 AWS Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)。 | Direct Connect 网关允许您跨多个 AWS 区域连接虚拟接口 (VIFs)。此网关用于连接到您的 VIF。 |
| 为 Site-to-Site VPN 创建传输网关关联。 | 使用 Direct Connect 控制台、命令行或 API 创建 Direct Connect 网关和中转网关之间的关联。 请参阅*Direct Connect 用户指南*中的[关联或取消 Direct Connect 与公交网关的关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)联。 | 创建 Direct Connect 网关后,为网关创建中转 Direct Connect 网关联。为之前在允许的前缀列表中确定的中转网关指定私有 IP CIDR。 |
## 为 Site-to-Site VPN 创建客户网关和连接
客户网关是您在中创建的资源 AWS。它表示本地网络中的客户网关设备。创建客户网关时,您需要向提供有关您的设备的信息 AWS。有关更多详细信息,请参阅[客户网关](how_it_works.md#CustomerGateway)。
**使用控制台创建客户网关**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**客户网关**。
1. 选择**创建客户网关**。
1. (可选)对于 **Name tag**(名称标签),为您的客户网关输入名称。这样做可创建具有 `Name` 键以及您指定的值的标签。
1. 对于 **BGP ASN**,输入您的客户网关的边界网关协议(BGP)自治系统编号(ASN)。
1. 对于 **IP address**(IP 地址),输入您的客户网关设备的私有 IP 地址。
**重要**
配置 AWS 私有 IP 时 AWS Site-to-Site VPN,必须使用 RFC 1918 地址指定自己的隧道端点 IP 地址。请勿使用 point-to-point IP 地址在您的客户网关路由器和终端节点之间进行 eBGP 对等。 Direct Connect AWS 建议使用客户网关路由器上的环回或 LAN 接口作为源地址或目标地址,而不是 point-to-point连接。
有关 RFC 1918 的更多信息,请参阅[私有互联网的地址分配](https://datatracker.ietf.org/doc/html/rfc1918)。
1. (可选)对于 **Device**(设备),输入托管此客户网关的设备的名称。
1. 选择**创建客户网关**。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择**创建 VPN 连接**。
1. (可选)在**名称标签**中,输入您的 Site-to-Site VPN 连接的名称。这样做可创建具有 `Name` 键以及您指定的值的标签。
1. 对于 **Target gateway type**(目标网关类型),选择 **Transit gateway**(中转网关)。然后,选择您之前确定的中转网关。
1. 对于 **Customer gateway**(客户网关),选择 **Existing**(现有)。然后,选择您之前创建的客户网关。
1. 根据您的客户网关设备是否支持边界网关协议(BGP),选择一个路由选项:
+ 如果您的客户网关设备支持 BGP,请选择**动态(需要 BPG)**。
+ 如果您的客户网关设备不支持 BGP,请选择**静态**。
1. 对于 **IP 版本内的隧道**,指定 VPN 隧道是否支持 IPv4 或 IPv6 流量。
1. (可选)如果您在 **IP 版本内指定了隧道**,则可以选择为客户网关和允许通过 VPN 隧道进行通信的 AWS 端指定 IPv4 CIDR 范围。**IPv4**默认值为 `0.0.0.0/0`。
如果您在 **IP 版本内指定**IPv6**隧道**,则可以选择为客户网关和允许通过 VPN 隧道进行通信的 AWS 端指定 IPv6 CIDR 范围。这两个范围的默认值均为 `::/0`。
1. 对于**外部 IP 地址类型**,请选择 **PrivateIpv4**。
1. 对于**传输附件 ID**,请为相应网关选择传输 Direct Connect 网关附件。
1. 选择**创建 VPN 连接**。
**注意**
**Enable acceleration**(启用加速)选项不适用于 Direct Connect上的 VPN 连接。
**使用命令行或 API 创建客户网关**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(亚马逊 EC2 查询 API)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)