Crie um AWS Site-to-Site VPN com IP privado sobre Direct Connect - AWS Site-to-Site VPN
Pré-requisitosCriar o gateway do cliente

Crie um AWS Site-to-Site VPN com IP privado sobre Direct Connect

Para criar uma VPN IP privada com Direct Connect, siga estas etapas. Antes de criar a VPN IP privada pelo Direct Connect, é preciso criar um gateway de trânsito e um gateway Direct Connect primeiro. Depois de criar os dois gateways, será preciso criar uma associação entre os dois. Esses pré-requisitos estão descritos na tabela a seguir. Depois de criar e associar os dois gateways, crie um gateway de cliente VPN e uma conexão usando essa associação.

Pré-requisitos

A tabela a seguir descreve os pré-requisitos antes de criar uma VPN IP privada pelo Direct Connect.

Item Etapas Informações
Prepare o gateway de trânsito para o Site-to-Site VPN.

Crie o gateway de trânsito usando o console do Amazon Virtual Private Cloud (VPC) ou usando a linha de comando ou a API.

Consulte Gateways de trânsito no Guia de gateways de trânsito da Amazon VPC.

 Um gateway de trânsito é um hub de trânsito de rede que pode ser usado para interconectar as VPCs e as redes on-premises. É possível criar um gateway de trânsito ou usar um existente para a conexão da VPN de IP privado. Ao criar o gateway de trânsito ou modificar um existente, especifique um bloco CIDR de IP privado para a conexão.
nota

Ao especificar o bloco CIDR do gateway de trânsito a ser associado à VPN de IP privado, garanta que o bloco CIDR não se sobreponha a nenhum endereço IP referente a qualquer outro anexo de rede no gateway de trânsito. Se algum bloco CIDR IP se sobrepuser, isso poderá causar problemas de configuração com o dispositivo gateway do cliente.
Crie o gateway do Direct Connect para o Site-to-Site VPN.

Crie o gateway Direct Connect usando o console do Direct Connect ou usando a linha de comando ou a API.

Consulte Criar um gateway do AWS Direct Connect no Guia do usuário do Direct Connect.

 Um gateway Direct Connect permite conectar interfaces virtuais (VIFs) em várias regiões da AWS. Esse gateway é usado para se conectar à sua VIF.
Crie a associação de gateway de trânsito paro Site-to-Site VPN.

Crie a associação entre o gateway Direct Connect e o gateway de trânsito usando o console Direct Connect ou a linha de comando ou API.

Consulte Associar ou desassociar o Direct Connect com um gateway de trânsito no Guia do usuário do Direct Connect.

Depois de criar o gateway do Direct Connect, crie uma associação a um gateway de trânsito para o gateway do Direct Connect. Especifique o CIDR de IP privado para o gateway de trânsito identificado anteriormente na lista de prefixos permitidos.

Crie o gateway do cliente e a conexão paro Site-to-Site VPN

Gateway do cliente é um recurso que você cria na AWS. Ele representa o dispositivo de gateway do cliente na rede on-premises. Ao criar um gateway do cliente, você fornece informações sobre o dispositivo à AWS. Consulte mais detalhes em Gateway do cliente.

Para criar um gateway do cliente usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Gateways do cliente.

  3. Escolha Criar gateway do cliente.

  4. (Opcional) Em Name (Nome), insira um nome para o gateway do cliente. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

  5. Para BGP ASN, informe o Número de sistema autônomo (ASN) do Border Gateway Protocol (BGP) do gateway do cliente.

  6. Em IP address (Endereço IP), insira o endereço IP privado do dispositivo de gateway do cliente.

    Importante

    Ao configurar o AWS Site-to-Site VPN com IP privado da AWS, você deve especificar seus próprios endereços IP de endpoint de túnel usando endereços RFC 1918. Não use os endereços IP ponto a ponto para o emparelhamento de eBGP entre o roteador do gateway do cliente e o endpoint do Direct Connect. A AWS recomenda usar uma interface de loopback ou LAN no roteador de gateway do cliente como endereço de origem ou destino em vez de conexões ponto a ponto.

    Para ter mais informações sobre a RFC 1918, consulte Address Allocation for Private Internets.

  7. (Opcional) Em Dispositivo, insira um nome para o dispositivo que hospeda esse gateway do cliente.

  8. Escolha Criar gateway do cliente.

  9. No painel de navegação, selecione Conexões VPN de local a local.

  10. Escolha Criar conexão VPN.

  11. (Opcional) Em Name tag (Marcação de nome), insira um nome para a conexão de VPN de local a local. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

  12. Em Target gateway type (Tipo de gateway de destino), escolha Transit gateway (Gateway de trânsito). Depois, selecione o gateway de trânsito identificado anteriormente.

  13. Em Customer gateway (Gateway do cliente), selecione Existing (Existente). Depois, selecione o gateway do cliente criado anteriormente.

  14. Escolha uma das opções de roteamento dependendo se o seu dispositivo de gateway do cliente é compatível com o Protocolo de Gateway da Borda (BGP):

    • Se o dispositivo de gateway do cliente for compatível com o BGP, selecione Dynamic (requires BGP) (Dinâmico [requer BGP]).

    • Se o dispositivo de gateway do cliente não for compatível com o BGP, selecione Static (Estático).

  15. Em Versão IP de túnel interno, especifique se os túneis VPN são compatíveis com tráfego IPv4 ou IPv6.

  16. (Opcional) Caso tenha especificado IPv4 para Versão IP de túnel interno, se desejar, você poderá especificar os intervalos CIDR IPv4 nos lados do gateway do cliente e da AWS que têm permissão para se comunicar pelos túneis VPN. O padrão é 0.0.0.0/0.

    Caso tenha especificado IPv6 para Versão IP de túnel interno, se desejar, você poderá especificar os intervalos CIDR IPv6 nos lados do gateway do cliente e da AWS que têm permissão para se comunicar pelos túneis da VPN. O padrão para ambos os intervalos é ::/0.

  17. Em Tipo de endereço IP externo, escolha PrivateIpv4.

  18. Em Transport attachment ID (ID do anexo de transporte), escolha o anexo do gateway de trânsito para o gateway do Direct Connect apropriado.

  19. Escolha Criar conexão VPN.

nota

A opção Enable acceleration (Habilitar a aceleração) não é aplicável para conexões VPN sobre o Direct Connect.

Para criar um gateway do cliente usando a linha de comando ou a API