Bagaimana cara AWS Site-to-Site VPN kerja - AWS Site-to-Site VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana cara AWS Site-to-Site VPN kerja

Koneksi Site-to-Site VPN terdiri dari komponen-komponen berikut:

Koneksi VPN menawarkan dua terowongan VPN antara gateway pribadi virtual atau gateway transit di AWS samping, dan gateway pelanggan di sisi lokal.

Untuk informasi selengkapnya tentang kuota Site-to-Site VPN, lihatAWS Site-to-Site VPN kuota.

Gateway privat virtual

Gateway pribadi virtual adalah konsentrator VPN di sisi Amazon dari koneksi Site-to-Site VPN. Anda membuat gateway pribadi virtual dan melampirkannya ke virtual private cloud (VPC) dengan sumber daya yang harus mengakses Site-to-Site koneksi VPN.

Diagram berikut menunjukkan koneksi VPN antara VPC dan jaringan lokal Anda menggunakan gateway pribadi virtual.

VPC dengan gateway pribadi virtual terlampir dan koneksi VPN ke jaringan lokal Anda.

Ketika Anda membuat gateway privat virtual, Anda dapat menentukan Nomor Sistem Otonom (ASN) privat untuk sisi Amazon gateway. Jika Anda tidak menentukan ASN, gateway privat virtual dibuat menggunakan ASN default (64512). Anda tidak dapat mengubah ASN setelah Anda membuat gateway privat virtual. Untuk memeriksa ASN untuk gateway pribadi virtual Anda, lihat detailnya di halaman gateway pribadi virtual di konsol VPC Amazon, atau gunakan perintah. describe-vpn-gateways AWS CLI

catatan

Gateway pribadi virtual tidak mendukung IPv6 Site-to-Site koneksi VPN. Jika Anda memerlukan IPv6 dukungan, gunakan gateway transit atau Cloud WAN untuk koneksi VPN Anda.

Gateway transit

Gateway transit adalah hub transit yang dapat Anda gunakan untuk menghubungkan jaringan lokal Anda VPCs dan jaringan lokal Anda. Untuk informasi selengkapnya, lihat Amazon VPC Transit Gateways. Anda dapat membuat koneksi Site-to-Site VPN sebagai lampiran pada gateway transit.

Diagram berikut menunjukkan koneksi VPN antara beberapa VPCs dan jaringan lokal Anda menggunakan gateway transit. Gateway transit memiliki tiga lampiran VPC dan lampiran VPN.

Gateway transit dengan tiga lampiran VPC dan satu lampiran VPN.

Koneksi Site-to-Site VPN Anda pada gateway transit dapat mendukung IPv4 atau IPv6 lalu lintas di dalam terowongan VPN (alamat IP bagian dalam). Selain itu, gateway transit mendukung IPv6 alamat untuk alamat IP terowongan luar. Untuk informasi selengkapnya, lihat IPv4 dan IPv6 lalu lintas di AWS Site-to-Site VPN.

Anda dapat memodifikasi gateway target koneksi Site-to-Site VPN dari gateway pribadi virtual ke gateway transit. Untuk informasi selengkapnya, lihat Memodifikasi gateway target AWS Site-to-Site VPN koneksi.

Perangkat gateway pelanggan

Perangkat gateway pelanggan adalah perangkat fisik atau aplikasi perangkat lunak di sisi koneksi Site-to-Site VPN Anda. Anda mengonfigurasi perangkat agar berfungsi dengan koneksi Site-to-Site VPN. Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN perangkat gateway pelanggan.

Secara default, perangkat gateway pelanggan Anda harus membuka terowongan untuk koneksi Site-to-Site VPN Anda dengan menghasilkan lalu lintas dan memulai proses negosiasi Internet Key Exchange (IKE). Anda dapat mengonfigurasi koneksi Site-to-Site VPN Anda untuk menentukan yang AWS harus memulai proses negosiasi IKE sebagai gantinya. Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN opsi inisiasi terowongan.

Jika Anda menggunakan IPv6 alamat IP terowongan luar, perangkat gateway pelanggan Anda harus mendukung IPv6 pengalamatan dan dapat membuat IPsec terowongan dengan IPv6 titik akhir.

Gateway pelanggan

Gateway pelanggan adalah sumber daya yang Anda buat di AWS yang mewakili perangkat gateway pelanggan di jaringan on premise. Saat membuat gateway pelanggan, Anda memberikan informasi tentang perangkat Anda AWS. Untuk informasi selengkapnya, lihat Opsi gateway pelanggan untuk AWS Site-to-Site VPN koneksi Anda.

Gateway pelanggan dan perangkat gateway pelanggan.

Untuk menggunakan Amazon VPC dengan koneksi Site-to-Site VPN, Anda atau administrator jaringan Anda juga harus mengonfigurasi perangkat atau aplikasi gateway pelanggan di jaringan jarak jauh Anda. Saat Anda membuat koneksi Site-to-Site VPN, kami memberi Anda informasi konfigurasi yang diperlukan dan administrator jaringan Anda biasanya melakukan konfigurasi ini. Untuk informasi tentang persyaratan dan konfigurasi gateway pelanggan, lihat AWS Site-to-Site VPN perangkat gateway pelanggan.

IPv6 gateway pelanggan

Saat membuat gateway pelanggan untuk digunakan dengan terowongan IPv6 luar IPs, Anda menentukan IPv6 alamat, bukan IPv4 alamat. Anda dapat membuat gateway IPv6 pelanggan menggunakan Konsol AWS Manajemen atau AWS CLI.

Untuk membuat gateway IPv6 pelanggan menggunakan AWS CLI, gunakan perintah berikut:

aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

IPv6 Alamat harus berupa alamat yang valid dan dapat dirutekan internet untuk IPv6 perangkat gateway pelanggan Anda.

IPv6 Koneksi VPN

Site-to-Site Koneksi VPN VPN mendukung IPv6 konfigurasi berikut:

  • IPv4 terowongan luar dengan paket IPv4 dalam - Kemampuan IPv4 VPN dasar yang didukung pada Virtual Private Gateway (VGW), Transit Gateway (TGW), dan Cloud WAN.

  • IPv4 terowongan luar dengan paket IPv6 dalam - Memungkinkan IPv6 aplikasi/transportasi dalam terowongan VPN. Didukung di TGW dan Cloud WAN (tidak didukung di VGW).

  • IPv6 terowongan IPv6 luar dengan paket dalam - Memungkinkan IPv6 migrasi penuh dengan IPv6 alamat untuk terowongan luar IPs dan paket IPs dalam. Didukung di TGW dan Cloud WAN.

  • IPv6 terowongan luar dengan paket IPv4 dalam - Memungkinkan pengalamatan terowongan IPv6 luar sambil mendukung IPv4 aplikasi lama di dalam terowongan. Didukung di TGW dan Cloud WAN.

Untuk membuat koneksi VPN dengan terowongan IPv6 luar IPs, Anda menentukan OutsideIPAddressType=Ipv6 saat membuat koneksi VPN. AWS secara otomatis mengonfigurasi IPv6 alamat terowongan luar untuk sisi AWS terowongan VPN.

Contoh perintah CLI untuk membuat koneksi VPN dengan terowongan IPv6 luar IPs dan terowongan IPv6 dalam: IPs

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

Anda dapat melihat IPv6 alamat yang ditetapkan untuk koneksi VPN Anda menggunakan perintah describe-vpn-connection CLI.