如何通过 AWS Direct Connect 连接建立加密连接?
我想要通过 AWS Direct Connect 连接建立从我的本地网络到我的 Amazon Virtual Private Cloud(Amazon VPC)的加密连接。
简短描述
AWS Direct Connect 提供专用的私有连接,在您的本地网络和 AWS 之间提供一致的吞吐量。默认情况下,AWS Direct Connect 连接未加密。若要加密通过 AWS Direct Connect 连接的流量,请使用以下任一方法:
- 使用 MAC 安全(MACsec)。MACsec 通过专用的直接连接提供点对点加密。有关支持 MACsec 连接的信息,请参阅 AWS Direct Connect。
- 通过 Direct Connect 创建 AWS Site-to-Site VPN。Site-to-Site VPN 在客户网关和 AWS 网关之间提供加密。AWS 网关可以是 AWS Transit Gateway,也可以是虚拟私有网关。
有关如何使用 MACsec 加密的详细信息,请参阅在专用连接上开始使用 MACsec。
如果未使用 MACsec,请使用 Site-to-Site VPN。Site-to-Site VPN 允许在本地设备和虚拟专用网关或 Transit Gateway 之间建立 VPN 隧道。若要通过 Direct Connect 构建连接到 Amazon VPC 的 Site-to-Site VPN,请使用公共虚拟接口。若要在本地设备和 AWS Transit Gateway 之间构建 Site-to-Site VPN,请选择公共接口或中转虚拟接口。
解决方法
通过公共虚拟接口创建 Site-to-Site VPN
-
为您的 Direct Connect 连接创建公共虚拟接口。
对于要播发的前缀,请输入您的客户网关设备的公有 IP 地址和您要播发的任何网络前缀。
**注意:**您的公共虚拟接口接收来自每个 AWS 区域(AWS 中国区域除外)的所有 AWS 公有 IP 地址前缀。这些包括 AWS 托管 VPN 端点的公有 IP 地址。使用边界网关协议(BGP)社区按本地 AWS 区域或各大洲的 AWS 区域筛选前缀。
-
为您的虚拟私有网关或 AWS Transit Gateway 创建新的 VPN 连接。
在客户网关配置中,请使用您在上一步中指定的相同公有 IP 地址。
**注意:**配置您的客户网关设备以创建 VPN 隧道。您可以从 AWS 管理控制台或 AWS 命令行界面(AWS CLI)下载示例配置。
通过中转虚拟接口创建 Site-to-Site VPN
-
将 IP CIDR 块与您的 Transit Gateway 关联。您不能关联 169.254.0.0/16 范围内的地址,也不能关联与您的 VPC 连接和本地网络的地址重叠的范围。您可以修改现有的 Transit Gateway 以添加此 CIDR 块。
-
创建中转虚拟接口。在中转虚拟接口配置中,您可以选择现有的 Direct Connect 网关,也可以创建新的 Direct Connect 网关。
注意: Direct Connect 网关不能同时与虚拟专用网关和 Transit Gateway 关联。
-
将您的 Transit Gateway 关联到 Direct Connect 网关。确保通过允许的前缀将上一步中配置的 Transit Gateway CIDR 块通知给您的本地网络。
-
配置您的客户网关设备以创建 VPN 隧道。您可以从 AWS 管理控制台或 AWS CLI 下载示例配置。
相关信息
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 10 个月前
- AWS 官方已更新 1 年前
