View a markdown version of this page

Bagaimana AWS Site-to-Site VPN cara kerja - AWS Site-to-Site VPN
Gateway privat virtualGateway transitPerangkat gateway pelangganGateway pelangganKoneksi IPv6 VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana AWS Site-to-Site VPN cara kerja

Koneksi Site-to-Site VPN terdiri dari komponen-komponen berikut:

Koneksi VPN menawarkan dua terowongan VPN antara gateway pribadi virtual atau gateway transit di AWS samping, dan gateway pelanggan di sisi lokal.

Untuk informasi selengkapnya tentang kuota Site-to-Site VPN, lihatAWS Site-to-Site VPN kuota.

Gateway privat virtual

Gateway pribadi virtual adalah Konsentrator Site-to-Site VPN di sisi Amazon dari koneksi Site-to-Site VPN. Anda membuat gateway pribadi virtual dan melampirkannya ke virtual private cloud (VPC) dengan sumber daya yang harus mengakses Site-to-Site koneksi VPN.

Diagram berikut menunjukkan koneksi VPN antara VPC dan jaringan lokal Anda menggunakan gateway pribadi virtual.

VPC dengan gateway pribadi virtual terlampir dan koneksi VPN ke jaringan lokal Anda.

Ketika Anda membuat gateway privat virtual, Anda dapat menentukan Nomor Sistem Otonom (ASN) privat untuk sisi Amazon gateway. Jika Anda tidak menentukan ASN, gateway privat virtual dibuat menggunakan ASN default (64512). Anda tidak dapat mengubah ASN setelah Anda membuat gateway privat virtual. Untuk memeriksa ASN untuk gateway pribadi virtual Anda, lihat detailnya di halaman gateway pribadi virtual di konsol VPC Amazon, atau gunakan perintah deskripsi-vpn-gateway. AWS CLI

catatan

Gateway pribadi virtual tidak mendukung IPv6 untuk koneksi VPN. Site-to-Site Jika Anda memerlukan dukungan IPv6, gunakan gateway transit atau Cloud WAN untuk koneksi VPN Anda.

Gateway transit

Gateway transit adalah hub transit yang dapat Anda gunakan untuk menghubungkan VPC dan jaringan lokal Anda. Untuk informasi selengkapnya, lihat Amazon VPC Transit Gateways. Anda dapat membuat koneksi Site-to-Site VPN sebagai lampiran pada gateway transit.

Diagram berikut menunjukkan koneksi VPN antara beberapa VPC dan jaringan lokal Anda menggunakan gateway transit. Gateway transit memiliki tiga lampiran VPC dan lampiran VPN.

Gateway transit dengan tiga lampiran VPC dan satu lampiran VPN.

Koneksi Site-to-Site VPN Anda pada gateway transit dapat mendukung lalu lintas IPv4 atau IPv6 di dalam terowongan VPN (alamat IP bagian dalam). Selain itu, gateway transit mendukung alamat IPv6 untuk alamat IP terowongan luar. Untuk informasi selengkapnya, lihat IPv4 dan IPv6 lalu lintas di AWS Site-to-Site VPN.

Anda dapat memodifikasi gateway target koneksi Site-to-Site VPN dari gateway pribadi virtual ke gateway transit. Untuk informasi selengkapnya, lihat Memodifikasi gateway target AWS Site-to-Site VPN koneksi.

Perangkat gateway pelanggan

Perangkat gateway pelanggan adalah perangkat fisik atau aplikasi perangkat lunak di sisi koneksi Site-to-Site VPN Anda. Anda mengonfigurasi perangkat agar berfungsi dengan koneksi Site-to-Site VPN. Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN perangkat gateway pelanggan.

Secara default, perangkat gateway pelanggan Anda harus membuka terowongan untuk koneksi Site-to-Site VPN Anda dengan menghasilkan lalu lintas dan memulai proses negosiasi Internet Key Exchange (IKE). Anda dapat mengonfigurasi koneksi Site-to-Site VPN Anda untuk menentukan yang AWS harus memulai proses negosiasi IKE sebagai gantinya. Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN opsi inisiasi terowongan.

Jika Anda menggunakan IPv6 untuk alamat IP terowongan luar, perangkat gateway pelanggan Anda harus mendukung pengalamatan IPv6 dan dapat membuat terowongan IPsec dengan titik akhir IPv6.

Gateway pelanggan

Gateway pelanggan adalah sumber daya yang Anda buat di AWS yang mewakili perangkat gateway pelanggan di jaringan on premise. Saat membuat gateway pelanggan, Anda memberikan informasi tentang perangkat Anda AWS. Untuk informasi selengkapnya, lihat Opsi gateway pelanggan untuk AWS Site-to-Site VPN koneksi Anda.

Gateway pelanggan dan perangkat gateway pelanggan.

Untuk menggunakan Amazon VPC dengan koneksi Site-to-Site VPN, Anda atau administrator jaringan Anda juga harus mengonfigurasi perangkat atau aplikasi gateway pelanggan di jaringan jarak jauh Anda. Saat Anda membuat koneksi Site-to-Site VPN, kami memberi Anda informasi konfigurasi yang diperlukan dan administrator jaringan Anda biasanya melakukan konfigurasi ini. Untuk informasi tentang persyaratan dan konfigurasi gateway pelanggan, lihat AWS Site-to-Site VPN perangkat gateway pelanggan.

Gateway pelanggan IPv6

Saat membuat gateway pelanggan untuk digunakan dengan IP terowongan luar IPv6, Anda menentukan alamat IPv6 alih-alih alamat IPv4. Anda dapat membuat gateway pelanggan IPv6 menggunakan AWS Management Console atau CLI AWS .

Untuk membuat gateway pelanggan IPv6 menggunakan AWS CLI, gunakan perintah berikut:

aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

Alamat IPv6 harus berupa alamat IPv6 yang valid dan dapat dirutekan internet untuk perangkat gateway pelanggan Anda.

Koneksi IPv6 VPN

Site-to-Site Koneksi VPN VPN mendukung konfigurasi IPv6 berikut:

  • Terowongan luar IPv4 dengan paket dalam IPv4 - Kemampuan IPv4 VPN dasar yang didukung pada Virtual Private Gateway (VGW), Transit Gateway (TGW), dan Cloud WAN.

  • Terowongan luar IPv4 dengan paket dalam IPv6 - Memungkinkan applications/transport IPv6 dalam terowongan VPN. Didukung di TGW dan Cloud WAN (tidak didukung di VGW).

  • Terowongan luar IPv6 dengan paket dalam IPv6 - Memungkinkan migrasi IPv6 penuh dengan alamat IPv6 untuk IP terowongan luar dan IP paket dalam. Didukung di TGW dan Cloud WAN.

  • Terowongan luar IPv6 dengan paket dalam IPv4 - Memungkinkan pengalamatan terowongan luar IPv6 sambil mendukung aplikasi IPv4 lama di dalam terowongan. Didukung di TGW dan Cloud WAN.

Untuk membuat koneksi VPN dengan IP terowongan luar IPv6, Anda tentukan OutsideIPAddressType=Ipv6 saat membuat koneksi VPN. AWS secara otomatis mengonfigurasi alamat IPv6 terowongan luar untuk sisi AWS terowongan VPN.

Contoh perintah CLI untuk membuat koneksi VPN dengan IP terowongan luar IPv6 dan IP terowongan dalam IPv6:

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

Anda dapat melihat alamat IPv6 yang ditetapkan untuk koneksi VPN Anda menggunakan perintah CLIdescribe-vpn-connection.