Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo AWS Site-to-Site VPN funciona
Una conexión Site-to-Site VPN consta de los siguientes componentes:
La conexión VPN ofrece dos túneles VPN entre una puerta de enlace privada virtual o una puerta de enlace de tránsito, por un AWS lado, y una puerta de enlace de cliente, por el lado local.
Para obtener más información sobre las cuotas de Site-to-Site VPN, consulteAWS Site-to-Site VPN cuotas.
Gateway privada virtual
Una puerta de enlace privada virtual es el concentrador de VPN en el lado Amazon de la conexión Site-to-Site VPN. Cree una puerta de enlace privada virtual y la conecte a una nube privada virtual (VPC) con recursos que deben acceder a la Site-to-Site conexión VPN.
El siguiente diagrama muestra una conexión de VPN entre una VPC y la red en las instalaciones mediante una puerta de enlace privada virtual.

Al crear una gateway privada virtual, puede especificar el número de sistema autónomo (ASN) privado en el lado de Amazon de la gateway. Si no especifica un ASN, la gateway privada virtual se crea con el ASN predeterminado (64 512). No se puede cambiar el ASN una vez que ha creado la gateway privada virtual. Para comprobar el ASN de su puerta de enlace privada virtual, consulte sus detalles en la página de pasarelas privadas virtuales de la consola de Amazon VPC o utilice el comando. describe-vpn-gateways
nota
Las pasarelas privadas virtuales no admiten IPv6 conexiones VPN. Site-to-Site Si necesitas IPv6 asistencia, usa una pasarela de tránsito o una WAN en la nube para tu conexión VPN.
Puerta de enlace de tránsito
Una pasarela de tránsito es un centro de tránsito que puedes usar para interconectar tus redes VPCs con las locales. Para obtener más información, consulte Gateways de tránsito de Amazon VPC. Puedes crear una conexión Site-to-Site VPN como un archivo adjunto en una pasarela de tránsito.
El siguiente diagrama muestra una conexión VPN entre varias redes VPCs y la local mediante una puerta de enlace de tránsito. La puerta de enlace de tránsito tiene tres conexiones de VPC y una conexión de VPN.

La conexión Site-to-Site VPN en una puerta de enlace de tránsito puede soportar IPv4 el IPv6 tráfico dentro de los túneles VPN (direcciones IP internas). Además, las pasarelas de tránsito admiten IPv6 direcciones para las direcciones IP del túnel exterior. Para obtener más información, consulte IPv4 y IPv6 tráfico en AWS Site-to-Site VPN.
Puede modificar la puerta de enlace de destino de una conexión Site-to-Site VPN de una puerta de enlace privada virtual a una puerta de enlace de tránsito. Para obtener más información, consulte Modificar la puerta de enlace de destino de una AWS Site-to-Site VPN conexión.
Dispositivo de gateway de cliente
Un dispositivo de puerta de enlace para clientes es un dispositivo físico o una aplicación de software que se encuentra en su lado de la conexión Site-to-Site VPN. Usted configura el dispositivo para que funcione con la conexión Site-to-Site VPN. Para obtener más información, consulte AWS Site-to-Site VPN dispositivos de puerta de enlace para clientes.
De forma predeterminada, el dispositivo de puerta de enlace del cliente debe abrir los túneles de su conexión Site-to-Site VPN generando tráfico e iniciando el proceso de negociación del intercambio de claves de Internet (IKE). Puede configurar su conexión Site-to-Site VPN para especificar que, en su lugar, AWS debe iniciar el proceso de negociación del IKE. Para obtener más información, consulte AWS Site-to-Site VPN opciones de inicio de túnel.
Si utiliza direcciones IP IPv6 para el túnel exterior, el dispositivo de puerta de enlace del cliente debe admitir el IPv6 direccionamiento y poder establecer IPsec túneles con IPv6 puntos finales.
Puerta de enlace de cliente
Una gateway del cliente es un recurso que se crea en AWS y que representa el dispositivo de la gateway del cliente en la red local. Cuando crea una pasarela para clientes, proporciona información sobre su dispositivo a AWS. Para obtener más información, consulte Opciones de pasarela de clientes para su AWS Site-to-Site VPN conexión.

Para usar Amazon VPC con una conexión Site-to-Site VPN, usted o su administrador de red también deben configurar el dispositivo o la aplicación de puerta de enlace del cliente en su red remota. Cuando crea la conexión Site-to-Site VPN, le proporcionamos la información de configuración necesaria y, por lo general, el administrador de red realiza esta configuración. Para obtener información sobre los requisitos y la configuración de la gateway de cliente, consulte AWS Site-to-Site VPN dispositivos de puerta de enlace para clientes.
IPv6 pasarela de clientes
Al crear una pasarela de clientes para usarla con el túnel IPv6 exterior IPs, debe especificar una IPv6 dirección en lugar de una IPv4 dirección. Puede crear una pasarela de IPv6 cliente mediante la consola AWS de administración o la AWS CLI.
Para crear una pasarela de IPv6 clientes mediante la AWS CLI, utilice el siguiente comando:
aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
La IPv6 dirección debe ser una IPv6 dirección válida y enrutable por Internet para su dispositivo de pasarela de clientes.
IPv6 Conexiones VPN
Site-to-Site Las conexiones VPN VPN admiten las siguientes IPv6 configuraciones:
-
IPv4 túnel exterior con paquetes IPv4 internos: la capacidad IPv4 VPN básica compatible con Virtual Private Gateway (VGW), Transit Gateway (TGW) y Cloud WAN.
-
IPv4 túnel exterior con paquetes IPv6 internos: permite el IPv6 transporte y las aplicaciones dentro del túnel VPN. Compatible con TGW y Cloud WAN (no compatible con VGW).
-
IPv6 túnel exterior con paquetes IPv6 internos: permite la IPv6 migración completa con IPv6 direcciones tanto para el túnel IPs exterior como para el paquete interno. IPs Compatible con TGW y Cloud WAN.
-
IPv6 túnel exterior con paquetes IPv4 internos: permite el direccionamiento del túnel IPv6 exterior y, al mismo tiempo, admite IPv4 aplicaciones antiguas dentro del túnel. Compatible con TGW y Cloud WAN.
Para crear una conexión VPN con un túnel IPv6 exterior IPs, debe especificarlo OutsideIPAddressType=Ipv6
al crear la conexión VPN. AWS configura automáticamente las IPv6 direcciones de los túneles exteriores para el lado de AWS de los túneles de la VPN.
Ejemplo de comando CLI para crear una conexión VPN con un túnel IPv6 exterior IPs y un túnel IPv6 interior IPs:
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
Puede ver las IPv6 direcciones asignadas a su conexión VPN mediante el comando describe-vpn-connection
CLI.