本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
借助私有 IP VPN,您可以通过部署 IPsec VPN AWS Direct Connect,加密本地网络和本地网络之间的流量 AWS,而无需使用公有 IP 地址或其他第三方 VPN 设备。
私有 IP VPN 的主要用例之一 AWS Direct Connect 是帮助金融、医疗保健和联邦行业的客户实现监管和合规目标。Private IP VPN AWS Direct Connect 可确保 AWS 与本地网络之间的流量既安全又私密,从而使客户能够遵守其监管和安全规定。
私有 IP VPN 的好处
-
简化的网络管理和操作:如果没有私有 IP VPN,客户必须部署第三方 VPN 和路由器来实现 AWS Direct Connect 网络私 VPNs 有化。利用私有 IP VPN 功能,客户无需部署和管理自己的 VPN 基础结构。这可以简化网络运营并降低成本。
-
改善安全状况:以前,客户必须使用公共 AWS Direct Connect 虚拟接口 (VIF) 来加密流量 AWS Direct Connect,这需要为 VPN 端点提供公有 IP 地址。公开使用 IPs 会增加外部 (DOS) 攻击的可能性,这反过来又迫使客户部署额外的安全设备来保护网络。此外,公共 VIF 开放了所有 AWS 公共服务和客户本地网络之间的访问权限,从而增加了风险的严重性。私有 IP VPN 功能允许通过 AWS Direct Connect 传输进行加密 VIFs (而不是公共 VIFs),并能够配置私有 IPs。除了加密之外,这还提供 end-to-end私有连接,从而改善了整体安全状况。
-
更高的路由规模:私有 IP VPN 连接提供更高的路由限制(5000 条出站路由和 1000 条入站路由),而 AWS Direct Connect 单独连接目前限制为 200 条出站路由和 100 条入站路由。
私有 IP VPN 的工作原理
私有 IP Site-to-Site VPN 通过 AWS Direct Connect 传输虚拟接口 (VIF) 运行。它使用 AWS Direct Connect 网关和传输网关将您的本地网络与 AWS VPCs之互连。私有 IP VPN 连接在 AWS 侧面的传输网关和本地端的客户网关设备上都有终止点。您必须为 IPsec 隧道的传输网关和客户网关设备端分配私有 IP 地址。您可以使用任一地址范围内的私有 IP 地址, RFC1918 也可以使用 RFC6598 私有 IPv4 地址范围。
您将私有 IP VPN 连接附加到中转网关。然后,您可以在 VPN 连接和也连接到传输网关的任何 VPCs (或其他网络)之间路由流量。您可以通过将路由表与 VPN 连接关联来实现此目标。相反,您可以使用与关联的路由表,将流量从您的路由 VPCs 到私有 IP VPN 附件 VPCs。
与 VPN 连接关联的路由表可以与底层 AWS Direct Connect 连接关联的路由表相同或不同。这使您能够在本地网络和本地网络之间同时路由加密 VPCs和未加密的流量。
有关离开 VPN 的流量路径的更多详细信息,请参阅《AWS Direct Connect 用户指南》中的私有虚拟接口和中转虚拟接口路由策略。
