As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como AWS Site-to-Site VPN funciona

A conexão VPN oferece dois túneis VPN entre um gateway privado virtual ou gateway de trânsito no AWS lado e um gateway de cliente no lado local.

Para obter mais informações sobre cotas de Site-to-Site VPN, consulteAWS Site-to-Site VPN cotas.

Gateway privado virtual

Um gateway privado virtual é o Site-to-Site VPN Concentrator no lado Amazon da conexão Site-to-Site VPN. Você cria um gateway privado virtual e o anexa a uma nuvem privada virtual (VPC) com recursos que devem acessar a Site-to-Site conexão VPN.

O diagrama a seguir mostra uma conexão VPN entre uma VPC e a rede on-premises usando um gateway privado virtual.

Quando você cria um gateway privado virtual, é possível especificar o Número de sistema autônomo privado (ASN) para o lado da Amazon do gateway. Se você não especificar um ASN, o gateway privado virtual é criado com o ASN (64512) padrão. Você não poderá alterar o ASN depois de ter criado o gateway privado virtual. Para verificar o ASN do gateway privado virtual, visualize os detalhes na página Gateways privados virtuais no console da Amazon VPC ou use o comando describe-vpn-gateways da AWS CLI .

Transit gateway

Um gateway de trânsito é um hub de trânsito que pode ser usado para interconectar as VPCs e as redes on-premises. Para obter mais informações, consulte Gateways de trânsito da Amazon VPC. Você pode criar uma conexão Site-to-Site VPN como anexo em um gateway de trânsito.

O diagrama a seguir mostra uma conexão VPN entre várias VPCs e a rede on-premises usando um gateway de trânsito. O gateway de trânsito tem três anexos de VPC e um anexo de VPN.

Sua conexão Site-to-Site VPN em um gateway de trânsito pode suportar tráfego IPv4 ou IPv6 dentro dos túneis VPN (endereços IP internos). Além disso, os gateways de trânsito aceitam endereços IPv6 para os endereços IP de túnel externo. Para obter mais informações, consulte Tráfego IPv4 e IPv6 no AWS Site-to-Site VPN.

Você pode modificar o gateway de destino de uma conexão Site-to-Site VPN de um gateway privado virtual para um gateway de trânsito. Para obter mais informações, consulte Modificar o gateway de destino de uma AWS Site-to-Site VPN conexão.

Dispositivo de gateway do cliente

Um dispositivo de gateway do cliente é um dispositivo físico ou aplicativo de software no seu lado da conexão Site-to-Site VPN. Você configura o dispositivo para funcionar com a conexão Site-to-Site VPN. Para obter mais informações, consulte AWS Site-to-Site VPN dispositivos de gateway do cliente.

Por padrão, o dispositivo de gateway do cliente deve abrir os túneis da sua conexão Site-to-Site VPN gerando tráfego e iniciando o processo de negociação do Internet Key Exchange (IKE). Você pode configurar sua conexão Site-to-Site VPN para especificar que, em vez disso, AWS deve iniciar o processo de negociação do IKE. Para obter mais informações, consulte AWS Site-to-Site VPN opções de iniciação de túnel.

Se você estiver usando IPv6 para os endereços IP de túnel externo, o dispositivo de gateway do cliente deverá aceitar endereçamento IPv6 e ser capaz de estabelecer túneis IPsec com endpoints IPv6.

Gateway do cliente

Um gateway do cliente é um recurso que você cria na AWS e representa o dispositivo de gateway do cliente na rede local. Ao criar um gateway do cliente, você fornece informações sobre seu dispositivo para AWS. Para obter mais informações, consulte Opções de gateway do cliente para sua conexão AWS Site-to-Site VPN.

Para usar o Amazon VPC com uma conexão Site-to-Site VPN, você ou seu administrador de rede também devem configurar o dispositivo ou aplicativo de gateway do cliente em sua rede remota. Quando você cria a conexão Site-to-Site VPN, fornecemos as informações de configuração necessárias e seu administrador de rede normalmente executa essa configuração. Para obter informações sobre os requisitos e a configuração do gateway do cliente, consulte AWS Site-to-Site VPN dispositivos de gateway do cliente.

Gateway do cliente IPv6

Ao criar um gateway do cliente para uso com IPs de túnel externo IPv6, especifique um endereço IPv6 em vez de um endereço IPv4. Você pode criar um gateway de cliente IPv6 usando o AWS Management Console ou a CLI AWS .

Para criar um gateway de cliente IPv6 usando a AWS CLI, use o seguinte comando:

aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

O endereço IPv6 deve ser um endereço IPv6 válido roteável pela Internet para o dispositivo de gateway do cliente.

Conexões VPN IPv6

Site-to-Site As conexões VPN VPN oferecem suporte às seguintes configurações IPv6:

Para criar uma conexão VPN com IPs de túnel externo IPv6, especifique OutsideIPAddressType=Ipv6 ao criar a conexão VPN. A AWS configura automaticamente os endereços IPv6 do túnel externo do lado da AWS dos túneis VPN.

Exemplo de comando da CLI para criar uma conexão VPN com IPs de túnel externo IPv6 e IPs de túnel interno IPv6:

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

É possível visualizar os endereços IPv6 atribuídos à sua conexão VPN usando o comando describe-vpn-connection da CLI.