View a markdown version of this page

Comment ? AWS Site-to-Site VPN fonctionnement - AWS Site-to-Site VPN
Passerelle réseau privé virtuelPasserelle de transitPériphérique de passerelle clientPasserelle clientConnexions VPN IPv6

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment ? AWS Site-to-Site VPN fonctionnement

Une connexion Site-to-Site VPN comprend les éléments suivants :

La connexion VPN propose deux tunnels VPN entre une passerelle privée virtuelle ou une passerelle de transit sur le AWS côté, et une passerelle client sur site.

Pour plus d'informations sur les quotas Site-to-Site VPN, consultezAWS Site-to-Site VPN quotas.

Passerelle réseau privé virtuel

Une passerelle privée virtuelle est le concentrateur Site-to-Site VPN situé du côté Amazon de la connexion Site-to-Site VPN. Vous créez une passerelle privée virtuelle et vous l'associez à un cloud privé virtuel (VPC) avec des ressources qui doivent accéder à la Site-to-Site connexion VPN.

Le schéma suivant montre une connexion VPN entre un VPC et votre réseau sur site à l'aide d'une passerelle réseau privé virtuel.

Un VPC avec une passerelle réseau privé virtuel attachée et une connexion VPN à votre réseau sur site.

Lorsque vous créez une passerelle réseau privé virtuel, vous pouvez spécifier le numéro d'ASN (Autonomous System Number) privé pour le côté Amazon de la passerelle. Si vous ne spécifiez pas d'ASN, la passerelle réseau privé virtuel est créée avec l'ASN par défaut (64512). Une fois la passerelle réseau privé virtuel créée, vous ne pouvez pas modifier l'ASN. Pour vérifier l'ASN de votre passerelle réseau privé virtuel, affichez ses informations sur la page Passerelles réseau privé virtuel de la console Amazon VPC ou utilisez la commande describe-vpn-gateways ( AWS CLI ).

Note

Les passerelles privées virtuelles ne prennent pas en charge le protocole IPv6 pour les connexions Site-to-Site VPN. Si vous avez besoin du support IPv6, utilisez une passerelle de transit ou un Cloud WAN pour votre connexion VPN.

Passerelle de transit

Une passerelle de transit est un hub de transit que vous pouvez utiliser pour relier vos VPC et vos réseaux sur site. Pour plus d'informations, consultez Passerelles de transit Amazon VPC. Vous pouvez créer une connexion Site-to-Site VPN en tant que pièce jointe sur une passerelle de transit.

Le schéma suivant montre une connexion VPN entre plusieurs VPC et votre réseau sur site à l'aide d'une passerelle de transit. La passerelle de transit comporte trois attachements de VPC et un attachement de VPN.

Une passerelle de transit avec trois attachements de VPC et un attachement de VPN.

Votre connexion Site-to-Site VPN sur une passerelle de transit peut prendre en charge le trafic IPv4 ou IPv6 à l'intérieur des tunnels VPN (adresses IP internes). En outre, les passerelles de transit prennent en charge les adresses IPv6 pour les adresses IP des tunnels extérieurs. Pour de plus amples informations, veuillez consulter IPv4 et IPv6 trafic entrant AWS Site-to-Site VPN.

Vous pouvez modifier la passerelle cible d'une connexion Site-to-Site VPN d'une passerelle privée virtuelle à une passerelle de transit. Pour de plus amples informations, veuillez consulter Modifier la passerelle cible d'une AWS Site-to-Site VPN connexion.

Périphérique de passerelle client

Un dispositif de passerelle client est un appareil physique ou une application logicielle qui se trouve de votre côté de la connexion Site-to-Site VPN. Vous configurez l'appareil pour qu'il fonctionne avec la connexion Site-to-Site VPN. Pour de plus amples informations, veuillez consulter AWS Site-to-Site VPN dispositifs de passerelle client.

Par défaut, votre dispositif de passerelle client doit ouvrir les tunnels pour votre connexion Site-to-Site VPN en générant du trafic et en lançant le processus de négociation IKE (Internet Key Exchange). Vous pouvez configurer votre connexion Site-to-Site VPN pour spécifier qui AWS doit plutôt lancer le processus de négociation IKE. Pour de plus amples informations, veuillez consulter AWS Site-to-Site VPN options d'initiation du tunnel.

Si vous utilisez IPv6 pour les adresses IP des tunnels extérieurs, votre dispositif de passerelle client doit prendre en charge l'adressage IPv6 et être en mesure d'établir des tunnels IPsec avec des points de terminaison IPv6.

Passerelle client

Une passerelle client est une ressource que vous créez dans AWS et qui représente le périphérique de passerelle client dans votre réseau local. Lorsque vous créez une passerelle client, vous fournissez des informations sur votre appareil à AWS. Pour de plus amples informations, veuillez consulter Options de passerelle client pour votre AWS Site-to-Site VPN connexion.

Une passerelle client et un périphérique de passerelle client.

Pour utiliser Amazon VPC avec une connexion Site-to-Site VPN, vous ou votre administrateur réseau devez également configurer le dispositif ou l'application de passerelle client sur votre réseau distant. Lorsque vous créez la connexion Site-to-Site VPN, nous vous fournissons les informations de configuration requises et c'est généralement votre administrateur réseau qui effectue cette configuration. Pour plus d'informations sur les exigences et la configuration de la passerelle client, consultez AWS Site-to-Site VPN dispositifs de passerelle client.

Passerelle client IPv6

Lorsque vous créez une passerelle client à utiliser avec les adresses IP des tunnels extérieurs IPv6, vous spécifiez une adresse IPv6 au lieu d'une adresse IPv4. Vous pouvez créer une passerelle client IPv6 à l'aide de la console AWS de gestion ou de la AWS CLI.

Pour créer une passerelle client IPv6 à l'aide de la AWS CLI, utilisez la commande suivante :

aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

L'adresse IPv6 doit être une adresse IPv6 valide et routable par Internet pour votre dispositif de passerelle client.

Connexions VPN IPv6

Site-to-Site Les connexions VPN prennent en charge les configurations IPv6 suivantes :

  • Tunnel extérieur IPv4 avec paquets internes IPv4 : fonctionnalité VPN IPv4 de base prise en charge sur Virtual Private Gateway (VGW), Transit Gateway (TGW) et Cloud WAN.

  • Tunnel extérieur IPv4 avec paquets internes IPv6 : autorise l'IPv6 applications/transport dans le tunnel VPN. Pris en charge sur TGW et Cloud WAN (non pris en charge sur VGW).

  • Tunnel extérieur IPv6 avec paquets internes IPv6 - Permet une migration IPv6 complète avec des adresses IPv6 pour les adresses IP du tunnel extérieur et les adresses IP des paquets internes. Pris en charge sur TGW et Cloud WAN.

  • Tunnel extérieur IPv6 avec paquets internes IPv4 : autorise l'adressage du tunnel extérieur IPv6 tout en prenant en charge les applications IPv4 existantes au sein du tunnel. Pris en charge sur TGW et Cloud WAN.

Pour créer une connexion VPN avec les adresses IP des tunnels extérieurs IPv6, vous devez le spécifier OutsideIPAddressType=Ipv6 lors de la création de la connexion VPN. AWS configure automatiquement les adresses IPv6 des tunnels extérieurs pour le côté AWS des tunnels VPN.

Exemple de commande CLI pour créer une connexion VPN avec des adresses IP de tunnel extérieur IPv6 et des adresses IP de tunnel interne IPv6 :

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

Vous pouvez consulter les adresses IPv6 attribuées à votre connexion VPN à l'aide de la commande describe-vpn-connection CLI.