Comment AWS Site-to-Site VPN fonctionne - AWS Site-to-Site VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment AWS Site-to-Site VPN fonctionne

Une connexion Site-to-Site VPN comprend les éléments suivants :

La connexion VPN propose deux tunnels VPN entre une passerelle privée virtuelle ou une passerelle de transit sur le AWS côté, et une passerelle client sur site.

Pour plus d'informations sur les quotas Site-to-Site VPN, consultezAWS Site-to-Site VPN quotas.

Passerelle réseau privé virtuel

Une passerelle privée virtuelle est le concentrateur VPN situé du côté Amazon de la connexion Site-to-Site VPN. Vous créez une passerelle privée virtuelle et vous l'associez à un cloud privé virtuel (VPC) avec des ressources qui doivent accéder à la Site-to-Site connexion VPN.

Le schéma suivant montre une connexion VPN entre un VPC et votre réseau sur site à l'aide d'une passerelle réseau privé virtuel.

Un VPC avec une passerelle réseau privé virtuel attachée et une connexion VPN à votre réseau sur site.

Lorsque vous créez une passerelle réseau privé virtuel, vous pouvez spécifier le numéro d'ASN (Autonomous System Number) privé pour le côté Amazon de la passerelle. Si vous ne spécifiez pas d'ASN, la passerelle réseau privé virtuel est créée avec l'ASN par défaut (64512). Une fois la passerelle réseau privé virtuel créée, vous ne pouvez pas modifier l'ASN. Pour vérifier l'ASN de votre passerelle privée virtuelle, consultez ses détails sur la page Passerelles privées virtuelles de la console Amazon VPC, ou utilisez la commande. describe-vpn-gateways AWS CLI

Note

Les passerelles privées virtuelles ne prennent pas en charge IPv6 les connexions Site-to-Site VPN. Si vous avez besoin d' IPv6 assistance, utilisez une passerelle de transit ou un Cloud WAN pour votre connexion VPN.

Passerelle de transit

Une passerelle de transit est un hub de transit que vous pouvez utiliser pour interconnecter votre réseau local VPCs et celui de votre réseau local. Pour plus d'informations, consultez Passerelles de transit Amazon VPC. Vous pouvez créer une connexion Site-to-Site VPN en tant que pièce jointe sur une passerelle de transit.

Le schéma suivant montre une connexion VPN entre plusieurs VPCs et votre réseau local à l'aide d'une passerelle de transit. La passerelle de transit comporte trois attachements de VPC et un attachement de VPN.

Une passerelle de transit avec trois attachements de VPC et un attachement de VPN.

Votre connexion Site-to-Site VPN sur une passerelle de transit peut prendre en charge IPv4 le IPv6 trafic à l'intérieur des tunnels VPN (adresses IP internes). En outre, les passerelles de transit prennent en charge les IPv6 adresses IP des tunnels extérieurs. Pour de plus amples informations, veuillez consulter IPv4 et IPv6 trafic entrant AWS Site-to-Site VPN.

Vous pouvez modifier la passerelle cible d'une connexion Site-to-Site VPN d'une passerelle privée virtuelle à une passerelle de transit. Pour de plus amples informations, veuillez consulter Modifier la passerelle cible d'une AWS Site-to-Site VPN connexion.

Périphérique de passerelle client

Un dispositif de passerelle client est un appareil physique ou une application logicielle qui se trouve de votre côté de la connexion Site-to-Site VPN. Vous configurez l'appareil pour qu'il fonctionne avec la connexion Site-to-Site VPN. Pour de plus amples informations, veuillez consulter AWS Site-to-Site VPN dispositifs de passerelle client.

Par défaut, votre dispositif de passerelle client doit ouvrir les tunnels pour votre connexion Site-to-Site VPN en générant du trafic et en lançant le processus de négociation IKE (Internet Key Exchange). Vous pouvez configurer votre connexion Site-to-Site VPN pour spécifier qui AWS doit plutôt lancer le processus de négociation IKE. Pour de plus amples informations, veuillez consulter AWS Site-to-Site VPN options d'initiation du tunnel.

Si vous utilisez des adresses IP IPv6 de tunnel externe, votre dispositif de passerelle client doit prendre en charge l' IPv6 adressage et être en mesure d'établir des IPsec tunnels avec des IPv6 points de terminaison.

Passerelle client

Une passerelle client est une ressource que vous créez dans AWS et qui représente le périphérique de passerelle client dans votre réseau local. Lorsque vous créez une passerelle client, vous fournissez des informations sur votre appareil à AWS. Pour de plus amples informations, veuillez consulter Options de passerelle client pour votre AWS Site-to-Site VPN connexion.

Une passerelle client et un périphérique de passerelle client.

Pour utiliser Amazon VPC avec une connexion Site-to-Site VPN, vous ou votre administrateur réseau devez également configurer le dispositif ou l'application de passerelle client sur votre réseau distant. Lorsque vous créez la connexion Site-to-Site VPN, nous vous fournissons les informations de configuration requises et c'est généralement votre administrateur réseau qui effectue cette configuration. Pour plus d'informations sur les exigences et la configuration de la passerelle client, consultez AWS Site-to-Site VPN dispositifs de passerelle client.

IPv6 passerelle client

Lorsque vous créez une passerelle client à utiliser avec un tunnel IPv6 externe IPs, vous spécifiez une IPv6 adresse au lieu d'une IPv4 adresse. Vous pouvez créer une passerelle IPv6 client à l'aide de la console AWS de gestion ou de la AWS CLI.

Pour créer une passerelle IPv6 client à l'aide de la AWS CLI, utilisez la commande suivante :

aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

L' IPv6 adresse doit être une adresse valide et routable par Internet pour votre IPv6 dispositif de passerelle client.

IPv6 Connexions VPN

Site-to-Site Les connexions VPN prennent en charge les IPv6 configurations suivantes :

  • IPv4 tunnel extérieur avec paquets IPv4 internes : fonctionnalité IPv4 VPN de base prise en charge sur Virtual Private Gateway (VGW), Transit Gateway (TGW) et Cloud WAN.

  • IPv4 tunnel extérieur avec paquets IPv6 internes - Autorise les IPv6 applications/le transport dans le tunnel VPN. Pris en charge sur TGW et Cloud WAN (non pris en charge sur VGW).

  • IPv6 tunnel extérieur avec paquets IPv6 internes - Permet une IPv6 migration complète avec des IPv6 adresses à la fois pour le tunnel externe IPs et pour le paquet interne IPs. Pris en charge sur TGW et Cloud WAN.

  • IPv6 tunnel extérieur avec paquets IPv4 internes - Permet l'adressage du tunnel IPv6 externe tout en prenant en charge IPv4 les applications existantes au sein du tunnel. Pris en charge sur TGW et Cloud WAN.

Pour créer une connexion VPN avec un tunnel IPv6 extérieur IPs, vous devez le spécifier OutsideIPAddressType=Ipv6 lors de la création de la connexion VPN. AWS configure automatiquement les IPv6 adresses des tunnels extérieurs pour le côté AWS des tunnels VPN.

Exemple de commande CLI pour créer une connexion VPN avec un tunnel IPv6 externe IPs et un tunnel IPv6 interne IPs :

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

Vous pouvez consulter les IPv6 adresses attribuées à votre connexion VPN à l'aide de la commande describe-vpn-connection CLI.