Como AWS Site-to-Site VPN funciona - AWS Site-to-Site VPN
Gateway privado virtualTransit gatewayDispositivo de gateway do clienteGateway do clienteIPv6 Conexões VPN

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como AWS Site-to-Site VPN funciona

Uma conexão Site-to-Site VPN consiste nos seguintes componentes:

A conexão VPN oferece dois túneis VPN entre um gateway privado virtual ou gateway de trânsito no AWS lado e um gateway de cliente no lado local.

Para obter mais informações sobre cotas de Site-to-Site VPN, consulteAWS Site-to-Site VPN cotas.

Gateway privado virtual

Um gateway privado virtual é o concentrador de VPN no lado da Amazon da conexão Site-to-Site VPN. Você cria um gateway privado virtual e o anexa a uma nuvem privada virtual (VPC) com recursos que devem acessar a Site-to-Site conexão VPN.

O diagrama a seguir mostra uma conexão VPN entre uma VPC e a rede on-premises usando um gateway privado virtual.

Uma VPC tem um gateway privado virtual anexado e uma conexão VPN com a rede on-premises.

Quando você cria um gateway privado virtual, é possível especificar o Número de sistema autônomo privado (ASN) para o lado da Amazon do gateway. Se você não especificar um ASN, o gateway privado virtual é criado com o ASN (64512) padrão. Você não poderá alterar o ASN depois de ter criado o gateway privado virtual. Para verificar o ASN do seu gateway privado virtual, veja seus detalhes na página Gateways privados virtuais no console da Amazon VPC ou use o comando. describe-vpn-gateways AWS CLI

nota

Os gateways privados virtuais não oferecem suporte IPv6 para conexões Site-to-Site VPN. Se precisar de IPv6 suporte, use um gateway de trânsito ou Cloud WAN para sua conexão VPN.

Transit gateway

Um gateway de trânsito é um hub de trânsito que você pode usar para interconectar sua rede VPCs e sua rede local. Para obter mais informações, consulte Gateways de trânsito da Amazon VPC. Você pode criar uma conexão Site-to-Site VPN como anexo em um gateway de trânsito.

O diagrama a seguir mostra uma conexão VPN entre várias VPCs e sua rede local usando um gateway de trânsito. O gateway de trânsito tem três anexos de VPC e um anexo de VPN.

Um gateway de trânsito com três anexos da VPC e um anexo da VPN.

Sua conexão Site-to-Site VPN em um gateway de trânsito pode suportar IPv4 ou IPv6 trafegar dentro dos túneis VPN (endereços IP internos). Além disso, os gateways de trânsito oferecem suporte a IPv6 endereços IP do túnel externo. Para obter mais informações, consulte IPv4 e IPv6 tráfego em AWS Site-to-Site VPN.

Você pode modificar o gateway de destino de uma conexão Site-to-Site VPN de um gateway privado virtual para um gateway de trânsito. Para obter mais informações, consulte Modificar o gateway de destino de uma AWS Site-to-Site VPN conexão.

Dispositivo de gateway do cliente

Um dispositivo de gateway do cliente é um dispositivo físico ou aplicativo de software no seu lado da conexão Site-to-Site VPN. Você configura o dispositivo para funcionar com a conexão Site-to-Site VPN. Para obter mais informações, consulte AWS Site-to-Site VPN dispositivos de gateway do cliente.

Por padrão, o dispositivo de gateway do cliente deve abrir os túneis da sua conexão Site-to-Site VPN gerando tráfego e iniciando o processo de negociação do Internet Key Exchange (IKE). Você pode configurar sua conexão Site-to-Site VPN para especificar que, em vez disso, AWS deve iniciar o processo de negociação do IKE. Para obter mais informações, consulte AWS Site-to-Site VPN opções de iniciação de túnel.

Se você estiver usando endereços IP IPv6 para túneis externos, seu dispositivo de gateway do cliente deve suportar IPv6 endereçamento e ser capaz de estabelecer IPsec túneis com IPv6 endpoints.

Gateway do cliente

Um gateway do cliente é um recurso que você cria na AWS e representa o dispositivo de gateway do cliente na rede local. Ao criar um gateway do cliente, você fornece informações sobre seu dispositivo para AWS. Para obter mais informações, consulte Opções de gateway do cliente para sua AWS Site-to-Site VPN conexão.

Um gateway do cliente e um dispositivo de gateway do cliente.

Para usar o Amazon VPC com uma conexão Site-to-Site VPN, você ou seu administrador de rede também devem configurar o dispositivo ou aplicativo de gateway do cliente em sua rede remota. Quando você cria a conexão Site-to-Site VPN, fornecemos as informações de configuração necessárias e seu administrador de rede normalmente executa essa configuração. Para obter informações sobre os requisitos e a configuração do gateway do cliente, consulte AWS Site-to-Site VPN dispositivos de gateway do cliente.

IPv6 gateway do cliente

Ao criar um gateway de cliente para uso com túnel IPv6 externo IPs, você especifica um IPv6 endereço em vez de um IPv4 endereço. Você pode criar um gateway IPv6 do cliente usando o AWS Management Console ou a AWS CLI.

Para criar um gateway IPv6 do cliente usando a AWS CLI, use o seguinte comando:

aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

O IPv6 endereço deve ser um endereço válido e roteável pela Internet para seu dispositivo de IPv6 gateway do cliente.

IPv6 Conexões VPN

Site-to-Site As conexões VPN VPN suportam as seguintes IPv6 configurações:

  • IPv4 túnel externo com pacotes IPv4 internos - O recurso básico de IPv4 VPN suportado no Virtual Private Gateway (VGW), Transit Gateway (TGW) e Cloud WAN.

  • IPv4 túnel externo com pacotes IPv6 internos - Permite IPv6 aplicativos/transporte dentro do túnel VPN. Compatível com TGW e Cloud WAN (não compatível com VGW).

  • IPv6 túnel externo com pacotes IPv6 internos - Permite a IPv6 migração completa com IPv6 endereços tanto para o túnel IPs externo quanto para o pacote IPs interno. Compatível com TGW e Cloud WAN.

  • IPv6 túnel externo com pacotes IPv4 internos - Permite o endereçamento de túneis IPv6 externos e, ao mesmo tempo, oferece suporte a IPv4 aplicativos legados dentro do túnel. Compatível com TGW e Cloud WAN.

Para criar uma conexão VPN com o túnel IPv6 externo IPs, você especifica OutsideIPAddressType=Ipv6 ao criar a conexão VPN. A AWS configura automaticamente os IPv6 endereços de túneis externos para o lado AWS dos túneis VPN.

Exemplo de comando CLI para criar uma conexão VPN com túnel IPv6 externo IPs e túnel IPv6 interno: IPs

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

Você pode ver os IPv6 endereços atribuídos à sua conexão VPN usando o comando describe-vpn-connection CLI.