本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Site-to-Site VPN使用 的私有 IP Direct Connect
您可以使用私有 IP VPN 透過 部署 IPsec VPN Direct Connect,加密內部部署網路與 之間的流量AWS,而無需使用公有 IP 地址或其他第三方 VPN 設備。
私有 IP VPN 的主要使用案例之一Direct Connect,就是協助金融、醫療保健和聯邦產業的客戶達成法規和合規目標。透過 的私有 IP VPN Direct Connect可確保AWS和內部部署網路之間的流量既安全又私密,讓客戶能夠遵守其法規和安全要求。
## 私有 IP VPN 的優勢
+ **簡化的網路管理和操作:**如果沒有私有 IP VPN,客戶必須部署第三方 VPN 和路由器,才能透過Direct Connect網路實作私有 VPNs。有了私有 IP VPN 功能,客戶就無需部署和管理專屬的 VPN 基礎架構。如此即可簡化網路作業,並降低成本。
+ **改善安全狀態:**先前,客戶必須使用公有Direct Connect虛擬介面 (VIF) 來加密通過的流量Direct Connect,這需要 VPN 端點的公有 IP 地址。不過,使用公有 IP 會提高遭受外部 (DOS) 攻擊的可能性,導致客戶需要部署額外的安全裝置來保護網路。此外,公有 VIF 會開放所有AWS公有服務與客戶內部部署網路之間的存取,增加風險的嚴重性。私有 IP VPN 功能允許透過Direct Connect傳輸 VIFs(而非公VIFs) 進行加密,以及設定私有 IPs的能力。如此即可在加密之外提供端對端私有連線,從而改善整體安全狀態。
+ **更高的路由規模:**相較於Direct Connect單獨使用 ,私有 IP VPN 連線提供更高的路由限制 (5000 個傳出路由和 1000 個傳入路由),目前有 200 個傳出路由和 100 個傳入路由的限制。
## 私有 IP VPN 的運作方式
私有 IP Site-to-Site VPN 透過Direct Connect傳輸虛擬介面 (VIF) 運作。它會使用Direct Connect閘道和傳輸閘道,將您的內部部署網路和AWS VPC 予以互連。私有 IP VPN 連接在AWS端的傳輸閘道,以及內部部署端的客戶閘道裝置具有終止點。您必須將私有 IP 地址指派給傳輸閘道和 IPsec 通道的客戶閘道裝置端。您可以使用來自 RFC1918 或 RFC6598 私有 IPv4 地址範圍的私有 IP 地址。
請將私有 IP VPN 連接附加至傳輸閘道。隨後,則要路由 VPN 連接和任何 VPC (或其他網路) 之間的流量,而這些流量也會附加至傳輸閘道。只要為路由表和 VPN 連接建立關聯,即可完成這項操作。若要進行反向操作,您可以使用已和 VPC 建立關聯的路由表,將流量從 VPC 路由至私有 IP VPN 連接。
與 VPN 連接相關聯的路由表可與與基礎Direct Connect連接相關聯的路由表相同或不同。此舉可讓您同時路由 VPC 和內部部署網路之間的加密及未加密流量。
如需離開 VPN 的流量路徑詳細資訊,請參閱*Direct Connect《 使用者指南*》中的[私有虛擬介面和傳輸虛擬介面路由政策](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies)。
## 先決條件
下表說明透過 Direct Connect 建立私有 IP VPN 之前的詳細資訊。
| 項目 | 步驟 | 資訊 |
| --- | --- | --- |
| 準備Site-to-Site的傳輸閘道。 | 使用Amazon Virtual Private Cloud(VPC) 主控台或使用命令列或 API 建立傳輸閘道。 請參閱《Amazon VPC [傳輸閘道指南》](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)中的傳輸閘道。 ** | 傳輸閘道是網路傳輸中樞,您可以用於互相連接 VPC 和現場部署網路。您可以建立新的傳輸閘道進行私有 IP VPN 連接,或使用現有傳輸閘道。建立傳輸閘道或修改現有傳輸閘道時,請為連線指定私有 IP CIDR 區塊。 指定要與私有 IP VPN 建立關聯的傳輸閘道 CIDR 區塊時,請確認該 CIDR 區塊未與該傳輸閘道上其他任何網路連接的任何 IP 地址重疊。如有任何 IP CIDR 區塊發生重疊,您的客戶閘道裝置可能會發生設定問題。 |
| 建立Site-to-Site的Direct Connect閘道。 | 使用 Direct Connect 主控台或使用命令列或 API 建立 Direct Connect 閘道。 請參閱*Direct Connect《 使用者指南*》中的[建立AWS Direct Connect 閘道](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)。 | Direct Connect 閘道可讓您跨多個AWS區域連接虛擬介面 (VIFs)。此閘道用於連線至您的 VIF。 |
| 建立Site-to-Site的傳輸閘道關聯。 | 使用 Direct Connect 主控台或使用命令列或 API,建立 Direct Connect 閘道與傳輸閘道之間的關聯。 請參閱*Direct Connect《 使用者指南*》中的[建立或取消Direct Connect與傳輸閘道的關聯](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)。 | 建立Direct Connect閘道之後,請為閘道建立傳輸Direct Connect閘道關聯。請為先前在允許字首清單中識別的傳輸閘道指定私有 IP CIDR。 |
**Topics**
+ [私有 IP VPN 的優勢](#private-ip-dx-features)
+ [私有 IP VPN 的運作方式](#private-ip-dx-how)
+ [先決條件](#private-ip-dx-prereqs)
+ [透過 Direct Connect 建立私有 IP VPN](private-ip-dx-steps.md)
# AWS Site-to-Site VPN 透過 建立私有 IP Direct Connect
若要使用 建立私有 IP VPN Direct Connect ,請遵循下列步驟。在透過 Direct Connect 建立私有 IP VPN 之前,您需要確保先建立傳輸閘道和 Direct Connect 閘道。建立兩個閘道之後,您需要在兩個閘道之間建立關聯。下表說明這些先決條件。建立並關聯兩個閘道後,您將使用該關聯建立 VPN 客戶閘道和連線。
## 先決條件
下表說明透過 Direct Connect 建立私有 IP VPN 之前的詳細資訊。
| 項目 | 步驟 | 資訊 |
| --- | --- | --- |
| 準備Site-to-Site的傳輸閘道。 | 使用 Amazon Virtual Private Cloud (VPC) 主控台或使用命令列或 API 建立傳輸閘道。 請參閱《Amazon VPC [傳輸閘道指南》](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)中的傳輸閘道。 ** | 傳輸閘道是網路傳輸中樞,您可以用於互相連接 VPC 和現場部署網路。您可以建立新的傳輸閘道進行私有 IP VPN 連接,或使用現有傳輸閘道。建立傳輸閘道或修改現有傳輸閘道時,請為連線指定私有 IP CIDR 區塊。 指定要與私有 IP VPN 建立關聯的傳輸閘道 CIDR 區塊時,請確認該 CIDR 區塊未與該傳輸閘道上其他任何網路連接的任何 IP 地址重疊。如有任何 IP CIDR 區塊發生重疊,您的客戶閘道裝置可能會發生設定問題。 |
| 建立Site-to-Site的 Direct Connect 閘道。 | 使用 Direct Connect 主控台或使用命令列或 API 建立 Direct Connect 閘道。 請參閱*Direct Connect 《 使用者指南*》中的[建立 AWS Direct Connect 閘道](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)。 | Direct Connect 閘道可讓您跨多個 AWS 區域連接虛擬介面 (VIFs)。此閘道用於連線至您的 VIF。 |
| 建立Site-to-Site的傳輸閘道關聯。 | 使用 Direct Connect 主控台或使用命令列或 API,建立 Direct Connect 閘道與傳輸閘道之間的關聯。 請參閱*Direct Connect 《 使用者指南*》中的[建立或取消 Direct Connect 與傳輸閘道的關聯](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)。 | 建立 Direct Connect 閘道之後,請為閘道建立傳輸 Direct Connect 閘道關聯。請為先前在允許字首清單中識別的傳輸閘道指定私有 IP CIDR。 |
## 建立Site-to-Site的客戶閘道和連線
客戶閘道是您建立的資源 AWS。它會用來代表您內部部署網路中的客戶閘道裝置。當您建立客戶閘道時,您會提供裝置的相關資訊 AWS。如需詳細資訊,請參閱[客戶閘道](how_it_works.md#CustomerGateway)。
**使用主控台建立客戶閘道**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**客戶閘道**。
1. 選擇**建立客戶閘道**。
1. (選用) 針對 **Name (名稱)**,輸入您客戶閘道的名稱。執行此作業會使用 `Name` 做為索引鍵,以及您指定的值來建立標籤。
1. 對於 **BGP ASN**,輸入您客戶閘道的邊界閘道協定 (BGP) 自主系統編號 (ASN)。
1. 針對 **IP address (IP 地址)**,請輸入您客戶閘道裝置的私有 IP 地址。
**重要**
設定 AWS 私有 IP 時 AWS Site-to-Site VPN,您必須使用 RFC 1918 地址指定自己的通道端點 IP 地址。請勿在客戶閘道路由器和 Direct Connect endpoint 之間使用 point-to-point IP 地址。 AWS 建議使用客戶閘道路由器上的迴路或 LAN 界面作為來源或目的地地址,而不是point-to-point連線。
如需有關 RFC 1918 的詳細資訊,請參閱[私有網路的地址配置](https://datatracker.ietf.org/doc/html/rfc1918)。
1. (可選)對於 **Device (裝置)** 中,輸入承載此客戶閘道的裝置名稱。
1. 選擇**建立客戶閘道**。
1. 在導覽窗格中,選擇**站台對站台 VPN 連接**。
1. 選擇 **Create VPN Connection (建立 VPN 連接)**。
1. (選用) 針對 **Name tag** (名稱標籤),輸入您 Site-to-Site VPN 連接的名稱。執行此作業會使用 `Name` 做為鍵,以及您指定的值來建立標籤。
1. 針對**目標閘道類型**,請選擇**傳輸閘道**。然後,選擇您先前識別的傳輸閘道。
1. 針對**客戶閘道**,請選取**現有**。然後,選擇您先前建立的客戶閘道。
1. 根據您的客戶閘道裝置是否支援邊界閘道協定 (BGP),選取任一路由選項:
+ 如果您的客戶閘道裝置支援 BGP,請選擇 **Dynamic (requires BGP)** (動態 (需要 BGP))。
+ 如果您的客戶閘道裝置不支援 BGP,請選擇 **Static** (靜態)。
1. 針對**通道內部 IP 版本**,請指定 VPN 通道是否支援 IPv4 或 IPv6 流量。
1. (選用) 如果您在 **IP 版本內為通道**指定 **IPv4**,您可以選擇為允許透過 VPN 通道通訊的客戶閘道和 AWS 端指定 IPv4 CIDR 範圍。預設值為 `0.0.0.0/0`。
如果您為 **IP 版本內的通道**指定 **IPv6**,您可以選擇為允許透過 VPN 通道通訊的客戶閘道和 AWS 端指定 IPv6 CIDR 範圍。這兩個範圍的預設值為 `::/0`。
1. 針對**外部 IP 地址類型**,請選擇 **PrivateIpv4**。
1. 針對**傳輸連接 ID**,選擇適當閘道的傳輸 Direct Connect 閘道連接。
1. 選擇 **Create VPN Connection (建立 VPN 連接)**。
**注意**
**啟用加速**選項不適用於透過 Direct Connect的 VPN 連線。
**使用命令列或 API 建立客戶閘道**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html) (Amazon EC2 查詢 API)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)