AWS Site-to-Site VPN使用的私有 IP Direct Connect

您可以使用私有 IP VPN 透過部署 IPsec VPN Direct Connect，加密內部部署網路與之間的流量AWS，而無需使用公有 IP 地址或其他第三方 VPN 設備。

私有 IP VPN 的主要使用案例之一Direct Connect，就是協助金融、醫療保健和聯邦產業的客戶達成法規和合規目標。透過的私有 IP VPN Direct Connect可確保AWS和內部部署網路之間的流量既安全又私密，讓客戶能夠遵守其法規和安全要求。

私有 IP VPN 的優勢

簡化的網路管理和操作：如果沒有私有 IP VPN，客戶必須部署第三方 VPN 和路由器，才能透過Direct Connect網路實作私有 VPNs。有了私有 IP VPN 功能，客戶就無需部署和管理專屬的 VPN 基礎架構。如此即可簡化網路作業，並降低成本。
改善安全狀態：先前，客戶必須使用公有Direct Connect虛擬介面 (VIF) 來加密通過的流量Direct Connect，這需要 VPN 端點的公有 IP 地址。不過，使用公有 IP 會提高遭受外部 (DOS) 攻擊的可能性，導致客戶需要部署額外的安全裝置來保護網路。此外，公有 VIF 會開放所有AWS公有服務與客戶內部部署網路之間的存取，增加風險的嚴重性。私有 IP VPN 功能允許透過Direct Connect傳輸 VIFs（而非公VIFs) 進行加密，以及設定私有 IPs的能力。如此即可在加密之外提供端對端私有連線，從而改善整體安全狀態。
更高的路由規模：相較於Direct Connect單獨使用，私有 IP VPN 連線提供更高的路由限制 (5000 個傳出路由和 1000 個傳入路由），目前有 200 個傳出路由和 100 個傳入路由的限制。

私有 IP VPN 的運作方式

私有 IP Site-to-Site VPN 透過Direct Connect傳輸虛擬介面 (VIF) 運作。它會使用Direct Connect閘道和傳輸閘道，將您的內部部署網路和AWS VPC 予以互連。私有 IP VPN 連接在AWS端的傳輸閘道，以及內部部署端的客戶閘道裝置具有終止點。您必須將私有 IP 地址指派給傳輸閘道和 IPsec 通道的客戶閘道裝置端。您可以使用來自 RFC1918 或 RFC6598 私有 IPv4 地址範圍的私有 IP 地址。

請將私有 IP VPN 連接附加至傳輸閘道。隨後，則要路由 VPN 連接和任何 VPC (或其他網路) 之間的流量，而這些流量也會附加至傳輸閘道。只要為路由表和 VPN 連接建立關聯，即可完成這項操作。若要進行反向操作，您可以使用已和 VPC 建立關聯的路由表，將流量從 VPC 路由至私有 IP VPN 連接。

與 VPN 連接相關聯的路由表可與與基礎Direct Connect連接相關聯的路由表相同或不同。此舉可讓您同時路由 VPC 和內部部署網路之間的加密及未加密流量。

如需離開 VPN 的流量路徑詳細資訊，請參閱Direct Connect《使用者指南》中的私有虛擬介面和傳輸虛擬介面路由政策。

先決條件

下表說明透過 Direct Connect 建立私有 IP VPN 之前的詳細資訊。

項目	步驟	資訊
準備Site-to-Site的傳輸閘道。	使用Amazon Virtual Private Cloud(VPC) 主控台或使用命令列或 API 建立傳輸閘道。請參閱《Amazon VPC 傳輸閘道指南》中的傳輸閘道。	傳輸閘道是網路傳輸中樞，您可以用於互相連接 VPC 和現場部署網路。您可以建立新的傳輸閘道進行私有 IP VPN 連接，或使用現有傳輸閘道。建立傳輸閘道或修改現有傳輸閘道時，請為連線指定私有 IP CIDR 區塊。注意指定要與私有 IP VPN 建立關聯的傳輸閘道 CIDR 區塊時，請確認該 CIDR 區塊未與該傳輸閘道上其他任何網路連接的任何 IP 地址重疊。如有任何 IP CIDR 區塊發生重疊，您的客戶閘道裝置可能會發生設定問題。
建立Site-to-Site的Direct Connect閘道。	使用 Direct Connect 主控台或使用命令列或 API 建立 Direct Connect 閘道。請參閱Direct Connect《使用者指南》中的建立AWS Direct Connect 閘道。	Direct Connect 閘道可讓您跨多個AWS區域連接虛擬介面 (VIFs)。此閘道用於連線至您的 VIF。
建立Site-to-Site的傳輸閘道關聯。	使用 Direct Connect 主控台或使用命令列或 API，建立 Direct Connect 閘道與傳輸閘道之間的關聯。請參閱Direct Connect《使用者指南》中的建立或取消Direct Connect與傳輸閘道的關聯。	建立Direct Connect閘道之後，請為閘道建立傳輸Direct Connect閘道關聯。請為先前在允許字首清單中識別的傳輸閘道指定私有 IP CIDR。

項目

步驟

資訊

準備Site-to-Site的傳輸閘道。

使用Amazon Virtual Private Cloud(VPC) 主控台或使用命令列或 API 建立傳輸閘道。

請參閱《Amazon VPC 傳輸閘道指南》中的傳輸閘道。

傳輸閘道是網路傳輸中樞，您可以用於互相連接 VPC 和現場部署網路。您可以建立新的傳輸閘道進行私有 IP VPN 連接，或使用現有傳輸閘道。建立傳輸閘道或修改現有傳輸閘道時，請為連線指定私有 IP CIDR 區塊。

注意

指定要與私有 IP VPN 建立關聯的傳輸閘道 CIDR 區塊時，請確認該 CIDR 區塊未與該傳輸閘道上其他任何網路連接的任何 IP 地址重疊。如有任何 IP CIDR 區塊發生重疊，您的客戶閘道裝置可能會發生設定問題。

建立Site-to-Site的Direct Connect閘道。

使用 Direct Connect 主控台或使用命令列或 API 建立 Direct Connect 閘道。

請參閱Direct Connect《使用者指南》中的建立AWS Direct Connect 閘道。

Direct Connect 閘道可讓您跨多個AWS區域連接虛擬介面 (VIFs)。此閘道用於連線至您的 VIF。

建立Site-to-Site的傳輸閘道關聯。

使用 Direct Connect 主控台或使用命令列或 API，建立 Direct Connect 閘道與傳輸閘道之間的關聯。

請參閱Direct Connect《使用者指南》中的建立或取消Direct Connect與傳輸閘道的關聯。

建立Direct Connect閘道之後，請為閘道建立傳輸Direct Connect閘道關聯。請為先前在允許字首清單中識別的傳輸閘道指定私有 IP CIDR。

任務

透過 Direct Connect 建立私有 IP VPN

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

輪換 VPN 通道端點憑證

透過 Direct Connect 建立私有 IP VPN

AWS Site-to-Site VPN使用 的私有 IP Direct Connect

私有 IP VPN 的優勢

私有 IP VPN 的運作方式

先決條件

注意

任務​

AWS Site-to-Site VPN使用的私有 IP Direct Connect

任務