IBM Cloud Docs
连接到 AWS 同级

连接到 AWS 同级

您可以使用 IBM Cloud VPN for VPC 通过 VPN 隧道将 VPC 安全地连接到内部部署网络。 本主题提供有关如何配置 AWS VPN 网关以连接到 VPN for VPC的指导。

由于 AWS 要求在阶段 2 中启用 PFS,因此必须创建定制 IPsec 策略以替换 VPC 中 VPN 的缺省策略。 有关更多信息,请参阅 创建 IPsec 策略

当 AWS VPN 从 VPN for VPC接收连接请求时,AWS VPN 使用 IPsec 阶段 1 参数来建立安全连接并认证 VPN for VPC 网关。 然后,如果安全策略允许连接,那么 AWS VPN 将使用 IPsec 阶段 2 参数来建立隧道,并应用 IPsec 安全策略。 密钥管理、认证和安全服务均通过 IKE 协议动态协商。

在连接到内部部署同级之前,请查看 VPN 网关限制

要支持这些功能,必须在 AWS VPN 上执行以下常规配置步骤:

  • 定义阶段 1 参数,AWS VPN 需要这些参数来认证远程同级并建立安全连接。
  • 定义 AWS VPN 使用 VPN for VPC创建 VPN 隧道所需的阶段 2 参数。

将基于 IBM 策略的 VPN 连接到 AWS 同级

您可以使用基于 VPN for VPC 策略的 VPN 来连接到基于 AWS 路由的 VPN。 但是,基于策略的 VPN 需要针对每个子网单独的安全性关联 (SA),而基于路由的 VPN 对所有加密流量使用单个 SA。 因此,基于策略的 VPN 与基于路由的 VPN 之间的连接仅限于与单个 CIDR 范围关联的一个 SA。

如果您有多个具有连续地址范围的子网,那么可以创建与作为子网超集的 CIDR 的连接。 例如,192.168.0.0/24192.168.1.0/24 由 CIDR 192.168.0.0/23 覆盖。

将基于 IBM 策略的 VPN 连接到 AWS 同级
图 1: 将基于 IBM 策略的 VPN 连接到 AWS 同级

配置 AWS

要配置 AWS 同级,请执行以下步骤:

  1. 使用基于 IBM 策略的 VPN IP 地址创建 AWS 客户网关。

  2. 创建 AWS Virtual Private Gateway,并将其连接到必须将流量发送到 IBM VPC 的 AWS VPC。

  3. 创建单个 AWS 站点到站点连接:

    • 虚拟专用网关 设置为您在步骤 2 中创建的网关。

    • 客户网关 设置为您在步骤 1 中创建的客户网关。

    • 路由选项 设置为 静态

    • 将 IBM 端的单个 CIDR 添加到 静态 IP 前缀

      要访问 IBM VPC 中的多个连续子网,请使用涵盖所有必需子网的更大 CIDR 范围。

    • 输入 tunnel1tunnel2 的预先共享密钥。

    • 对于两个 AWS 隧道,选择 编辑隧道 x 选项 并选择所需的安全性参数。 如果 IBM VPN也支持多个值,那么可以为每个参数选择多个值。

      AWS 隧道选项
      图 2: AWS 隧道选项

  4. 在 AWS 站点到站点连接的状态为 可用后,转至 静态路由 选项卡以验证是否自动添加了正确的路由。 必要时进行手动调整。

    下图显示了 IBM VPC 端上的网络 10.240.128.0/2710.240.128.32/27 与新目标 10.240.128.0/26 一起路由。

    AWS 连接静态路由
    图 3: AWS 连接静态路由

  5. 转至 虚拟私有云 部分中的 AWS 路由表,并查找与连接 VPN 的 VPC 相关联的路由表。 单击 编辑路由,并将同一路由添加到路由表。

    AWS 路由表
    图 4: AWS 路由表

  6. 在“站点到站点连接”页面上验证连接状态。

  7. 验证是否调整了 AWS ACL 和安全组规则以允许所需的流量。

配置基于 IBM 策略的 VPN

要为 AWS 同级配置基于 IBM 策略的 VPN,请执行以下步骤:

  1. 为其中一个 AWS 隧道 IP 创建新连接。 将单个 CIDR 用于 本地子网对等子网

    由于 AWS 要求在阶段 2 中 启用 PFS,因此必须创建定制 IPsec 策略以替换 VPC 中 VPN 的缺省策略。 有关更多信息,请参阅 在 VPN for VPC中创建定制 IPsec 策略

  2. 在连接状态为 活动后,验证子网之间的流量。

将基于 IBM 路由的 VPN 连接到 AWS 同级

对于此设置,您必须具有一个 IBM VPN 网关和两个 AWS VPN 连接 (总共四个隧道)。

将基于 IBM 路由的 VPN 连接到 AWS 同级
图 5: 将基于 IBM 路由的 VPN 连接到 AWS 同级

配置 AWS

要配置 AWS 同级,请执行以下步骤:

  1. 使用每个基于 IBM 路由的 VPN 成员 IP 地址创建两个 AWS 客户网关。

  2. 创建 AWS Virtual Private Gateway,并将其连接到必须将流量发送到 IBM VPC 的 AWS VPC。

  3. 创建第一个 AWS 站点到站点连接。

    • 虚拟专用网关 设置为您在步骤 2 中创建的网关。
    • 客户网关 设置为您在步骤 1 中创建的第一个客户网关。
    • 路由选项 设置为 静态
    • 将 IBM VPC 子网划分为两个较小的子网,并将其添加到 静态 IP 前缀。 这样,第一个连接优先于第二个连接。
    • 输入 tunnel1tunnel2 的预先共享密钥
    • 对于这两个 AWS 隧道,选择 编辑隧道 X 选项 并选择所需的安全性参数。 如果 IBM VPN也支持多个值,那么可以为每个参数选择多个值。

  4. 创建第二个 AWS 站点到站点连接。

    • 虚拟专用网关 设置为您在步骤 2 中创建的网关。
    • 客户网关 设置为您在步骤 1 中创建的第二个客户网关。
    • 路由选项 设置为 静态
    • 将 IBM VPC 子网添加到 静态 IP 前缀
    • 输入 tunnel1tunnel2 的预先共享密钥
    • 对于这两个 AWS 隧道,选择 编辑隧道 X 选项 并选择所需的安全性参数。 如果 IBM VPN也支持多个值,那么可以为每个参数选择多个值。

    AWS 隧道选项
    图 6: AWS 隧道选项

  5. 在 AWS 站点到站点连接处于 可用 状态后,请转至每个站点到站点连接的 静态路由 选项卡,以验证是否自动添加了正确的路由。 必要时进行手动调整。 以下图像显示在两个连接上都路由了网络 10.248.0.0/24

    AWS 连接静态路由
    图 7: AWS 连接静态路由

    AWS 连接静态路由
    图 8: AWS 连接静态路由

  6. 转至 VIRTUAL PRIVATE CLOUD 下的 AWS 路由表,并查找与连接 VPN 的 VPC 相关联的路由表。 单击 编辑路由,并将同一路由添加到路由表。

    AWS 路由表
    图 9: AWS 路由表

  7. 在“站点到站点连接”页面上验证连接状态。

  8. 验证是否调整了 AWS ACL 和安全组规则以允许所需的流量。

配置基于 IBM 路由的 VPN

要为 AWS 同级配置基于 IBM 路由的 VPN,请执行以下步骤:

  1. 创建四个新连接,每个 AWS 隧道 IP 一个连接。

    由于 AWS 要求在阶段 2 中启用 PFS,因此必须创建定制 IPsec 策略以替换 VPC 中 VPN 的缺省策略。 有关更多信息,请参阅 在 VPN for VPC中创建定制 IPsec 策略

  2. 使用 下一个中继段 选项为每个对等子网创建四个路径,这些路径指向您在步骤 1 中创建的每个连接。 然后将每个路径设置为不同的 优先级 值。

    具有最低 优先级 值的路由是优先级路由。

    IBM 路由表
    图 5: IBM 路由表

  3. 在这两个连接的状态都显示为 活动之后,请验证子网之间的流量。

    验证 AWS 上的首选连接是否与 IBM 上的首选连接相同,以避免非对称路由。