Wie AWS Site-to-Site VPN funktioniert - AWS Site-to-Site VPN
Virtual Private GatewayTransit GatewayKunden-Gateway-GerätKunden-GatewayIPv6 VPN-Verbindungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie AWS Site-to-Site VPN funktioniert

Eine Site-to-Site VPN-Verbindung besteht aus den folgenden Komponenten:

Die VPN-Verbindung bietet zwei VPN-Tunnel zwischen einem virtuellen privaten Gateway oder Transit-Gateway auf der AWS Seite und einem Kunden-Gateway auf der lokalen Seite.

Weitere Informationen zu Site-to-Site VPN-Kontingenten finden Sie unterAWS Site-to-Site VPN Kontingente.

Virtual Private Gateway

Ein virtuelles privates Gateway ist der VPN-Konzentrator auf der Amazon-Seite der Site-to-Site VPN-Verbindung. Sie erstellen ein virtuelles privates Gateway und fügen es einer Virtual Private Cloud (VPC) mit Ressourcen hinzu, die auf die Site-to-Site VPN-Verbindung zugreifen müssen.

Das folgende Diagramm zeigt eine VPN-Verbindung zwischen einer VPC und Ihrem On-Premises-Netzwerk unter Verwendung eines Virtual Private Gateways.

Eine VPC mit einem angefügten Virtual Private Gateway und eine VPN-Verbindung zu Ihrem On-Premises-Netzwerk.

Während der Erstellung eines Virtual Private Gateway können Sie die private Autonomous System Number (ASN) für die Amazon-Seite des Gateways angeben. Wenn Sie keine ASN angeben, wird der Virtual Private Gateway mit der Standard-ASN (64512) erstellt. Sie können die ASN nicht ändern, nachdem Sie das Virtual Private Gateway erstellt haben. Um die ASN für Ihr Virtual Private Gateway zu überprüfen, sehen Sie sich dessen Details auf der Seite Virtual Private Gateways in der Amazon VPC-Konsole an oder verwenden Sie den Befehl. describe-vpn-gateways AWS CLI

Anmerkung

Virtuelle private Gateways unterstützen IPv6 keine VPN-Verbindungen. Site-to-Site Wenn Sie IPv6 Unterstützung benötigen, verwenden Sie ein Transit-Gateway oder ein Cloud-WAN für Ihre VPN-Verbindung.

Transit Gateway

Ein Transit-Gateway ist ein Transit-Hub, über den Sie Ihre Netzwerke VPCs und Ihre lokalen Netzwerke miteinander verbinden können. Weitere Informationen finden Sie unter Amazon VPC Transit Gateways. Sie können eine Site-to-Site VPN-Verbindung als Anlage an einem Transit-Gateway erstellen.

Das folgende Diagramm zeigt eine VPN-Verbindung zwischen mehreren Netzwerken VPCs und Ihrem lokalen Netzwerk mithilfe eines Transit-Gateways. Das Transit Gateway hat drei VPC-Anhänge und einen VPN-Anhang.

Ein Transit Gateway hat drei VPC-Anhängen und einem VPN-Anhang.

Ihre Site-to-Site VPN-Verbindung auf einem Transit-Gateway kann den IPv6 Datenverkehr innerhalb der VPN-Tunnel (innere IP-Adressen) unterstützen IPv4 . Darüber hinaus unterstützen Transit-Gateways IPv6 Adressen für die IP-Adressen der äußeren Tunnel. Weitere Informationen finden Sie unter IPv4 und IPv6 Verkehr in AWS Site-to-Site VPN.

Sie können das Ziel-Gateway einer Site-to-Site VPN-Verbindung von einem virtuellen privaten Gateway zu einem Transit-Gateway ändern. Weitere Informationen finden Sie unter Ändern Sie das Ziel-Gateway einer AWS Site-to-Site VPN Verbindung.

Kunden-Gateway-Gerät

Ein Kunden-Gateway-Gerät ist ein physisches Gerät oder eine Softwareanwendung auf Ihrer Seite der Site-to-Site VPN-Verbindung. Sie konfigurieren das Gerät so, dass es mit der Site-to-Site VPN-Verbindung funktioniert. Weitere Informationen finden Sie unter AWS Site-to-Site VPN Kunden-Gateway-Geräte.

Standardmäßig muss Ihr Kunden-Gateway-Gerät die Tunnel für Ihre Site-to-Site VPN-Verbindung aufrufen, indem es Datenverkehr generiert und den IKE-Verhandlungsprozess (Internet Key Exchange) einleitet. Sie können Ihre Site-to-Site VPN-Verbindung so konfigurieren, dass stattdessen der IKE-Verhandlungsprozess initiiert werden AWS muss. Weitere Informationen finden Sie unter AWS Site-to-Site VPN Optionen zur Tunnelinitiierung.

Wenn Sie IP-Adressen IPv6 für den Außentunnel verwenden, muss Ihr Kunden-Gateway-Gerät die IPv6 Adressierung unterstützen und in der Lage sein, IPsec Tunnel mit IPv6 Endpunkten einzurichten.

Kunden-Gateway

Ein Kunden-Gateway ist eine Ressource, die Sie in AWS erstellen, die das Kunden-Gateway-Gerät in Ihrem lokalen Netzwerk darstellt. Wenn Sie ein Kunden-Gateway erstellen, geben Sie Informationen über Ihr Gerät an AWS. Weitere Informationen finden Sie unter Kunden-Gateway-Optionen für Ihre AWS Site-to-Site VPN Verbindung.

Ein Kunden-Gateway und ein Kunden-Gateway-Gerät.

Um Amazon VPC mit einer Site-to-Site VPN-Verbindung zu verwenden, müssen Sie oder Ihr Netzwerkadministrator auch das Kunden-Gateway-Gerät oder die Anwendung in Ihrem Remote-Netzwerk konfigurieren. Wenn Sie die Site-to-Site VPN-Verbindung herstellen, stellen wir Ihnen die erforderlichen Konfigurationsinformationen zur Verfügung, und Ihr Netzwerkadministrator führt diese Konfiguration in der Regel durch. Weitere Informationen über die Anforderungen und Konfiguration von Kunden-Gateways finden Sie unter AWS Site-to-Site VPN Kunden-Gateway-Geräte.

IPv6 Kunden-Gateway

Wenn Sie ein Kunden-Gateway für die Verwendung mit einem IPv6 Außentunnel erstellen IPs, geben Sie eine IPv6 Adresse anstelle einer IPv4 Adresse an. Sie können mit der AWS Management Console oder der AWS CLI ein IPv6 Kunden-Gateway erstellen.

Verwenden Sie den folgenden Befehl, um ein IPv6 Kunden-Gateway mit der AWS CLI zu erstellen:

aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

Die IPv6 Adresse muss eine gültige, über das Internet routingfähige IPv6 Adresse für Ihr Kunden-Gateway-Gerät sein.

IPv6 VPN-Verbindungen

Site-to-Site VPN-VPN-Verbindungen unterstützen die folgenden IPv6 Konfigurationen:

  • IPv4 äußerer Tunnel mit IPv4 inneren Paketen — Die grundlegende IPv4 VPN-Funktion, die auf Virtual Private Gateway (VGW), Transit Gateway (TGW) und Cloud WAN unterstützt wird.

  • IPv4 äußerer Tunnel mit IPv6 inneren Paketen — Ermöglicht IPv6 Anwendungen/Transport innerhalb des VPN-Tunnels. Wird auf TGW und Cloud WAN unterstützt (nicht auf VGW unterstützt).

  • IPv6 äußerer Tunnel mit IPv6 inneren Paketen — Ermöglicht die vollständige IPv6 Migration mit IPv6 Adressen sowohl für den äußeren Tunnel IPs als auch für das innere Paket. IPs Wird auf TGW und Cloud WAN unterstützt.

  • IPv6 äußerer Tunnel mit IPv4 inneren Paketen — Ermöglicht die Adressierung von IPv6 Außentunneln und unterstützt gleichzeitig ältere IPv4 Anwendungen innerhalb des Tunnels. Wird auf TGW und Cloud WAN unterstützt.

Um eine VPN-Verbindung mit IPv6 äußerem Tunnel herzustellen IPs, geben Sie dies OutsideIPAddressType=Ipv6 beim Erstellen der VPN-Verbindung an. AWS konfiguriert automatisch die externen IPv6 Tunneladressen für die AWS-Seite der VPN-Tunnel.

Beispiel für einen CLI-Befehl zum Erstellen einer VPN-Verbindung mit IPv6 äußerem Tunnel IPs und IPv6 innerem Tunnel IPs:

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

Sie können die Ihrer VPN-Verbindung zugewiesenen IPv6 Adressen mit dem describe-vpn-connection CLI-Befehl anzeigen.