Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Come AWS Site-to-Site VPN funziona
<a name="how_it_works"></a>

Una connessione Site-to-Site VPN è composta dai seguenti componenti:
+ Un [gateway privato virtuale](#VPNGateway) esistente o un [gateway di transito](#Transit-Gateway)
+ Un [dispositivo gateway del cliente](#CustomerGatewayDevice)
+ Un [gateway del cliente](#CustomerGateway)

La connessione VPN offre due tunnel VPN tra un gateway privato virtuale o un gateway di transito sul AWS lato e un gateway per i clienti sul lato locale.

Per ulteriori informazioni sulle quote Site-to-Site VPN, consulta. [AWS Site-to-Site VPN quote](vpn-limits.md)

## Gateway privato virtuale
<a name="VPNGateway"></a>

Un *gateway privato virtuale* è il Site-to-Site VPN Concentrator sul lato Amazon della connessione Site-to-Site VPN. Crei un gateway privato virtuale e lo colleghi a un cloud privato virtuale (VPC) con risorse che devono accedere alla Site-to-Site connessione VPN.

Il diagramma seguente mostra una connessione VPN tra un VPC e la rete on-premise utilizzando un gateway privato virtuale.

![\[Il VPC con un gateway privato virtuale collegato e una connessione VPN alla rete on-premise.\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)


Quando crei un gateway virtuale privato, puoi specificare un Autonomous System Number (ASN) privato per il lato Amazon del gateway. Se non specifichi un ASN, il gateway virtuale privato viene creato con l'ASN predefinito (64512). Dopo aver creato il gateway virtuale privato, non puoi modificare l'ASN. Per controllare l'ASN del tuo gateway privato virtuale, visualizzane i dettagli nella pagina **Gateway privati virtuali** nella console Amazon VPC oppure usa il comando. [describe-vpn-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-gateways.html) AWS CLI 

**Nota**  
I gateway privati virtuali non supportano IPv6 le connessioni VPN. Site-to-Site Se hai bisogno di IPv6 assistenza, usa un gateway di transito o una Cloud WAN per la tua connessione VPN.

## Transit Gateway
<a name="Transit-Gateway"></a>

Un gateway di transito è un hub di transito che puoi utilizzare per interconnettere le tue VPCs reti e quelle locali. Per ulteriori informazioni, consulta [Gateway di transito di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/tgw/). È possibile creare una connessione Site-to-Site VPN come allegato su un gateway di transito.

Il diagramma seguente mostra una connessione VPN tra più reti VPCs e la rete locale utilizzando un gateway di transito. Il gateway di transito dispone di tre collegamenti VPC e un collegamento VPN.

![\[Un gateway di transito con tre collegamenti VPC e un collegamento VPN.\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)


La tua connessione Site-to-Site VPN su un gateway di transito può supportare IPv4 il IPv6 traffico all'interno dei tunnel VPN (indirizzi IP interni). Inoltre, i gateway di transito supportano IPv6 gli indirizzi IP del tunnel esterno. Per ulteriori informazioni, consulta [IPv4 e IPv6 traffico in entrata AWS Site-to-Site VPN](ipv4-ipv6.md).

È possibile modificare il gateway di destinazione di una connessione Site-to-Site VPN da un gateway privato virtuale a un gateway di transito. Per ulteriori informazioni, consulta [Modifica il gateway di destinazione di una AWS Site-to-Site VPN connessione](modify-vpn-target.md).

## Dispositivo gateway del cliente
<a name="CustomerGatewayDevice"></a>

Un *dispositivo gateway per il cliente* è un dispositivo fisico o un'applicazione software sul lato della connessione Site-to-Site VPN. Il dispositivo viene configurato in modo che funzioni con la connessione Site-to-Site VPN. Per ulteriori informazioni, consulta [AWS Site-to-Site VPN dispositivi gateway per i clienti](your-cgw.md).

Per impostazione predefinita, il dispositivo gateway del cliente deve attivare i tunnel per la connessione Site-to-Site VPN generando traffico e avviando il processo di negoziazione Internet Key Exchange (IKE). È possibile configurare la connessione Site-to-Site VPN per specificare che AWS deve invece avviare il processo di negoziazione IKE. Per ulteriori informazioni, consulta [AWS Site-to-Site VPN opzioni di avvio del tunnel](initiate-vpn-tunnels.md).

Se utilizzi IPv6 gli indirizzi IP del tunnel esterno, il dispositivo gateway del cliente deve supportare l' IPv6 indirizzamento ed essere in grado di stabilire IPsec tunnel con endpoint. IPv6 

## Gateway del cliente
<a name="CustomerGateway"></a>

Un *gateway del cliente* è una risorsa creata in AWS che rappresenta il dispositivo gateway del cliente nella rete locale. Quando crei un gateway per i clienti, fornisci informazioni sul tuo dispositivo a. AWS Per ulteriori informazioni, consulta [Opzioni gateway per i clienti per la tua AWS Site-to-Site VPN connessione](cgw-options.md).

![\[Un gateway del cliente e un dispositivo gateway del cliente.\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/vpn-how-it-works-cgw.png)


Per utilizzare Amazon VPC con una connessione Site-to-Site VPN, tu o il tuo amministratore di rete dovete anche configurare il dispositivo o l'applicazione gateway del cliente nella rete remota. Quando crei la connessione Site-to-Site VPN, ti forniamo le informazioni di configurazione richieste e il tuo amministratore di rete in genere esegue questa configurazione. Per informazioni sui requisiti e sulla configurazione del gateway del cliente, consulta [AWS Site-to-Site VPN dispositivi gateway per i clienti](your-cgw.md).

### IPv6 gateway per i clienti
<a name="ipv6-customer-gateway"></a>

Quando si crea un gateway per i clienti da utilizzare con IPv6 outer tunnel IPs, si specifica un IPv6 indirizzo anziché un IPv4 indirizzo. Puoi creare un gateway per i IPv6 clienti utilizzando la console di AWS gestione o la AWS CLI.

Per creare un gateway per i IPv6 clienti utilizzando la AWS CLI, utilizzate il seguente comando:

```
aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```

L' IPv6 indirizzo deve essere un indirizzo valido e instradabile su Internet per il dispositivo gateway del IPv6 cliente.

## IPv6 Connessioni VPN
<a name="ipv6-vpn-connections"></a>

Site-to-Site Le connessioni VPN supportano le seguenti IPv6 configurazioni:
+ *IPv4 tunnel esterno con pacchetti IPv4 interni* - La funzionalità IPv4 VPN di base supportata su Virtual Private Gateway (VGW), Transit Gateway (TGW) e Cloud WAN.
+ *IPv4 tunnel esterno con pacchetti IPv6 interni*: consente le IPv6 applicazioni/il trasporto all'interno del tunnel VPN. Supportato su TGW e Cloud WAN (non supportato su VGW).
+ *IPv6 tunnel esterno con pacchetti IPv6 interni*: consente la IPv6 migrazione completa con IPv6 indirizzi sia per il tunnel IPs esterno che per il pacchetto interno. IPs Supportato su TGW e Cloud WAN.
+ *IPv6 tunnel esterno con pacchetti IPv4 interni*: consente l'indirizzamento del tunnel IPv6 esterno supportando al contempo IPv4 le applicazioni legacy all'interno del tunnel. Supportato su TGW e Cloud WAN.

Per creare una connessione VPN con tunnel IPv6 esterno IPs, è necessario specificare al `OutsideIPAddressType=Ipv6` momento della creazione della connessione VPN. AWS configura automaticamente IPv6 gli indirizzi dei tunnel esterni per il lato AWS dei tunnel VPN.

Esempio di comando CLI per creare una connessione VPN con tunnel IPv6 esterno IPs e tunnel IPv6 interno: IPs

```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```

È possibile visualizzare gli IPv6 indirizzi assegnati alla connessione VPN utilizzando il comando `describe-vpn-connection` CLI.

# Opzioni di tunnel per la tua connessione AWS Site-to-Site VPN
<a name="VPNTunnels"></a>

Utilizzi una connessione Site-to-Site VPN per connettere la tua rete remota a un VPC. Ogni connessione Site-to-Site VPN ha due tunnel, ognuno dei quali utilizza un indirizzo IP pubblico univoco. È importante configurare Entrambi i tunnel per la ridondanza. Quando un tunnel diventa non disponibile (ad esempio, inattivo per manutenzione), il traffico di rete viene automaticamente indirizzato al tunnel disponibile per quella specifica Site-to-Site connessione VPN.

Nel seguente diagramma vengono mostrati i due tunnel di una connessione VPN. Ogni tunnel termina in una zona di disponibilità diversa per fornire una maggiore disponibilità. Il traffico proveniente dalla rete locale AWS utilizza entrambi i tunnel. Il traffico proveniente dalla AWS rete locale preferisce uno dei tunnel, ma può eseguire automaticamente il failover sull'altro tunnel in caso di guasto laterale. AWS 

![\[I due tunnel di una connessione VPN tra un gateway privato virtuale e un gateway del cliente.\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/Multiple_VPN_Tunnels_diagram.png)


Quando si crea una connessione Site-to-Site VPN, si scarica un file di configurazione specifico per il dispositivo gateway del cliente che contiene informazioni per la configurazione del dispositivo, incluse le informazioni per la configurazione di ciascun tunnel. Facoltativamente, puoi specificare tu stesso alcune delle opzioni del tunnel quando crei la Site-to-Site connessione VPN. In caso contrario, AWS fornisce valori predefiniti.

## Opzioni di larghezza di banda del tunnel
<a name="tunnel-bandwidth-options"></a>

Puoi configurare la capacità di larghezza di banda per i tuoi tunnel VPN:
+ **Larghezza di banda standard**: fino a 1,25 Gbps per tunnel (impostazione predefinita)
+ **Large Bandwidth Tunnel (LBT)**: fino a 5 Gbps per tunnel

I tunnel a larghezza di banda larga sono disponibili solo per le connessioni VPN collegate a Transit Gateway o Cloud WAN. Per ulteriori informazioni, consulta [Tunnel a grande larghezza di banda](#large-bandwidth-tunnels).

**Nota**  
Site-to-Site Gli endpoint del tunnel VPN valutano le proposte provenienti dal gateway del cliente a partire dal valore configurato più basso tra quelli elencati di seguito, indipendentemente dall'ordine di proposta inviato dal gateway del cliente. È possibile utilizzare il `modify-vpn-connection-options` comando per limitare l'elenco di opzioni accettate AWS dagli endpoint. Per ulteriori informazioni, consulta [modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html)*Amazon EC2 Command Line* Reference.

## Tunnel con ampia larghezza di banda
<a name="large-bandwidth-tunnels"></a>

I tunnel di larghezza di banda di grandi dimensioni consentono di configurare tunnel Site-to-Site VPN che supportano una larghezza di banda fino a 5 Gbps per tunnel, rispetto agli 1,25 Gbps standard. Sono disponibili tunnel ad ampia larghezza di banda per le connessioni VPN collegate a Transit Gateway o Cloud WAN. Ciò elimina o riduce la necessità di implementare protocolli complessi come ECMP (Equal Cost Multi Path) per ottenere una maggiore larghezza di banda e garantisce una larghezza di banda costante del tunnel di 5 Gbps per tunnel. Large Bandwidth Tunnels è progettato per essere utilizzato nei seguenti casi d'uso:
+ **Connettività al data center**: supporta applicazioni ibride ad alta intensità di banda, migrazioni di big data o architetture di disaster recovery che richiedono connettività ad alta capacità tra carichi di lavoro AWS e data center locali.
+ **Backup Direct Connect**: fornisce connettività di backup o overlay per circuiti Direct Connect ad alta capacità (oltre 10 Gbps) a data center o strutture di colocation locali.

### Disponibilità nelle regioni
<a name="lbt-availability"></a>

I tunnel ad ampia larghezza di banda sono disponibili in tutte le regioni ad eccezione delle seguenti:


**Non disponibile Regioni AWS**  

| AWS Regione  | Description | 
| --- | --- | 
| ap-southeast-4 | Asia Pacifico (Melbourne) | 
| ca-west-1 | Canada occidentale (Calgary) | 
| eu-central-2 | Europa (Zurigo) | 
| il-central-1 | Israele (Tel Aviv) | 
| me-central-1 | Medio Oriente (Emirati Arabi Uniti) | 

### Requisiti e limitazioni
<a name="lbt-requirements"></a>
+ Disponibile solo per le connessioni VPN collegate a un gateway di transito o a Cloud WAN. Non supportato per gli allegati Virtual Private Gateway.
+ Entrambi i tunnel di una connessione VPN devono utilizzare la stessa configurazione di larghezza di banda (entrambi 1,25 Gbps o entrambi 5 Gbps).
+ La VPN accelerata non è supportata.
+ Tutte le altre funzionalità VPN principali, come la VPN IP privata, il routing e la manutenzione del tunnel, funzionano allo stesso modo con Large Bandwidth Tunnel.
+ Il limite MTU rimane di 1500 byte. [ Scopri di più](https://docs.aws.amazon.com/vpn/latest/s2svpn/cgw-best-practice.html) su come regolare le dimensioni di MTU e MSS in base agli algoritmi in uso.
+ Non è possibile modificare un tunnel esistente per utilizzare tunnel a larghezza di banda larga. **Dovrai prima eliminare il tunnel, quindi creare un nuovo tunnel e impostare la larghezza di banda del tunnel su Grande.** 
+ I Customer Gateway (CGWs) solo con un IP fisso possono essere utilizzati con tunnel a larghezza di banda larga. 
+ I Customer Gateway (CGWs) senza un indirizzo IP non possono essere utilizzati con tunnel a larghezza di banda larga. 
+ I tunnel a larghezza di banda larga non supportano le modifiche alla porta NAT-T durante la creazione del tunnel. 
+ I pacchetti che richiedono la frammentazione potrebbero avere prestazioni inferiori. [ Scopri di più](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html#vpn-quotas-mtu). 

### Prezzi per tunnel con ampia larghezza di banda
<a name="lbt-pricing"></a>

Le informazioni sui prezzi delle connessioni VPN ad ampia larghezza di banda sono disponibili nella pagina dei prezzi delle [AWS VPN](https://aws.amazon.com/vpn/pricing/#AWS_Site-to-Site_VPN_and_Accelerated_Site-to-Site_VPN_Connection_Pricing). 

### Scalabilità oltre i 5 Gbps
<a name="lbt-scaling"></a>

Per requisiti di larghezza di banda superiori a 5 Gbps per tunnel, puoi utilizzare ECMP su più connessioni VPN. Ad esempio, è possibile ottenere una larghezza di banda di 20 Gbps implementando due connessioni VPN con tunnel a larghezza di banda larga e utilizzando ECMP in tutti e quattro i tunnel.

# Configura le opzioni del tunnel per AWS Site-to-Site VPN
<a name="tunnel-configure"></a>

Questa sezione fornisce una guida completa sulla configurazione delle opzioni di tunnel per le AWS Site-to-Site VPN connessioni, coprendo parametri essenziali come il dead peer detection, le versioni IKE e le impostazioni di crittografia. È possibile personalizzare queste opzioni di tunnel per ottimizzare la sicurezza, le prestazioni e la compatibilità della connessione VPN con l'infrastruttura di rete locale. 

Di seguito sono riportate le opzioni tunnel che è possibile configurare.

**Nota**  
Alcune opzioni di tunnel hanno più valori predefiniti. Ad esempio, **le versioni IKE** hanno due valori di opzione di tunnel predefiniti: `ikev1` e`ikev2`. Tutti i valori predefiniti verranno associati a quell'opzione di tunnel se non scegliete valori specifici. Fate clic per rimuovere qualsiasi valore predefinito che non desiderate associare all'opzione tunnel. Ad esempio, se desideri utilizzarlo solo `ikev1` per la versione IKE, fai clic `ikev2` per rimuoverla.

**Timeout Dead Peer Detection (DPD)**  
La durata in secondi dopo la quale si verifica il timeout DPD. Un timeout DPD di 30 secondi significa che l'endpoint VPN considererà il peer morto 30 secondi dopo il primo keep-alive fallito. Puoi specificare una valore maggiore o uguale a 30.  
Impostazione predefinita: 40

**Operazione di timeout DPD**  
L'azione da eseguire dopo il timeout di rilevamento del peer morto (DPD). È possibile specificare le forme seguenti:  
+ `Clear`: terminare la sessione IKE quando si verifica il timeout DPD (arrestare il tunnel e cancellare i percorsi)
+ `None`: non eseguire alcuna azione quando si verifica un timeout DPD
+ `Restart`: riavviare la sessione IKE quando si verifica il timeout DPD
Per ulteriori informazioni, consulta [AWS Site-to-Site VPN opzioni di avvio del tunnel](initiate-vpn-tunnels.md).  
Default: `Clear`

**Opzioni di registrazione VPN**  
Con i log Site-to-Site VPN, puoi accedere ai dettagli sulla creazione del tunnel IP Security (IPsec), sulle negoziazioni IKE (Internet Key Exchange) e sui messaggi del protocollo Dead Peer Detection (DPD).  
Per ulteriori informazioni, consulta [AWS Site-to-Site VPN registri](monitoring-logs.md).  
Formati di registro disponibili: `json`, `text`

**Versioni IKE**  
Le versioni IKE consentite per il tunnel VPN. Puoi specificare uno o più dei valori predefiniti.  
Impostazioni predefinite:, `ikev1` `ikev2`

**Tunnel interno del tunnel CIDR IPv4 **  
L'intervallo di IPv4 indirizzi interni (interni) per il tunnel VPN. Puoi specificare un blocco CIDR di dimensione /30 dall'intervallo `169.254.0.0/16`. Il blocco CIDR deve essere unico per tutte le connessioni Site-to-Site VPN che utilizzano lo stesso gateway privato virtuale.  
Il blocco CIDR non deve essere univoco per tutte le connessioni su un gateway di transito. Tuttavia, se non sono univoci, può verificarsi un conflitto sul gateway del cliente. Procedi con cautela quando riutilizzi lo stesso blocco CIDR su più connessioni Site-to-Site VPN su un gateway di transito.
I seguenti blocchi CIDR sono riservati e non possono essere utilizzati:   
+ `169.254.0.0/30`
+ `169.254.1.0/30`
+ `169.254.2.0/30`
+ `169.254.3.0/30`
+ `169.254.4.0/30`
+ `169.254.5.0/30`
+ `169.254.169.252/30`
Predefinito: un blocco IPv4 CIDR di dimensione /30 compreso nell'intervallo. `169.254.0.0/16`

**Archiviazione di chiavi precondivise**  
Il tipo di archiviazione per la chiave precondivisa:  
+ **Standard**: la chiave precondivisa viene archiviata direttamente nel Site-to-Site servizio VPN.
+ **Secrets Manager**: la chiave precondivisa viene archiviata utilizzando Gestione dei segreti AWS. Per ulteriori informazioni su Secrets Manager, vedere[Funzionalità di sicurezza avanzate con Secrets Manager](enhanced-security.md).

**Larghezza di banda del tunnel**  
La larghezza di banda supportata per il tunnel.  
+ **Standard**: la larghezza di banda del tunnel è impostata su un massimo di 1,25 Gbps per tunnel (impostazione predefinita).
+ **Grande**: la larghezza di banda del tunnel è fino a un massimo di 5 Gbps per tunnel.
**Nota**  
**Large** è disponibile solo per le connessioni VPN collegate a un gateway di transito o a Cloud WAN. Non è supportato per le connessioni Virtual Private Gateway.

**All'interno del tunnel IPv6 CIDR**  
(Solo connessioni IPv6 VPN) L'intervallo di IPv6 indirizzi interni (interni) per il tunnel VPN. Puoi specificare un blocco CIDR di dimensione /126 dall'intervallo `fd00::/8` locale. Il blocco CIDR deve essere unico per tutte le connessioni Site-to-Site VPN che utilizzano lo stesso gateway di transito. Se non specifichi una IPv6 sottorete, Amazon seleziona automaticamente una sottorete /128 da questo intervallo. Indipendentemente dal fatto che tu specifichi la sottorete o che Amazon la selezioni, Amazon utilizza il primo IPv6 indirizzo utilizzabile nella sottorete per il lato della connessione e la tua parte utilizza il secondo indirizzo utilizzabile. IPv6   
Predefinito: un blocco IPv6 CIDR di dimensione /126 dall'intervallo locale. `fd00::/8`

**Tipo di indirizzo IP del tunnel esterno**  
Il tipo di indirizzo IP per gli indirizzi IP del tunnel esterno (esterno). È possibile specificare una delle seguenti opzioni:  
+ `PrivateIpv4`: utilizza l' IPv4 indirizzo privato per distribuire connessioni Site-to-Site VPN tramite Direct Connect.
+ `PublicIpv4`: (Impostazione predefinita) Utilizza IPv4 gli indirizzi per il tunnel IPs esterno.
+ `Ipv6`: utilizza IPv6 gli indirizzi per il tunnel esterno IPs. Questa opzione è disponibile solo per le connessioni VPN su un gateway di transito o una rete WAN cloud.
Quando selezioni`Ipv6`, AWS configura automaticamente IPv6 gli indirizzi dei tunnel esterni per il lato AWS dei tunnel VPN. Il tuo dispositivo gateway per i clienti deve supportare l' IPv6 indirizzamento ed essere in grado di stabilire IPsec tunnel con endpoint. IPv6   
Impostazione predefinita: `PublicIpv4`

**Rete locale IPv4 (CIDR).**  
(Solo connessione IPv4 VPN) L'intervallo CIDR utilizzato durante la negoziazione IKE di fase 2 per il lato cliente (locale) del tunnel VPN. Questo intervallo viene utilizzato per proporre percorsi ma non impone restrizioni al traffico poiché utilizza esclusivamente percorsi basati sul percorso. AWS VPNs I sistemi basati su policy non VPNs sono supportati in quanto AWS limiterebbero la capacità di supportare protocolli di routing dinamici e architetture multiregionali. Ciò dovrebbe includere gli intervalli di IP della rete locale che devono comunicare tramite il tunnel VPN. È necessario utilizzare configurazioni appropriate delle tabelle di NACLs routing e gruppi di sicurezza per controllare il flusso di traffico effettivo.  
Impostazione predefinita: 0.0.0.0/0

** IPv4 Rete remota (CIDR)**  
(Solo connessione IPv4 VPN) L'intervallo CIDR utilizzato durante la negoziazione IKE di fase 2 per il AWS lato del tunnel VPN. Questo intervallo viene utilizzato per proporre percorsi ma non impone restrizioni sul traffico poiché AWS utilizza esclusivamente percorsi basati sulle rotte VPNs. AWS non supporta sistemi basati su policy VPNs perché non dispongono della flessibilità necessaria per scenari di routing complessi e sono incompatibili con funzionalità come i gateway di transito e la VPN Equal Cost Multi-Path (ECMP). Infatti VPCs, questo è in genere l'intervallo CIDR del tuo VPC. Per i gateway di transito, questo potrebbe includere più intervalli CIDR provenienti da reti collegate VPCs o di altra natura.  
Impostazione predefinita: 0.0.0.0/0

**Rete locale IPv6 (CIDR)**  
(Solo connessione IPv6 VPN) L'intervallo IPv6 CIDR sul lato gateway del cliente (locale) a cui è consentito comunicare tramite i tunnel VPN.  
Impostazione predefinita: 0

**Rete remota (CIDR) IPv6 **  
(Solo connessione IPv6 VPN) L'intervallo IPv6 CIDR sul AWS lato consentito alla comunicazione tramite i tunnel VPN.   
Impostazione predefinita: 0

**Numeri di gruppo fase 1 Diffie-Hellman (DH)**  
I numeri di gruppo DH consentiti per il tunnel VPN per la fase 1 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti.  
Valori predefiniti: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

**Numeri di gruppo fase 2 Diffie-Hellman (DH)**  
I numeri di gruppo DH consentiti per il tunnel VPN per la fase 2 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti.  
Valori predefiniti: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

**Algoritmi di crittografia fase 1**  
Gli algoritmi di crittografia consentiti per il tunnel VPN per la fase 1 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti.  
Valori predefiniti:, -GCM-16 AES128, -GCM-16 AES256 AES128 AES256

**Algoritmi di crittografia fase 2**  
Gli algoritmi di crittografia consentiti per il tunnel VPN per la fase 2 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti.  
Valori predefiniti: AES128 AES256, AES128 -GCM-16, AES256 -GCM-16

**Algoritmi di integrità fase 1**  
Gli algoritmi di integrità consentiti per il tunnel VPN per la fase 1 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti.  
Valori predefiniti:, -256, -384, -512 SHA1 SHA2 SHA2 SHA2

**Algoritmi di integrità fase 2**  
Gli algoritmi di integrità consentiti per il tunnel VPN per la fase 2 delle negoziazioni IKE. Puoi specificare uno o più dei valori predefiniti.  
Valori predefiniti:, -256, -384, -512 SHA1 SHA2 SHA2 SHA2

**Durata della fase 1**  
AWS avvia le richiavi con i valori di temporizzazione impostati nei campi Durata fase 1 e Durata fase 2. Se tali durate sono diverse dai valori di handshake negoziati, ciò potrebbe interrompere la connettività del tunnel.
La durata in secondi per la fase 1 delle negoziazioni IKE. Puoi specificare un numero compreso tra 900 e 28.800.  
Impostazione predefinita: 28.800 (8 ore)

**Durata della fase 2**  
AWS avvia le rechiavi con i valori di temporizzazione impostati nei campi Durata della fase 1 e Durata della fase 2. Se tali durate sono diverse dai valori di handshake negoziati, ciò potrebbe interrompere la connettività del tunnel.
La durata in secondi per la fase 2 delle negoziazioni IKE. Puoi specificare un numero compreso tra 900 e 3.600. Il numero specificato deve essere inferiore al numero di secondi di durata della fase 1.  
Impostazione predefinita: 3.600 (1 ora)

**Chiave precondivisa (PSK)**  
La chiave precondivisa (PSK) per stabilire l'associazione di sicurezza Internet Key Exchange (IKE) tra il gateway di destinazione e il gateway del cliente.   
La PSK deve Essere compresa tra 8 e 64 caratteri di lunghezza e non può iniziare con zero (0). Sono consentiti caratteri alfanumerici, spazi, trattini, punti (.) e trattini bassi (\$1).  
Impostazione predefinita: una stringa alfanumerica di 32 caratteri.

**Fuzz di emissione nuova chiave**  
La percentuale della finestra di rekey (determinata dal tempo di margine di rekey) entro la quale il tempo di rekey viene selezionato in modo casuale.   
È possibile specificare un valore percentuale compreso tra 0 e 100.  
Impostazione predefinita: 100

**Tempo di margine di emissione nuova chiave**  
Il margine di tempo, in secondi, prima della scadenza del periodo di vita della fase 1 e della fase 2, durante il quale il AWS lato della connessione VPN esegue una rechiave IKE.   
Puoi specificare un numero compreso tra 60 e metà del valore di durata della fase 2.  
L'ora esatta di emissione nuova chiave viene selezionata in modo casuale in base al valore di fuzz di emissione nuova chiave.  
Impostazione predefinita: 270 (4,5 minuti)

**Pacchetti dimensioni finestra di riproduzione**  
Il numero di pacchetti in una finestra di riproduzione IKE.   
Puoi specificare un valore compreso tra 64 e 2048.  
Impostazione predefinita: 1024

**Azione di avvio**  
L'azione da intraprendere quando si stabilisce il tunnel per una connessione VPN. È possibile specificare quanto segue:   
+ `Start`: AWS avvia la negoziazione IKE per aprire il tunnel. Supportato solo se il gateway del cliente è configurato con un indirizzo IP.
+ `Add`: il dispositivo gateway del cliente deve avviare la negoziazione IKE per attivare il tunnel.
Per ulteriori informazioni, consulta [AWS Site-to-Site VPN opzioni di avvio del tunnel](initiate-vpn-tunnels.md).  
Default: `Add`

**Controllo del tunnel**  
Il controllo del ciclo di vita degli endpoit del tunnel consente di controllare la pianificazione delle sostituzioni degli endpoint.  
Per ulteriori informazioni, consulta [AWS Site-to-Site VPN controllo del ciclo di vita degli endpoint del tunnel](tunnel-endpoint-lifecycle.md).  
Default: `Off`

È possibile specificare le opzioni del tunnel quando si crea una connessione Site-to-Site VPN oppure modificare le opzioni del tunnel per una connessione VPN esistente. Per ulteriori informazioni, consulta i seguenti argomenti:
+ [Fase 5: creazione di una connessione VPN](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ [Modificare le opzioni AWS Site-to-Site VPN del tunnel](modify-vpn-tunnel-options.md)

# AWS Site-to-Site VPN opzioni di autenticazione del tunnel
<a name="vpn-tunnel-authentication-options"></a>

Puoi utilizzare chiavi o certificati precondivisi per autenticare gli endpoint del tunnel Site-to-Site VPN.

## Chiavi precondivise
<a name="pre-shared-keys"></a>

Una chiave precondivisa (PSK) è l'opzione di autenticazione predefinita per i tunnel VPN. Site-to-Site Quando crei un tunnel, puoi specificare il tuo PSK o consentire di AWS generarne automaticamente uno per te. Il PSK viene archiviato utilizzando uno dei seguenti metodi:
+ Direttamente nel servizio Site-to-Site VPN. Per ulteriori informazioni, consulta [AWS Site-to-Site VPN dispositivi gateway per i clienti](your-cgw.md).
+  Gestione dei segreti AWS Per una maggiore sicurezza. Per ulteriori informazioni sull'utilizzo di Secrets Manager per archiviare una PSK, vedere[Funzionalità di sicurezza avanzate con Secrets Manager](enhanced-security.md).

La stringa PSK viene quindi utilizzata per configurare il dispositivo gateway del cliente.

## Certificato privato di AWS Autorità di certificazione privata
<a name="certificate"></a>

Se non desideri utilizzare chiavi precondivise, puoi utilizzare un certificato privato da AWS Autorità di certificazione privata per autenticare la VPN. 

Il certificato privato deve essere creato da una CA subordinata utilizzando AWS Autorità di certificazione privata (CA privata AWS). Per firmare la CA subordinata ACM, puoi utilizzare una CA root ACM o una CA esterna. Per informazioni sulla creazione di un certificato privato, consulta la sezione relativa alla [Creazione e gestione di una CA privata](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) nella *Guida per l'utente di AWS Autorità di certificazione privata *.

È necessario creare un ruolo collegato al servizio per generare e utilizzare il certificato per il AWS lato dell'endpoint del tunnel Site-to-Site VPN. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per VPN Site-to-Site](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).

**Nota**  
Per facilitare la rotazione delle certificazioni senza interruzioni, qualsiasi certificato con la stessa catena di autorità di certificazione di quella originariamente specificata nella chiamata `CreateCustomerGateway` API è sufficiente per stabilire una connessione VPN.

Se non specifichi l'indirizzo IP del dispositivo gateway del cliente, l'indirizzo IP non viene controllato. Questa operazione consente di spostare il dispositivo gateway del cliente in un indirizzo IP diverso senza dover riconfigurare la connessione VPN. 

Site-to-Site La VPN esegue la verifica della catena di certificati sul certificato gateway del cliente quando si crea una VPN certificata. Oltre alla CA di base e ai controlli di validità, la Site-to-Site VPN verifica se sono presenti le estensioni X.509, tra cui Authority Key Identifier, Subject Key Identifier e Basic Constraints.

# AWS Site-to-Site VPN opzioni di avvio del tunnel
<a name="initiate-vpn-tunnels"></a>

Per impostazione predefinita, il dispositivo gateway del cliente deve attivare i tunnel per la connessione Site-to-Site VPN generando traffico e avviando il processo di negoziazione Internet Key Exchange (IKE). È possibile configurare i tunnel VPN per specificare che AWS deve invece avviare o riavviare il processo di negoziazione IKE.

## Opzioni di avvio IKE del tunnel VPN
<a name="ike-initiation-options"></a>

Sono disponibili le seguenti opzioni di avvio IKE. Puoi implementare una o entrambe le opzioni, per uno o entrambi i tunnel della tua connessione VPN. Site-to-Site Vedi [Opzioni per tunnel VPN](VPNTunnels.md) per maggiori dettagli su queste e altre impostazioni delle opzioni di tunnel.
+ **Azione di avvio**: l'azione da intraprendere quando si stabilisce il tunnel VPN per una connessione VPN nuova o modificata. Per impostazione predefinita, il dispositivo gateway cliente avvia il processo di negoziazione IKE per attivare il tunnel. È possibile specificare che AWS deve invece avviare il processo di negoziazione IKE.
+ **Azione di timeout DPD**: l'azione da eseguire dopo il timeout del rilevamento peer morto (DPD). Per impostazione predefinita, la sessione IKE viene interrotta, il tunnel si abbassa e i route vengono rimossi. È possibile specificare che AWS deve riavviare la sessione IKE quando si verifica il timeout DPD oppure specificare che non AWS deve eseguire alcuna azione quando si verifica il timeout DPD.

## Regole e limitazioni
<a name="ike-initiation-rules"></a>

Si applicano le le seguenti regole e limitazioni:
+ Per avviare la negoziazione IKE, è AWS necessario l'indirizzo IP pubblico del dispositivo gateway del cliente. Se hai configurato l'autenticazione basata su certificati per la tua connessione VPN e non hai specificato un indirizzo IP quando hai creato la risorsa Customer Gateway in AWS, devi creare un nuovo gateway cliente e specificare l'indirizzo IP. Quindi, modificare la connessione VPN e specificare il nuovo gateway cliente. Per ulteriori informazioni, consulta [Modificare il gateway del cliente per una AWS Site-to-Site VPN connessione](change-vpn-cgw.md).
+ L'avvio IKE (azione di avvio) dal AWS lato della connessione VPN è supportato solo per. IKEv2 
+ Se si utilizza l'iniziazione IKE dal AWS lato della connessione VPN, non include un'impostazione di timeout. Cercherà continuamente di stabilire una connessione finché non ne verrà stabilita una. Inoltre, il AWS lato della connessione VPN riavvierà la negoziazione IKE quando riceverà un messaggio SA di eliminazione dal gateway del cliente.
+ Se il dispositivo gateway del cliente è protetto da un firewall o da un altro dispositivo che utilizza Network Address Translation (NAT), deve avere un'identità () configurata. IDr Per ulteriori informazioni su IDr, vedere [RFC 7296](https://datatracker.ietf.org/doc/html/rfc7296).

Se non si configura l'iniziazione IKE AWS lateralmente per il tunnel VPN e la connessione VPN subisce un periodo di inattività (in genere 10 secondi, a seconda della configurazione), il tunnel potrebbe interrompersi. Per evitare ciò, è possibile utilizzare uno strumento di monitoraggio della rete per generare ping keepalive. 

## Utilizzo delle opzioni di avvio del tunnel VPN
<a name="working-with-ike-initiation-options"></a>

Per ulteriori informazioni sull'utilizzo delle opzioni di avvio del tunnel VPN, vedere i seguenti argomenti:
+ Per creare una nuova connessione VPN e specificare le opzioni di avvio del tunnel VPN: [Fase 5: creazione di una connessione VPN](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ Per modificare le opzioni di avvio del tunnel VPN per una connessione VPN esistente: [Modificare le opzioni AWS Site-to-Site VPN del tunnel](modify-vpn-tunnel-options.md) 

# AWS Site-to-Site VPN sostituzioni degli endpoint del tunnel
<a name="endpoint-replacements"></a>

La tua connessione Site-to-Site VPN è composta da due tunnel VPN per la ridondanza. A volte, uno o entrambi gli endpoint del tunnel VPN vengono sostituiti quando si AWS eseguono gli aggiornamenti del tunnel o quando si modifica la connessione VPN. Durante la sostituzione di un endpoint del tunnel, la connettività attraverso il tunnel potrebbe interrompersi durante il provisioning del nuovo endpoint del tunnel.

**Topics**
+ [Sostituzioni degli endpoint avviati dal cliente](#endpoint-replacements-for-vpn-modifications)
+ [Sostituzioni degli endpoint gestiti da AWS](#endpoint-replacements-for-aws-updates)
+ [AWS Site-to-Site VPN controllo del ciclo di vita degli endpoint del tunnel](tunnel-endpoint-lifecycle.md)

## Sostituzioni degli endpoint avviati dal cliente
<a name="endpoint-replacements-for-vpn-modifications"></a>

Quando modifichi i seguenti componenti della connessione VPN, uno o entrambi gli endpoint del tunnel vengono sostituiti.


| Modifica | Azione API | Impatto del tunnel | 
| --- | --- | --- | 
| [Modifica il gateway di destinazione per la connessione VPN](modify-vpn-target.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | Entrambi i tunnel non sono disponibili mentre viene eseguito il provisioning di nuovi endpoint del tunnel. | 
| [Modifica il gateway del cliente per la connessione VPN](change-vpn-cgw.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | Entrambi i tunnel non sono disponibili mentre viene eseguito il provisioning di nuovi endpoint del tunnel. | 
| [Modifica le opzioni di connessione VPN](modify-vpn-connection-options.md) | [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html) | Entrambi i tunnel non sono disponibili mentre viene eseguito il provisioning di nuovi endpoint del tunnel. | 
| [Modifica le opzioni del tunnel VPN](modify-vpn-tunnel-options.md) | [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) | Il tunnel modificato non è disponibile durante l'aggiornamento. | 

## Sostituzioni degli endpoint gestiti da AWS
<a name="endpoint-replacements-for-aws-updates"></a>

AWS Site-to-Site VPN è un servizio gestito e applica periodicamente aggiornamenti agli endpoint del tunnel VPN. Questi aggiornamenti si verificano per una serie di motivi, tra cui i seguenti:
+ Per applicare gli aggiornamenti generali, ad esempio patch, miglioramenti alla resilienza e altri miglioramenti
+ Per ritirare l'hardware sottostante
+ Quando il monitoraggio automatico determina che un endpoint del tunnel VPN non è integro

AWS applica gli aggiornamenti degli endpoint del tunnel a un tunnel della connessione VPN alla volta. Durante l'aggiornamento dell'endpoint del tunnel, la connessione VPN potrebbe determinare una breve perdita di ridondanza. È quindi importante configurare entrambi i tunnel nella connessione VPN per un'elevata disponibilità.

# AWS Site-to-Site VPN controllo del ciclo di vita degli endpoint del tunnel
<a name="tunnel-endpoint-lifecycle"></a>

Il controllo del ciclo di vita degli endpoint di Tunnel fornisce il controllo sulla pianificazione delle sostituzioni degli endpoint e può aiutare a ridurre al minimo le interruzioni della connettività durante le sostituzioni gestite degli endpoint del tunnel. AWS Con questa funzionalità, puoi scegliere di accettare gli aggiornamenti AWS gestiti degli endpoint del tunnel nel momento migliore per la tua azienda. Utilizza questa funzione se hai esigenze aziendali a breve termine o puoi supportare un solo tunnel per connessione VPN.

**Nota**  
In rare circostanze, AWS potrebbe applicare immediatamente aggiornamenti critici agli endpoint del tunnel, anche se la funzionalità di controllo del ciclo di vita degli endpoint del tunnel è abilitata.

**Topics**
+ [Come funziona il controllo del ciclo di vita degli endpoint del tunnel](#how-elc-works)
+ [Abilita il controllo del ciclo di vita degli endpoint del tunnel](enable-elc.md)
+ [Verifica se il controllo del ciclo di vita degli endpoint del tunnel è abilitato](view-elc-status.md)
+ [Verifica gli aggiornamenti disponibili](view-elc-updates.md)
+ [Accettato un aggiornamento di manutenzione](accept-update.md)
+ [Disattiva il controllo del ciclo di vita degli endpoint del tunnel](turn-elc-off.md)

## Come funziona il controllo del ciclo di vita degli endpoint del tunnel
<a name="how-elc-works"></a>

Attiva la funzionalità di controllo del ciclo di vita degli endpoint del tunnel per i singoli tunnel all'interno di una connessione VPN. Può essere abilitato al momento della creazione della VPN o modificando le opzioni del tunnel per una connessione VPN esistente.

Dopo aver abilitato il controllo del ciclo di vita degli endpoint del tunnel, otterrai ulteriore visibilità sui prossimi eventi di manutenzione del tunnel in due modi:
+ Riceverai AWS Health notifiche per le prossime sostituzioni degli endpoint del tunnel.
+ [Lo stato della manutenzione in sospeso, insieme ai timestamp **Maintenance auto apply after** e **Last maintenance applied**, può essere visualizzato in Console di gestione AWS o utilizzando il get-vpn-tunnel-replacement comando -status.](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) AWS CLI 

Quando è disponibile la manutenzione dell'endpoint del tunnel, avrai la possibilità di accettare l'aggiornamento nel momento che ritieni opportuno, prima che la **manutenzione specificata venga auto-applicata dopo** il timestamp.

Se non si applicano gli aggiornamenti prima della data di scadenza della **manutenzione**, AWS verrà eseguita automaticamente la sostituzione degli endpoint del tunnel subito dopo, come parte del normale ciclo di aggiornamento della manutenzione.

# Abilita il controllo del ciclo di AWS Site-to-Site VPN vita degli endpoint del tunnel
<a name="enable-elc"></a>

Il controllo del ciclo di vita degli endpoint può essere abilitato su una connessione VPN esistente o nuova. Questa operazione può essere eseguita utilizzando o. Console di gestione AWS AWS CLI

**Nota**  
Per impostazione predefinita, quando si attiva la funzionalità per una connessione VPN esistente, verrà avviata contemporaneamente la sostituzione dell'endpoint del tunnel. Se si desidera attivare la funzionalità, ma non avviare immediatamente la sostituzione dell'endpoint del tunnel, è possibile utilizzare l'opzione di sostituzione del **tunnel con esclusione del tunnel**.

------
#### [ Existing VPN connection ]

I passaggi seguenti mostrano come abilitare il controllo del ciclo di vita degli endpoint del tunnel su una connessione VPN esistente.

**Per abilitare il controllo del ciclo di vita degli endpoint del tunnel utilizzando il Console di gestione AWS**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. **Nel riquadro di navigazione a sinistra, scegli Connessioni VPN. Site-to-Site **

1. Seleziona la connessione appropriata in **Connessioni VPN**.

1. Selezionare **Operazioni**, **Modifica opzioni tunnel VPN**.

1. Selezionare il tunnel che si desidera modificare scegliendo il **Tunnel VPN esterno all'indirizzo IP**.

1. In **Controllo del ciclo di vita dell’endpoint del tunnel**, seleziona la casella di controllo **Abilita**.

1. (Facoltativo) Seleziona **Salta la sostituzione del tunnel**.

1. Scegli **Save changes** (Salva modifiche).

**Per abilitare il controllo del ciclo di vita degli endpoint del tunnel utilizzando AWS CLI**  
Utilizzate il [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)comando per attivare il controllo del ciclo di vita degli endpoint del tunnel.

------
#### [ New VPN connection ]

I passaggi seguenti mostrano come abilitare il controllo del ciclo di vita degli endpoint del tunnel durante la creazione di una nuova connessione VPN.

**Per abilitare il controllo del ciclo di vita degli endpoint del tunnel durante la creazione di una nuova connessione VPN utilizzando il Console di gestione AWS**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione, scegliere **Site-to-Site VPN Connections (Connessioni VPN)**.

1. Scegliere **Create VPN Connection** (Crea connessione VPN).

1. Nelle sezioni relative alle **opzioni Tunnel 1** e **opzioni Tunnel 2**, in **Controllo del ciclo di vita dell’endpoint del tunnel**, seleziona **Abilita**.

1. Scegliere **Create VPN Connection (Crea connessione VPN)**.

**Per abilitare il controllo del ciclo di vita degli endpoint del tunnel durante la creazione di una nuova connessione VPN utilizzando il AWS CLI**  
Usa il [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)comando per attivare il controllo del ciclo di vita degli endpoint del tunnel.

------

# Verifica se il controllo del ciclo di vita degli endpoint AWS Site-to-Site VPN del tunnel è abilitato
<a name="view-elc-status"></a>

Puoi verificare se il controllo del ciclo di vita degli endpoint del tunnel è abilitato su un tunnel VPN esistente utilizzando o Console di gestione AWS la CLI. 
+ Se il controllo del ciclo di vita degli endpoint del tunnel è disabilitato e desideri abilitarlo, vedi. [Abilita il controllo del ciclo di vita degli endpoint del tunnel](enable-elc.md)
+ Se il controllo del ciclo di vita degli endpoint del tunnel è abilitato e desideri disabilitarlo, consulta. [Disattiva il controllo del ciclo di vita degli endpoint del tunnel](turn-elc-off.md)

**Per verificare se il controllo del ciclo di vita degli endpoint del tunnel è abilitato utilizzando il Console di gestione AWS**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. **Nel riquadro di navigazione a sinistra, scegli Connessioni VPN. Site-to-Site **

1. Seleziona la connessione appropriata in **Connessioni VPN**.

1. Seleziona la scheda **Dettagli del tunnel**.

1. Nei dettagli del tunnel, cerca **Controllo del ciclo di vita dell’endpoint del tunnel**, che segnalerà se la funzionalità è **abilitata** o **disattivata**. 

**Per verificare se il controllo del ciclo di vita degli endpoint del tunnel è abilitato utilizzando il AWS CLI**  
Utilizzare il [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)comando per verificare se il controllo del ciclo di vita degli endpoint del tunnel è abilitato.

# Verifica gli aggiornamenti disponibili per il tunnel AWS Site-to-Site VPN
<a name="view-elc-updates"></a>

Dopo aver abilitato la funzionalità di controllo del ciclo di vita, puoi determinare se è disponibile un aggiornamento di manutenzione per la connessione VPN tramite Console di gestione AWS o la CLI. La verifica della disponibilità di un aggiornamento del tunnel Site-to-Site VPN non comporta automaticamente il download e la distribuzione dell'aggiornamento. Puoi scegliere quando distribuirlo. Per i passaggi per scaricare e distribuire un aggiornamento, consulta. [Accettato un aggiornamento di manutenzione](accept-update.md) 

**Per verificare gli aggiornamenti disponibili, utilizzare il Console di gestione AWS**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli Connessioni **Site-to-Site VPN**.

1. Seleziona la connessione appropriata in **Connessioni VPN**.

1. Seleziona la scheda **Dettagli del tunnel**.

1. Controlla la colonna **Manutenzione in sospeso**. Lo stato sarà **Disponibile** o **Nessuno**.

**Per verificare gli aggiornamenti disponibili, utilizza il AWS CLI**  
Utilizzare il comando [get-vpn-tunnel-replacement-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) per verificare gli aggiornamenti disponibili.

# Accetta un aggiornamento di manutenzione AWS Site-to-Site VPN del tunnel
<a name="accept-update"></a>

Quando è disponibile un aggiornamento di manutenzione, puoi accettarlo utilizzando la Console di gestione AWS o la CLI. Puoi scegliere di accettare l'aggiornamento di manutenzione del tunnel Site-to-Site VPN nel momento che preferisci. Una volta accettato l'aggiornamento di manutenzione, questo verrà distribuito. 

**Nota**  
Se non accetti l'aggiornamento di manutenzione, lo AWS distribuirà automaticamente durante un normale ciclo di aggiornamento di manutenzione. 

**Per accettare un aggiornamento di manutenzione disponibile utilizzando il Console di gestione AWS**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli Connessioni **Site-to-Site VPN**.

1. Seleziona la connessione appropriata in **Connessioni VPN**.

1. Scegli **Azioni**, quindi **Sostituisci tunnel VPN**.

1. Selezionare il tunnel che si desidera modificare scegliendo il **Tunnel VPN esterno all'indirizzo IP**.

1. Scegliere **Replace (Sostituisci)**.

**Per accettare un aggiornamento di manutenzione disponibile utilizzando il AWS CLI**  
Utilizzare il [replace-vpn-tunnel](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-vpn-tunnel.html)comando per accettare un aggiornamento di manutenzione disponibile.

# Disattiva il controllo del ciclo di vita degli endpoint del AWS Site-to-Site VPN tunnel
<a name="turn-elc-off"></a>

Se non desideri più utilizzare la funzionalità di controllo del ciclo di vita degli endpoint del tunnel, puoi disattivarla utilizzando o il. Console di gestione AWS AWS CLI Quando disattivi questa funzionalità, AWS distribuirà automaticamente aggiornamenti di manutenzione periodicamente e questi aggiornamenti potrebbero avvenire durante l'orario lavorativo. Per evitare qualsiasi impatto sull'azienda, ti consigliamo vivamente di configurare entrambi i tunnel nella connessione VPN per un'elevata disponibilità.

**Nota**  
Sebbene sia disponibile una manutenzione in sospeso, non è possibile specificare l'opzione **salta sostituzione del tunnel** mentre si disattiva la funzione. Puoi sempre disattivare la funzionalità senza utilizzare l'opzione di **sostituzione degli endpoint del tunnel**, ma AWS distribuirai automaticamente gli aggiornamenti di manutenzione disponibili in sospeso avviando immediatamente la sostituzione degli endpoint del tunnel.

**Per disattivare il controllo del ciclo di vita degli endpoint del tunnel utilizzando il Console di gestione AWS**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. **Nel riquadro di navigazione a sinistra, scegli Connessioni VPN. Site-to-Site **

1. Seleziona la connessione appropriata in **Connessioni VPN**.

1. Selezionare **Operazioni**, **Modifica opzioni tunnel VPN**.

1. Selezionare il tunnel che si desidera modificare scegliendo l'indirizzo IP appropriato dall'elenco **Tunnel VPN esterno all'indirizzo IP**.

1. Per disattivare il controllo del ciclo di vita degli endpoint del tunnel in **controllo del ciclo di vita degli endpoint del tunnel**, deseleziona la casella di controllo **Abilita**.

1. (Facoltativo) Seleziona **Salta la sostituzione del tunnel**.

1. Scegli **Save changes** (Salva modifiche).

**Per disattivare il controllo del ciclo di vita degli endpoint del tunnel utilizzando il AWS CLI**  
Utilizzate il [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)comando per disattivare il controllo del ciclo di vita degli endpoint del tunnel.

# Opzioni gateway per i clienti per la tua AWS Site-to-Site VPN connessione
<a name="cgw-options"></a>

Nella tabella seguente vengono descritte le informazioni necessarie per creare una risorsa gateway del cliente in AWS.


| Elemento | Descrizione | 
| --- | --- | 
|  (Facoltativo) Tag del nome.  | Crea un tag con una chiave "Name" e un valore specificato dall'utente. | 
|  (Solo routing dinamico) Il Border Gateway Protocol (BGP) Autonomous System Number (ASN) del gateway del cliente.  |  È supportato un numero ASN compreso tra 1 e 4.294.967.295. Puoi utilizzare un ASN pubblico esistente assegnato alla tua rete, ad eccezione dei seguenti: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/cgw-options.html) Se non disponi di un ASN pubblico, puoi utilizzare un ASN privato compreso tra 64.512-65.534 o 4.200.000.000-4.294.967.294. L'ASN predefinito è 64512. Per ulteriori informazioni sul routing, vedere. [AWS Site-to-Site VPN opzioni di routing](VPNRoutingTypes.md)  | 
|  L'indirizzo IP dell'interfaccia esterna del dispositivo gateway del cliente.  |  L'indirizzo IP deve essere statico e può essere uno dei due IPv4 IPv6. Per IPv4 gli indirizzi: se il dispositivo gateway del cliente è protetto da un dispositivo NAT (Network Address Translation), utilizza l'indirizzo IP del dispositivo NAT. Inoltre, assicuratevi che i pacchetti UDP sulla porta 500 (e sulla porta 4500, se si utilizza l'attraversamento NAT) possano passare tra la rete e gli endpoint. AWS Site-to-Site VPN Per ulteriori informazioni, consulta [Regole del firewall](FirewallRules.md). Per IPv6 gli indirizzi: l'indirizzo deve essere un indirizzo valido e instradabile su Internet. IPv6 IPv6 gli indirizzi sono supportati solo per le connessioni VPN su un gateway di transito o Cloud WAN. L'indirizzo IP non è necessario quando si utilizza un certificato privato AWS Autorità di certificazione privata e una VPN pubblica.  | 
| (Facoltativo) Certificato privato rilasciato da una CA subordinata che utilizza AWS Certificate Manager (ACM). | Se si desidera utilizzare l'autenticazione basata su certificati, fornire l'ARN di un certificato privato ACM che verrà utilizzato sul dispositivo gateway del cliente. Quando si crea un gateway per il cliente, è possibile configurare il gateway del cliente in modo che utilizzi certificati AWS Autorità di certificazione privata privati per autenticare la VPN. Site-to-Site Quando scegli di utilizzare questa opzione, crei un'autorità di certificazione (CA) privata interamente AWS ospitata per uso interno dell'organizzazione. Sia il certificato CA principale che i certificati CA subordinati vengono archiviati e gestiti da. CA privata AWS Prima di creare il customer gateway, si crea un certificato privato da una CA subordinata utilizzando AWS Autorità di certificazione privata e quindi si specifica il certificato quando si configura il gateway del cliente. Per informazioni sulla creazione di un certificato privato, consulta la sezione relativa alla [creazione e gestione di una CA privata](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) nella *Guida per l'utente di AWS Autorità di certificazione privata *. | 
|  (Facoltativo) Dispositivo.  | Un nome per il dispositivo gateway del cliente associato a tale gateway del cliente. | 

## IPv6 opzioni di customer gateway
<a name="ipv6-customer-gateway-options"></a>

Quando crei un gateway per i clienti con un IPv6 indirizzo, considera quanto segue:
+ IPv6 i gateway per i clienti sono supportati solo per le connessioni VPN su un gateway di transito o Cloud WAN.
+ L' IPv6 indirizzo deve essere un indirizzo valido e instradabile su Internet IPv6 .
+ Il dispositivo gateway utilizzato dal cliente deve supportare l' IPv6 indirizzamento ed essere in grado di stabilire IPsec tunnel con gli endpoint. IPv6 
+ Per creare un gateway per i IPv6 clienti utilizzando la CLI di AWS, utilizza un IPv6 indirizzo per il `--ip-address` parametro:

  ```
  aws ec2 create-customer-gateway --ip-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
  ```

# Connessioni accelerate AWS Site-to-Site VPN
<a name="accelerated-vpn"></a>

Facoltativamente, puoi abilitare l'accelerazione per la tua Site-to-Site connessione VPN. Una connessione Site-to-Site VPN accelerata (connessione VPN accelerata) viene utilizzata AWS Global Accelerator per instradare il traffico dalla rete locale verso una posizione AWS periferica più vicina al dispositivo gateway del cliente.AWS Global Accelerator ottimizza il percorso di rete, utilizzando la rete AWS globale priva di congestione per instradare il traffico verso l'endpoint che offre le migliori prestazioni dell'applicazione (per ulteriori informazioni, consulta). [AWS Global Accelerator](https://aws.amazon.com/global-accelerator/) Puoi utilizzare una connessione VPN accelerata per evitare interruzioni di rete che si possono verificare quando il traffico viene instradato sulla rete Internet pubblica.

Quando crei una connessione VPN accelerata, vengono automaticamente creati e gestiti due acceleratori, uno per ogni tunnel VPN. Non è possibile visualizzare o gestire autonomamente questi acceleratori utilizzando la console o.AWS Global Accelerator APIs

Per informazioni sulle AWS regioni che supportano le connessioni VPN accelerate, consulta [AWS Site-to-SiteAccelerated](https://aws.amazon.com/vpn/faqs/) VPN. FAQs

## Abilitazione dell'accelerazione
<a name="accelerated-vpn-enabling"></a>

Per impostazione predefinita, quando si crea una connessione Site-to-Site VPN, l'accelerazione è disabilitata. Facoltativamente, puoi abilitare l'accelerazione quando crei un nuovo allegato Site-to-Site VPN su un gateway di transito. Per ulteriori informazioni e fasi, consulta [Creare una AWS Site-to-Site VPN connessione](create-vpn-connection.md).

Le connessioni VPN accelerate utilizzano un pool separato di indirizzi IP per gli indirizzi IP dell'endpoint del tunnel. Gli indirizzi IP per i due tunnel VPN sono selezionati da due [zone di rete](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-components.html)separate.

## Regole e restrizioni
<a name="accelerated-vpn-rules"></a>

Per utilizzare una connessione VPN accelerata, si applicano le seguenti regole:
+ L'accelerazione è supportata solo per le connessioni Site-to-Site VPN collegate a un gateway di transito. I gateway virtuali privati non supportano le connessioni VPN accelerate.
+ Una connessione Site-to-Site VPN accelerata non può essere utilizzata con un'interfaccia virtuale AWS Direct Connect pubblica.
+ Non è possibile attivare o disattivare l'accelerazione per una Site-to-Site connessione VPN esistente. Puoi invece creare una nuova connessione Site-to-Site VPN con l'accelerazione attivata o disattivata secondo necessità. Quindi, configura il dispositivo gateway del cliente per utilizzare la nuova connessione Site-to-Site VPN ed eliminare la vecchia connessione Site-to-Site VPN. 
+ NAT-traversal (NAT-T) è obbligatorio per una connessione VPN accelerata ed è abilitato per impostazione predefinita. Se è stato scaricato un [file di configurazione](SetUpVPNConnections.md#vpn-download-config) dalla console Amazon VPC, controlla l'impostazione NAT-T e modificala se necessario.
+ La negoziazione IKE per i tunnel VPN accelerati deve essere avviata dal dispositivo gateway del cliente. Le due opzioni di tunnel che influiscono su questo comportamento sono e. `Startup Action` `DPD Timeout Action` Per ulteriori informazioni, consulta [Opzioni per tunnel VPN](VPNTunnels.md) e [Opzioni di avvio del tunnel VPN](initiate-vpn-tunnels.md).
+ Site-to-Site Le connessioni VPN che utilizzano l'autenticazione basata su certificati potrebbero non essere compatibili con AWS Global Accelerator, a causa del supporto limitato per la frammentazione dei pacchetti in Global Accelerator. Per ulteriori informazioni, consulta [Funzionamento di AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html). Se è necessaria una connessione VPN accelerata che utilizza l'autenticazione basata su certificato, il dispositivo gateway cliente deve supportare la frammentazione IKE. In caso contrario, non abilitare la VPN per l'accelerazione.

# AWS Site-to-Site VPN opzioni di routing
<a name="VPNRoutingTypes"></a>

AWS consiglia di pubblicizzare percorsi BGP specifici per influenzare le decisioni di routing nel gateway privato virtuale. Controlla la documentazione del fornitore per i comandi specifici del dispositivo.

Quando crei più connessioni VPN, il gateway virtuale privato invia il traffico di rete alla connessione VPN appropriata utilizzando route assegnate staticamente o annunci di routing BGP, a seconda della configurazione della connessione VPN. Le route assegnate staticamente sono preferite rispetto alle route pubblicizzate BGP nei casi in cui sono presenti route identiche nel gateway virtuale privato. Se selezioni l'opzione per utilizzare l'annuncio BGP, non puoi specificare route statiche.

Per ulteriori informazioni sulla priorità delle route, consulta [Tabelle delle rotte e priorità delle rotte](vpn-route-priority.md).

Quando crei una connessione Site-to-Site VPN, devi fare quanto segue:
+ Specificare il tipo di routing che prevedi di utilizzare (statico o dinamico)
+ Aggiorna la [tabella di routing](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) per la sottorete

Esistono quote al numero di route che puoi aggiungere a una tabella di routing. Per ulteriori informazioni, consulta la sezione Tabelle di routing in [Quote di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) nella *Guida per l'utente di Amazon VPC*.

**Topics**
+ [Routing statico e dinamico](vpn-static-dynamic.md)
+ [Tabelle delle rotte e priorità delle rotte](vpn-route-priority.md)
+ [Routing durante gli aggiornamenti degli endpoint del tunnel VPN](routing-vpn-tunnel-updates.md)
+ [IPv4 e IPv6 traffico](ipv4-ipv6.md)

# Routing statico e dinamico in AWS Site-to-Site VPN
<a name="vpn-static-dynamic"></a>

Il tipo di routing selezionato può dipendere dalla marca e dal modello del dispositivo gateway del cliente. Se il dispositivo gateway del cliente supporta il Border Gateway Protocol (BGP), specifica il routing dinamico quando configuri la connessione VPN. Site-to-Site Se il dispositivo gateway del cliente non supporta BGP, specifica il routing statico.

**Nota**  
Site-to-Site I concentratori VPN supportano solo il routing BGP. Il routing statico non è supportato per le connessioni VPN che utilizzano un VPN Concentrator. Site-to-Site

Se utilizzi un dispositivo che supporta la pubblicità BGP, non specifichi percorsi statici verso la connessione Site-to-Site VPN perché il dispositivo utilizza BGP per pubblicizzare i propri percorsi verso il gateway privato virtuale. Se utilizzi un dispositivo che non supporta la pubblicità BGP, devi selezionare il routing statico e immettere le route (prefissi IP) per la rete che devono essere comunicate al gateway virtuale privato. 

Ti consigliamo di utilizzare dispositivi dotati della funzionalità BGP, quando disponibili, perché il protocollo BGP offre controlli di rilevamento liveness affidabili che possono rispondere alle Esigenze di failover al secondo tunnel VPN se il primo tunnel non è disponibile. I dispositivi che non supportano BGP possono anche Eseguire controlli dello stato per rispondere alle Esigenze di failover al secondo tunnel quando necessario.

È necessario configurare il dispositivo gateway del cliente per indirizzare il traffico dalla rete locale alla connessione VPN. Site-to-Site La configurazione dipende dalla marca e dal modello del dispositivo. Per ulteriori informazioni, consulta [AWS Site-to-Site VPN dispositivi gateway per i clienti](your-cgw.md).

# Tabelle di routing e priorità delle AWS Site-to-Site VPN rotte
<a name="vpn-route-priority"></a>

Le [tabelle di routing](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) determinano la destinazione del traffico di rete proveniente dal VPC. Nella tabella di routing VPC devi aggiungere una route per la rete remota e specificare il gateway virtuale privato come target. Questo consente di instradare il traffico dal VPC che è destinato alla rete remota al gateway virtuale privato e su uno dei tunnel VPN. Puoi abilitare la propagazione della route per la tabella di routing per propagare automaticamente le route di rete alla tabella. 

Utilizziamo la route più specifica della tua tabella di routing che corrisponde al traffico per determinare il modo in cui instradare il traffico (corrispondenza di prefisso più lunga). Se la tabella di routing presenta percorsi sovrapposti o corrispondenti, si applicano le seguenti regole:
+ Se le route propagate da una connessione o Direct Connect connessione Site-to-Site VPN si sovrappongono alla route locale del tuo VPC, la route locale è la preferita anche se le route propagate sono più specifiche. 
+ Se le route propagate da una connessione o Direct Connect connessione Site-to-Site VPN hanno lo stesso blocco CIDR di destinazione di altre route statiche esistenti (non è possibile applicare il prefisso più lungo), diamo priorità alle route statiche i cui obiettivi sono un gateway Internet, un gateway privato virtuale, un'interfaccia di rete, un ID di istanza, una connessione peering VPC, un gateway NAT, un gateway di transito o un endpoint VPC gateway.

Ad esempio, la seguente tabella di routing dispone di una route statica a un Internet Gateway e una route propagata a una gateway virtuale privato. La destinazione di entrambe le regole è `172.31.0.0/24`. In questo caso, tutto il traffico destinato a `172.31.0.0/24` viene instradato all'Internet gateway, perché si tratta di una route statica che ha priorità sulla route propagata.


| Destinazione | Target | 
| --- | --- | 
| 10.0.0.0/16 | Locale | 
| 172.31.0.0/24 | vgw-11223344556677889 (propagato) | 
| 172.31.0.0/24 | igw-12345678901234567 (statico) | 

Solo i prefissi IP noti al gateway virtuale privato, tramite annunci pubblicitari BGP o una voce route statica, possono ricevere traffico dal VPC. Il gateway virtuale privato non instradata eventuale altro traffico destinato all'esterno di promozioni BGP ricevute, alle voci della route statica o al relativo CIDR VPC collegato. IPv6 I gateway privati virtuali non supportano il traffico.

Quando un gateway virtuale privato riceve informazioni di routing, utilizza la selezione percorso per determinare in che modo instradare il traffico. Si applica la corrispondenza di prefisso più lunga, se tutti gli endpoint sono integri. L'integrità di un endpoint del tunnel ha la precedenza sugli altri attributi di routing. Questa precedenza si applica ai VPNs gateway privati virtuali e ai gateway di transito. Se i prefissi sono identici, il gateway virtuale privato assegna la priorità alle route come segue, dalla più preferita alla meno preferita: 
+ Rotte propagate da BGP da una connessione Direct Connect 

  Le route Blackhole non vengono propagate al gateway di un cliente Site-to-Site VPN tramite BGP. 
+ Percorsi statici aggiunti manualmente per una connessione VPN Site-to-Site
+ Rotte propagate da BGP da una connessione VPN Site-to-Site
+ Per i prefissi corrispondenti in cui ogni connessione Site-to-Site VPN utilizza BGP, viene confrontato l'AS PATH e si preferisce il prefisso con l'AS PATH più breve.
**Nota**  
AWS consiglia vivamente di utilizzare dispositivi gateway per i clienti che supportano il routing asimmetrico.  
Per i dispositivi gateway del cliente che supportano il routing asimmetrico, *non* consigliamo di utilizzare AS PATH anteposto, per garantire che i tunnel abbiano AS PATH uguale. Ciò consente di garantire che il valore multi-exit discriminator (MED) impostato su un tunnel durante gli [aggiornamenti degli endpoint del tunnel VPN](routing-vpn-tunnel-updates.md) venga utilizzato per determinare la priorità del tunnel.  
Per i dispositivi gateway del cliente che non supportano il routing asimmetrico, è possibile utilizzare AS-Path anteposto e Local-Preference per preferire un tunnel rispetto all'altro. Tuttavia, quando il percorso di uscita cambia, ciò può causare una riduzione del traffico.
+ Quando gli AS PATHs hanno la stessa lunghezza e se il primo AS in AS\$1SEQUENCE è lo stesso su più percorsi, () vengono confrontati. multi-exit discriminators MEDs Il percorso preferito è quello con il valore MED più basso.

La priorità della route è influenzata durante [gli aggiornamenti degli endpoint del tunnel VPN](routing-vpn-tunnel-updates.md).

Su una connessione Site-to-Site VPN, AWS seleziona uno dei due tunnel ridondanti come percorso di uscita principale. Questa selezione a volte può cambiare e si consiglia di configurare entrambi i tunnel per la disponibilità elevata e per consentire un routing asimmetrico. L'integrità di un endpoint del tunnel ha la precedenza sugli altri attributi di routing. Questa precedenza si applica ai gateway privati virtuali e ai gateway di VPNs transito.

Per un gateway privato virtuale, verrà selezionato un tunnel tra tutte le connessioni Site-to-Site VPN sul gateway. Per utilizzare più di un tunnel, consigliamo di esplorare Equal Cost Multipath (ECMP), che è supportato per le connessioni Site-to-Site VPN su un gateway di transito. Per ulteriori informazioni, consulta [Gateway di transito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) in *Gateway di transito di Amazon VPC*. ECMP non è supportato per le connessioni Site-to-Site VPN su un gateway privato virtuale.

Per le connessioni Site-to-Site VPN che utilizzano BGP, il tunnel principale può essere identificato dal valore multi-exit discriminator (MED). Consigliamo di pubblicizzare percorsi BGP più specifici per influenzare le decisioni di routing. 

Per le connessioni Site-to-Site VPN che utilizzano il routing statico, il tunnel principale può essere identificato mediante statistiche o metriche sul traffico. 

# Routing durante gli aggiornamenti degli endpoint del tunnel VPN
<a name="routing-vpn-tunnel-updates"></a>

Una connessione Site-to-Site VPN è costituita da due tunnel VPN tra un dispositivo gateway del cliente e un gateway privato virtuale o un gateway di transito. Si consiglia di configurare entrambi i tunnel per la ridondanza. Di tanto in tanto, esegue AWS anche la manutenzione ordinaria della connessione VPN, il che potrebbe disabilitare brevemente uno dei due tunnel della connessione VPN. Per ulteriori informazioni, consulta [Notifiche di sostituzione degli endpoint del tunnel](monitoring-vpn-health-events.md#tunnel-replacement-notifications).

Quando eseguiamo aggiornamenti su un tunnel VPN, viene impostato un valore multi-exit discriminator (MED) in uscita inferiore sull'altro tunnel. Se il dispositivo gateway del cliente è stato configurato per utilizzare entrambi i tunnel, la connessione VPN utilizza l'altro tunnel durante il processo di aggiornamento dell'endpoint del tunnel.

**Nota**  
 Per assicurarsi che il tunnel up con il MED inferiore sia quello preferito, assicurarsi che il dispositivo gateway cliente utilizzi gli stessi valori Peso e Preferenza locale per entrambi i tunnel (Peso e Preferenza locale hanno priorità più alta rispetto a MED).

# IPv4 e IPv6 traffico in entrata AWS Site-to-Site VPN
<a name="ipv4-ipv6"></a>

La tua connessione Site-to-Site VPN su un gateway di transito può supportare IPv4 il traffico o il IPv6 traffico all'interno dei tunnel VPN. Per impostazione predefinita, una connessione Site-to-Site VPN supporta il IPv4 traffico all'interno dei tunnel VPN. È possibile configurare una nuova connessione Site-to-Site VPN per supportare il IPv6 traffico all'interno dei tunnel VPN. Quindi, se il tuo VPC e la tua rete locale sono configurati per l' IPv6 indirizzamento, puoi inviare IPv6 traffico tramite la connessione VPN.

Se abiliti i tunnel VPN IPv6 per la tua connessione Site-to-Site VPN, ogni tunnel ha due blocchi CIDR. Uno è un blocco IPv4 CIDR di dimensione /30 e l'altro è un blocco CIDR di dimensione /126. IPv6 

## IPv4 e supporto IPv6
<a name="ipv6-tunnel-options"></a>

Site-to-Site Le connessioni VPN VPN supportano le seguenti configurazioni IP:
+ **IPv4 tunnel esterno con pacchetti IPv4 interni**: la funzionalità IPv4 VPN di base supportata su gateway privati virtuali, gateway di transito e Cloud WAN.
+ **IPv4 tunnel esterno con pacchetti IPv6 interni**: consente le IPv6 applicazioni/il trasporto all'interno del tunnel VPN. Supportato su gateway di transito e Cloud WAN. Questa funzionalità non è supportata per i gateway privati virtuali.
+ **IPv6 tunnel esterno con pacchetti IPv6 interni**: consente la IPv6 migrazione completa con IPv6 indirizzi sia per il tunnel IPs esterno che per il pacchetto interno. IPs Supportato sia per i gateway di transito che per Cloud WAN.
+ **IPv6 tunnel esterno con pacchetti IPv4 interni**: consente l'indirizzamento del tunnel IPv6 esterno supportando al contempo IPv4 le applicazioni legacy all'interno del tunnel. Supportato sia per i gateway di transito che per Cloud WAN.

Si applicano le regole seguenti:
+ IPv6 gli indirizzi per il tunnel esterno IPs sono supportati solo sulle connessioni Site-to-Site VPN terminate su un gateway di transito o su una rete WAN cloud. Site-to-Site Le connessioni VPN su un gateway privato virtuale non supportano IPv6 il tunnel IPs esterno.
+ Quando si utilizza IPv6 per un tunnel esterno IPs, è necessario assegnare IPv6 indirizzi sia sul AWS lato della connessione VPN che sul gateway del cliente per entrambi i tunnel VPN.
+ Non è possibile abilitare IPv6 il supporto per una Site-to-Site connessione VPN esistente. È necessario eliminare la connessione esistente e crearne una nuova.
+ Una connessione Site-to-Site VPN non può supportare IPv4 sia il traffico che IPv6 il traffico contemporaneamente. I pacchetti incapsulati interni possono essere uno IPv6 o entrambi IPv4, ma non entrambi. Sono necessarie connessioni Site-to-Site VPN separate per il trasporto IPv4 e i pacchetti. IPv6 
+ Gli IP privati VPNs non supportano IPv6 gli indirizzi per il tunnel IPs esterno. Utilizzano indirizzi RFC 1918 o CGNAT. Per ulteriori informazioni su RFC 1918, vedere [RFC 1918](https://datatracker.ietf.org/doc/html/rfc1918) - Allocazione degli indirizzi per Internet privati.
+ IPv6 VPNs supportano gli stessi limiti di throughput (Gbps e PPS), MTU e routing di. IPv4 VPNs
+ La IPSec crittografia e lo scambio di chiavi funzionano allo stesso modo per entrambi e. IPv4 IPv6 VPNs

Per ulteriori informazioni sulla creazione di una connessione VPN con IPv6 supporto, consulta [Creare una connessione VPN](SetUpVPNConnections.md#vpn-create-vpn-connection) in Get Started with Site-to-Site VPN.

# AWS Site-to-Site VPN Concentratori
<a name="vpn-concentrator"></a>

AWS Site-to-Site VPN Concentrator è una nuova funzionalità che semplifica la connettività multisito per le imprese distribuite. VPN Concentrator è adatto ai clienti che devono connettere più di 25 siti remoti ad AWS, con ogni sito che richiede una larghezza di banda ridotta (meno di 100 Mbps). 

## Servizi e funzionalità di gateway supportati
<a name="vpn-concentrator-supported-gateways"></a>

I concentratori VPN sono supportati solo con Transit Gateway. Questa funzionalità non è supportata con Cloud WAN o Virtual Private Gateway.

La tabella seguente descrive le funzionalità supportate da Site-to-Site VPN Concentrator:


| Funzionalità | Supportato? | 
| --- | --- | 
| IPv6 | Sì | 
| Connessioni VPN private Direct Connect | No | 
| VPN accelerata | Sì | 
| Più dispositivi gateway per i clienti dallo stesso sito | Sì. Tuttavia, ogni dispositivo gateway del cliente deve avere un indirizzo IP univoco. | 
| Restrizioni geografiche | No È possibile collegare un sito situato in qualsiasi regione a un concentratore in qualsiasi AWS regione. | 
| Site-to-Site Registri VPN | Sì. Puoi generare log VPN per tutti i siti collegati al Concentrator o singolarmente. | 
| Supporto per la crittografia Transit Gateway | No | 

## Larghezza di banda
<a name="vpn-concentrator-bandwidth"></a>

Attualmente, i concentratori Site-to-Site VPN supportano una larghezza di banda aggregata di 5 Gbps. Ogni sito può supportare una larghezza di banda massima di 100 Mbps. Tuttavia, se hai bisogno di una larghezza di banda maggiore, contatta. Supporto AWS

## Routing
<a name="vpn-concentrator-routing"></a>

Site-to-Site I concentratori VPN supportano solo il routing BGP (Border Gateway Protocol). Il routing statico non è supportato.

Tutti i gateway dei clienti collegati Site-to-Site VPNConcentrator utilizzano lo stesso collegamento Site-to-Site VPN Concentrator al gateway di transito per il routing. Ogni sito che si connette a Site-to-Site VPN Concentrator può inviare un massimo di 5.000 rotte dal gateway di transito a un gateway del cliente e 1.000 rotte dal gateway del cliente al gateway di transito.

## Allocazione degli indirizzi IP
<a name="vpn-concentrator-ip-addressing"></a>

Ogni connessione VPN tramite Site-to-Site VPN Concentrator avrà comunque un indirizzo IP AWS univoco (uno per tunnel).

## Monitoraggio
<a name="vpn-concentrator-monitoring"></a>

Le connessioni VPN tramite Site-to-Site VPN Concentrator supportano le stesse metriche delle normali connessioni VPN.

Quando abiliti i log di flusso del gateway Transit sull'allegato VPN Concentrator, vedrai i log di flusso per tutto il traffico in entrata e in uscita da tutti i siti remoti collegati al concentratore.

## Manutenzione del tunnel
<a name="vpn-concentrator-maintenance"></a>

La manutenzione del tunnel funziona allo stesso modo dei tunnel Site-to-Site VPN standard esistenti per entrambi gli endpoint quando si utilizza un Site-to-Site VPN Concentrator. Per ulteriori informazioni, consulta [Sostituzioni degli endpoint](endpoint-replacements.md).

## Prezzi
<a name="vpn-concentrator-pricing"></a>

Le informazioni sui prezzi di Site-to-Site VPN Concentrator sono disponibili nella pagina [dei prezzi di AWS VPN](https://aws.amazon.com/vpn/pricing/).