如何通过 AWS Direct Connect 连接建立加密连接?

2 分钟阅读
0

我想要通过 AWS Direct Connect 连接建立从我的本地网络到我的 Amazon Virtual Private Cloud(Amazon VPC)的加密连接。

简短描述

AWS Direct Connect 提供专用的私有连接,在您的本地网络和 AWS 之间提供一致的吞吐量。默认情况下,AWS Direct Connect 连接未加密。若要加密通过 AWS Direct Connect 连接的流量,请使用以下任一方法:

  • 使用 MAC 安全(MACsec)。MACsec 通过专用的直接连接提供点对点加密。有关支持 MACsec 连接的信息,请参阅 AWS Direct Connect
  • 通过 Direct Connect 创建 AWS Site-to-Site VPN。Site-to-Site VPN 在客户网关和 AWS 网关之间提供加密。AWS 网关可以是 AWS Transit Gateway,也可以是虚拟私有网关。

有关如何使用 MACsec 加密的详细信息,请参阅在专用连接上开始使用 MACsec

如果未使用 MACsec,请使用 Site-to-Site VPN。Site-to-Site VPN 允许在本地设备和虚拟专用网关或 Transit Gateway 之间建立 VPN 隧道。若要通过 Direct Connect 构建连接到 Amazon VPC 的 Site-to-Site VPN,请使用公共虚拟接口。若要在本地设备和 AWS Transit Gateway 之间构建 Site-to-Site VPN,请选择公共接口或中转虚拟接口

解决方法

通过公共虚拟接口创建 Site-to-Site VPN

  1. 创建您的 Direct Connect 连接

  2. 为您的 Direct Connect 连接创建公共虚拟接口

    对于要播发的前缀,请输入您的客户网关设备的公有 IP 地址和您要播发的任何网络前缀。

    **注意:**您的公共虚拟接口接收来自每个 AWS 区域(AWS 中国区域除外)的所有 AWS 公有 IP 地址前缀。这些包括 AWS 托管 VPN 端点的公有 IP 地址。使用边界网关协议(BGP)社区按本地 AWS 区域或各大洲的 AWS 区域筛选前缀。

  3. 为您的虚拟私有网关或 AWS Transit Gateway 创建新的 VPN 连接

    在客户网关配置中,请使用您在上一步中指定的相同公有 IP 地址。

    **注意:**配置您的客户网关设备以创建 VPN 隧道。您可以从 AWS 管理控制台或 AWS 命令行界面(AWS CLI)下载示例配置

通过中转虚拟接口创建 Site-to-Site VPN

  1. 创建您的 Direct Connect 连接

  2. 将 IP CIDR 块与您的 Transit Gateway 关联。您不能关联 169.254.0.0/16 范围内的地址,也不能关联与您的 VPC 连接和本地网络的地址重叠的范围。您可以修改现有的 Transit Gateway 以添加此 CIDR 块。

  3. 创建中转虚拟接口。在中转虚拟接口配置中,您可以选择现有的 Direct Connect 网关,也可以创建新的 Direct Connect 网关。

    注意: Direct Connect 网关不能同时与虚拟专用网关和 Transit Gateway 关联。

  4. 将您的 Transit Gateway 关联到 Direct Connect 网关。确保通过允许的前缀将上一步中配置的 Transit Gateway CIDR 块通知给您的本地网络。

  5. 使用私有 IP 地址创建与 Transit Gateway 的新 VPN 连接

  6. 配置您的客户网关设备以创建 VPN 隧道。您可以从 AWS 管理控制台或 AWS CLI 下载示例配置

相关信息

对 AWS Direct Connect 进行故障排除

使用 AWS CloudTrail 记录 AWS Direct Connect API 调用

监控您的 Site-to-Site VPN 连接

AWS Site-to-Site VPN 日志

Amazon Virtual Private Cloud 连接选项

AWS 官方
AWS 官方已更新 1 年前