As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Requisitos para um dispositivo de gateway do AWS Site-to-Site VPN cliente AWS suporta vários dispositivos Site-to-Site VPN de gateway de clientes, para os quais fornecemos arquivos de configuração para download. Para ver uma lista dos dispositivos compatíveis e as etapas para baixar os arquivos de configuração, consulte [Arquivos de configuração de roteamento estático e dinâmico](example-configuration-files.md). Se você tiver um dispositivo que não esteja na lista de dispositivos compatíveis, a seção a seguir descreve os requisitos que o dispositivo deve atender para estabelecer uma conexão Site-to-Site VPN. Há quatro etapas principais para a configuração do seu dispositivo de gateway do cliente. Os símbolos a seguir representam cada parte da configuração. | | | | --- |--- | | ![Símbolo de Internet key exchange](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/IKE.png) | Associação de segurança do Internet Key Exchange (IKE). Isso é necessário para trocar as chaves usadas para estabelecer a associação IPsec de segurança. | | ![Segurança do protocolo de Internet](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/IPsec.png) | IPsec associação de segurança. Isso lida com a criptografia do túnel, com a autenticação e assim por diante. | | ![Símbolo de interface do túnel](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/Tunnel.png) | Interface do túnel. Isso recebe tráfego de e para o túnel. | | ![Protocolo de Gateway da Borda](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/BGP.png) | (Opcional) Emparelhamento de Protocolo de Gateway da Borda (BGP) Para dispositivos que usam BGP, isso troca as rotas entre o dispositivo de gateway do cliente e o gateway privado virtual. | A tabela a seguir lista os requisitos para o dispositivo de gateway do cliente, o RFC relacionado (para referência) e comentários sobre os requisitos. Cada conexão VPN consiste em dois túneis separados. Cada túnel contém uma associação de segurança IKE, uma associação IPsec de segurança e um peering BGP. Você está limitado a um par exclusivo de associação de segurança (SA) por túnel (um de entrada e um de saída) e, portanto, a dois pares de SA exclusivos no total para dois túneis (quatro). SAs Alguns dispositivos usam uma VPN baseada em políticas e criam tantas entradas de SAs ACL. Assim, talvez seja necessário consolidar as regras e, depois, filtrar para não permitir o tráfego indesejado. Por padrão, o túnel da VPN é ativado quando o tráfego é gerado e a negociação do protocolo IKE é iniciada do seu lado da conexão VPN. Em vez disso, você pode configurar a conexão VPN para iniciar a negociação IKE do AWS lado da conexão. Para obter mais informações, consulte [AWS Site-to-Site VPN opções de iniciação de túnel](initiate-vpn-tunnels.md). Os endpoints de VPN são compatíveis com o rechaveamento e poderão iniciar renegociações quando a fase 1 estiver prestes a expirar, se o dispositivo de gateway do cliente não tiver enviado nenhum tráfego de renegociação. | Requisito | RFC | Comentários | | --- | --- | --- | | Estabelecer associação de segurança IKE
![IKE](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/IKE.png) | [RFC 2409](https://datatracker.ietf.org/doc/html/rfc2409)
[RFC 7296](https://datatracker.ietf.org/doc/html/rfc7296) | A associação de segurança IKE é estabelecida primeiro entre o gateway privado virtual e o dispositivo de gateway do cliente usando uma chave pré-compartilhada ou um certificado privado usado Autoridade de Certificação Privada da AWS como autenticador. Quando estabelecido, o IKE negocia uma chave efêmera para proteger futuras mensagens de IKE. Deve haver um acordo completo entre os parâmetros, incluindo parâmetros de criptografia e de autenticação.
Ao criar uma conexão VPN no AWS, você pode especificar sua própria chave pré-compartilhada para cada túnel ou deixar AWS gerar uma para você. Como alternativa, você pode especificar o certificado privado usado Autoridade de Certificação Privada da AWS para usar em seu dispositivo de gateway do cliente. Para obter mais informações, sobre como configurar túneis da VPN, consulte [Opções de túnel para sua AWS Site-to-Site VPN conexão](VPNTunnels.md).
As seguintes versões são suportadas: IKEv1 IKEv2 e.
Suportamos o modo principal somente com IKEv1.
O serviço Site-to-Site VPN é uma solução baseada em rotas. Se você estiver usando uma configuração com base em políticas, limite a configuração a uma única associação de segurança (SA). | | Estabeleça associações de IPsec segurança no modo Túnel
![IPsec](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/IPsec.png) | [RFC 4301](https://datatracker.ietf.org/doc/html/rfc4301) | Usando a chave efêmera IKE, as chaves são estabelecidas entre o gateway privado virtual e o dispositivo de gateway do cliente para formar uma associação de IPsec segurança (SA). O tráfego entre os gateways é criptografado e descriptografado. usando essa SA. As chaves efêmeras usadas para criptografar o tráfego dentro do IPsec SA são alternadas automaticamente pelo IKE regularmente para garantir a confidencialidade das comunicações. | | Usar a função de criptografia AES de 128 bits ou AES de 256 bits | [RFC 3602](https://datatracker.ietf.org/doc/html/rfc3602) | A função de criptografia é usada para garantir a privacidade do IKE e das associações IPsec de segurança. | | Usar a função de hashing SHA-1 ou SHA-2 (256) | [RFC 2404](https://datatracker.ietf.org/doc/html/rfc2404) | Essa função de hashing é usada para autenticar tanto o IKE quanto as associações de segurança. IPsec | | Use o Diffie-Hellman Perfect Forward Secrecy. | [RFC 2409](https://datatracker.ietf.org/doc/html/rfc2409) | O IKE usa Diffie-Hellman para estabelecer chaves efêmeras para proteger toda a comunicação entre os dispositivos de gateway do cliente e os gateways privados virtuais.
Os seguintes grupos são compatíveis:[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/CGRequirements.html) | | (Conexões VPN roteadas dinamicamente) Use o Dead Peer Detection IPsec | [RFC 3706](https://datatracker.ietf.org/doc/html/rfc3706) | O Dead Peer Detection permite que os dispositivos de VPN identifiquem rapidamente quando uma condição de rede impede a entrega de pacotes pela Internet. Quando isso ocorre, os gateways excluem as associações de segurança e tentam criar outras associações. Durante esse processo, o IPsec túnel alternativo é usado, se possível. | | (Conexões VPN roteadas dinamicamente) Vincular o túnel à interface lógica (VPN baseada em rota)
![Tunnel](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/Tunnel.png) | Nenhum | Seu dispositivo deve ser capaz de vincular o IPsec túnel a uma interface lógica. A interface lógica contém um endereço IP que é usado para estabelecer o emparelhamento de BGP com o gateway privado virtual. Essa interface lógica não deve executar encapsulamento adicional (por exemplo, GRE ou IP em IP). A interface deve ser configurada para uma Maximum Transmission Unit (MTU) de 1.399 bytes. | | (Conexões VPN roteadas dinamicamente) Estabelecer emparelhamentos de BGP
![BGP](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/BGP.png) | [RFC 4271](https://datatracker.ietf.org/doc/html/rfc4271) | O BGP é usado para trocar as rotas entre o dispositivo de gateway do cliente e o gateway privado virtual para dispositivos que usam o BGP. Todo o tráfego BGP é criptografado e transmitido pela IPsec Security Association. O BGP é necessário para que ambos os gateways troquem os prefixos IP que podem ser acessados por meio do SA. IPsec | Uma conexão AWS VPN não oferece suporte ao Path MTU Discovery ([RFC 1191](https://datatracker.ietf.org/doc/html/rfc1191)). Se houver um firewall entre o dispositivo de gateway do cliente e a Internet, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md).