View a markdown version of this page

Cómo AWS Site-to-Site VPN funciona - AWS Site-to-Site VPN
Gateway privada virtualPuerta de enlace de tránsitoDispositivo de gateway de clientePuerta de enlace de clienteConexiones de VPN IPv6

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo AWS Site-to-Site VPN funciona

Una conexión Site-to-Site VPN consta de los siguientes componentes:

La conexión VPN ofrece dos túneles VPN entre una puerta de enlace privada virtual o una puerta de enlace de tránsito, por un AWS lado, y una puerta de enlace de cliente, por el lado local.

Para obtener más información sobre las cuotas de Site-to-Site VPN, consulteAWS Site-to-Site VPN cuotas.

Gateway privada virtual

Una puerta de enlace privada virtual es el concentrador de Site-to-Site VPN en el lado Amazon de la conexión Site-to-Site VPN. Cree una puerta de enlace privada virtual y la conecte a una nube privada virtual (VPC) con recursos que deben acceder a la Site-to-Site conexión VPN.

El siguiente diagrama muestra una conexión de VPN entre una VPC y la red en las instalaciones mediante una puerta de enlace privada virtual.

Una VPC con una puerta de enlace privada virtual asociada y una conexión a su red en las instalaciones.

Al crear una gateway privada virtual, puede especificar el número de sistema autónomo (ASN) privado en el lado de Amazon de la gateway. Si no especifica un ASN, la gateway privada virtual se crea con el ASN predeterminado (64 512). No se puede cambiar el ASN una vez que ha creado la gateway privada virtual. Para comprobar el ASN de su puerta de enlace privada virtual, consulte sus detalles en la página Puertas de enlace privadas virtuales de la consola de Amazon VPC o utilice el comando de AWS CLI describe-vpn-gateways.

nota

Las puertas de enlace privadas virtuales no admiten IPv6 para Site-to-Site las conexiones VPN. Si necesita compatibilidad con IPv6, use una puerta de enlace de tránsito o la WAN en la nube para la conexión de VPN.

Puerta de enlace de tránsito

Un puerta de enlace de tránsito es un hub de tránsito que puede utilizar para interconectar sus VPC y redes en las instalaciones. Para obtener más información, consulte Gateways de tránsito de Amazon VPC. Puede crear una conexión Site-to-Site VPN como un archivo adjunto en una puerta de enlace de tránsito.

El siguiente diagrama muestra una conexión de VPN entre varias VPC y su red en las instalaciones utilizando una puerta de enlace de tránsito. La puerta de enlace de tránsito tiene tres conexiones de VPC y una conexión de VPN.

Una puerta de enlace de tránsito con tres conexiones de VPC y una conexión de VPN.

Tu conexión Site-to-Site VPN en una pasarela de tránsito puede admitir el tráfico de IPv4 o IPv6 dentro de los túneles de la VPN (direcciones IP internas). Además, las puertas de enlace de tránsito admiten direcciones IPv6 para las direcciones IP de túnel externas. Para obtener más información, consulte Tráfico de IPv4 e IPv6 en AWS Site-to-Site VPN.

Puede modificar la puerta de enlace de destino de una conexión Site-to-Site VPN de una puerta de enlace privada virtual a una puerta de enlace de tránsito. Para obtener más información, consulte Modificar la puerta de enlace de destino de una AWS Site-to-Site VPN conexión.

Dispositivo de gateway de cliente

Un dispositivo de puerta de enlace para clientes es un dispositivo físico o una aplicación de software que se encuentra en su lado de la conexión Site-to-Site VPN. Usted configura el dispositivo para que funcione con la conexión Site-to-Site VPN. Para obtener más información, consulte AWS Site-to-Site VPN dispositivos de puerta de enlace para clientes.

De forma predeterminada, el dispositivo de puerta de enlace del cliente debe abrir los túneles de su conexión Site-to-Site VPN generando tráfico e iniciando el proceso de negociación del intercambio de claves de Internet (IKE). Puede configurar su conexión Site-to-Site VPN para especificar que, en su lugar, AWS debe iniciar el proceso de negociación del IKE. Para obtener más información, consulte AWS Site-to-Site VPN opciones de inicio de túnel.

Si utiliza IPv6 para las direcciones IP de túnel externo, el dispositivo de puerta de enlace de cliente debe admitir el direccionamiento IPv6 y poder establecer túneles IPsec con puntos de conexión IPv6.

Puerta de enlace de cliente

Una gateway del cliente es un recurso que se crea en AWS y que representa el dispositivo de la gateway del cliente en la red local. Al crear una pasarela de clientes, proporciona información sobre su dispositivo a AWS. Para obtener más información, consulte Opciones de gateway de cliente para su conexión de AWS Site-to-Site VPN.

Una puerta de enlace de cliente y un dispositivo de puerta de enlace de cliente.

Para usar Amazon VPC con una conexión Site-to-Site VPN, usted o su administrador de red también deben configurar el dispositivo o la aplicación de puerta de enlace del cliente en su red remota. Cuando crea la conexión Site-to-Site VPN, le proporcionamos la información de configuración necesaria y, por lo general, el administrador de red realiza esta configuración. Para obtener información sobre los requisitos y la configuración de la gateway de cliente, consulte AWS Site-to-Site VPN dispositivos de puerta de enlace para clientes.

Puerta de enlace de cliente IPv6

Al crear una puerta de enlace de cliente para usarla con IP de túnel externo de IPv6, debe especificar una dirección IPv6 en lugar de una dirección IPv4. Puede crear una puerta de enlace de cliente IPv6 mediante la consola AWS de administración o la AWS CLI.

Para crear una puerta de enlace de cliente IPv6 mediante la AWS CLI, utilice el siguiente comando:

aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

La dirección IPv6 debe ser una dirección IPv6 válida enrutable por Internet para el dispositivo de puerta de enlace de cliente.

Conexiones de VPN IPv6

Site-to-Site Las conexiones VPN VPN admiten las siguientes configuraciones de IPv6:

  • Túnel externo de IPv4 con paquetes internos de IPv4: la capacidad básica de VPN IPv4 que admite puerta de enlace privada virtual (VGW), puerta de enlace de tránsito (TGW) y WAN en la nube.

  • Túnel exterior IPv4 con paquetes internos de IPv6: permite que IPv6 applications/transport entre en el túnel VPN. Compatible con TGW y WAN en la nube (no compatible con VGW).

  • Túnel externo de IPv6 con paquetes internos de IPv6: permite la migración completa de IPv6 con direcciones IPv6 tanto para las IP de túnel externo como para las IP de los paquetes internos. Compatible con TGW y WAN en la nube.

  • Túnel externo IPv6 con paquetes internos de IPv4: permite el direccionamiento del túnel externo de IPv6 y, al mismo tiempo, admite aplicaciones IPv4 antiguas en el túnel. Compatible con TGW y WAN en la nube.

Para crear una conexión de VPN con IP de túnel externo de IPv6, debe especificar OutsideIPAddressType=Ipv6 al crear la conexión de VPN. AWS configura automáticamente las direcciones IPv6 de túnel externo para el extremo de AWS de los túneles de VPN.

Ejemplo de comando de la CLI para crear una conexión de VPN con IP de túnel externo de IPv6 e IP de túnel interno de IPv6:

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

Puede ver las direcciones IPv6 asignadas a su conexión de VPN mediante el comando describe-vpn-connection de la CLI.