Archivos de configuración de enrutamiento estático descargables para un dispositivo de puerta de enlace de cliente de AWS Site-to-Site VPN - AWS Site-to-Site VPN
Dispositivos Cisco: información adicional

Archivos de configuración de enrutamiento estático descargables para un dispositivo de puerta de enlace de cliente de AWS Site-to-Site VPN

Para descargar un archivo de configuración de ejemplo con valores específicos para la configuración de la conexión Site-to-Site VPN, utilice la consola de Amazon VPC, la línea de comandos AWS o la API de Amazon EC2. Para obtener más información, consulte Paso 6: Descargar el archivo de configuración.

También puede descargar archivos de configuración de ejemplo genéricos para enrutamiento estático que no incluyan valores específicos de la configuración de conexión Site-to-Site VPN: static-routing-examples.zip

Los archivos utilizan valores de marcadores de posición para algunos componentes. Por ejemplo, usan:

  • Valores de ejemplo para el ID de conexión de VPN, el ID de gateway de cliente y el ID de gateway privada virtual

  • Marcadores de posición para los puntos de enlace de direcciones IP remotas de AWS (externas) (AWS_ENDPOINT_1 y AWS_ENDPOINT_2)

  • Un marcador de posición de posición para la dirección IP de la interfaz externa direccionable a Internet en el dispositivo de gateway de cliente (su-dirección-ip-cgw).

  • Un marcador de posición para el valor de clave previamente compartida (clave previamente compartida)

  • Valores de ejemplo de direcciones IP interiores para el túnel.

  • Valores de muestra para la configuración de MTU.

nota

La configuración de MTU proporcionada en los archivos de configuración de muestra son solo ejemplos. Consulte Prácticas recomendadas para un dispositivo de puerta de enlace de cliente de AWS Site-to-Site VPN para obtener información sobre cómo establecer el valor de MTU óptimo para su situación.

Además de proporcionar valores de marcadores de posición, en los archivos se especifican los requisitos mínimos para una conexión Site-to-Site VPN de AES128, SHA1 y grupo 2 de Diffie-Hellman en la mayoría de Regiones AWS, y AES128, SHA2 y Diffie-Hellman grupo 14 en las Regiones AWS de GovCloud. También se especifican claves previamente compartidas para la autenticación. Debe modificar el archivo de configuración de ejemplo para aprovecharse de los algoritmos de seguridad adicionales, los grupos Diffie-Hellman, los certificados privados y el tráfico IPv6.

En el siguiente diagrama se ofrece una descripción general de los diferentes componentes que se configuran en el dispositivo de gateway de cliente. Incluye valores de ejemplo para las direcciones IP de la interfaz del túnel.

Dispositivo de gateway de cliente con direccionamiento estático

Dispositivos Cisco: información adicional

Algunos Cisco ASA solo admiten el modo Active/Standby. Al utilizar estos Cisco ASA, solo puede tener un túnel activo cada vez. El otro túnel en espera se activará si el primer túnel se vuelve no disponible. Con esta redundancia, siempre debería tener conectividad a su VPC a través de uno de los túneles.

Cisco ASA a partir de la versión 9.7.1 y posteriores admiten el modo Activo/Activo. Al utilizar estos Cisco ASA, puede tener ambos túneles activos al mismo tiempo. Con esta redundancia, siempre debería tener conectividad a su VPC a través de uno de los túneles.

Para los dispositivos Cisco, debe hacer lo siguiente:

  • Configurar la interfaz externa.

  • Asegurarse de que el número de secuencia de política de Crypto ISAKMP es único.

  • Asegurarse de que el número de secuencia de política de Crypto List es único.

  • Asegurarse de que Crypto IPsec Transform Set y la secuencia de política de Crypto ISAKMP son coherentes con los demás túneles IPsec que están configurados en el dispositivo.

  • Asegurarse de que el número de monitorización de SLA es único.

  • Configurar todo el direccionamiento interno que mueve el tráfico entre el dispositivo de gateway de cliente y su red local.