私有 IP AWS Site-to-Site VPN 与 Direct Connect
利用私有 IP VPN,您可以在 Direct Connect 上部署 IPsec VPN,并对本地网络和 AWS 之间的流量进行加密,而无需使用公有 IP 地址或其他第三方 VPN 设备。
在 Direct Connect 上部署私有 IP VPN 的主要使用案例之一是,帮助金融、医疗保健和联邦政府行业的客户实现法规和合规性目标。Direct Connect 上的私有 IP VPN 可确保 AWS 和本地网络之间的流量既安全又是私有的,并可让客户遵守其法规和安全要求。
私有 IP VPN 的好处
-
简化网络管理和运营:如果没有私有 IP VPN,客户就必须部署第三方 VPN 和路由器,才能在 Direct Connect 网络上实施私有 VPN。利用私有 IP VPN 功能,客户无需部署和管理自己的 VPN 基础结构。这可以简化网络运营并降低成本。
-
改善了安全状况:以前,客户必须使用公有 Direct Connect 虚拟接口 (VIF, Virtual Interface) 来加密 Direct Connect 上的流量,这需要在 VPN 端点使用公有 IP 地址。使用公有 IP 会增大外部 (DOS) 攻击的概率,这反过来迫使客户部署额外的安全设备来保护网络。此外,公有 VIF 开放了所有 AWS 公有服务和客户本地网络之间的访问,增加了风险的严重性。利用私有 IP VPN 功能,可以对 Direct Connect 中转 VIF(而不是公有 VIF)进行加密并配置私有 IP。除了加密之外,还提供了端到端专用连接,从而改善了总体安全状况。
-
更大的路由规模:与单独的 Direct Connect 相比,私有 IP VPN 连接提供更高的路由限制(5000 个出站路由和 1000 个入站路由),而前者当前的限制为 200 个出站路由和 100 个入站路由。
私有 IP VPN 的工作原理
私有 IP Site-to-Site VPN 通过 Direct Connect 中转虚拟接口 (VIF, Virtual Interface) 工作。它使用 Direct Connect 网关和中转网关将本地网络与 AWS VPC 互连。私有 IP VPN 连接在 AWS 端的中转网关上以及本地端的客户网关设备上具有端点。您必须为 IPsec 隧道的中转网关和客户网关设备端分配私有 IP 地址。可以使用来自 RFC1918 或 RFC6598 私有 IPv4 地址范围的私有 IP 地址。
您将私有 IP VPN 连接附加到中转网关。随后,您可以在 VPN 连接和任何也连接到中转网关的 VPC(或其他网络)之间路由流量。您可以通过将路由表与 VPN 连接关联来实现此目标。对于相反的方向,您可以使用与 VPC 关联的路由表将来自 VPC 的流量路由到私有 IP VPN 连接。
与 VPN 连接关联的路由表既可以与底层 Direct Connect 连接所关联的路由表相同,也可以不同。这使您能够在 VPC 和本地网络之间同时路由加密的流量和未加密的流量。
有关离开 VPN 的流量路径的更多详细信息,请参阅《Direct Connect 用户指南》中的私有虚拟接口和中转虚拟接口路由策略。
