Come AWS Site-to-Site VPN funziona - AWS Site-to-Site VPN
Gateway privato virtualeTransit GatewayDispositivo gateway del clienteGateway del clienteIPv6 Connessioni VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come AWS Site-to-Site VPN funziona

Una connessione Site-to-Site VPN è composta dai seguenti componenti:

La connessione VPN offre due tunnel VPN tra un gateway privato virtuale o un gateway di transito sul AWS lato e un gateway per i clienti sul lato locale.

Per ulteriori informazioni sulle quote Site-to-Site VPN, consulta. AWS Site-to-Site VPN quote

Gateway privato virtuale

Un gateway privato virtuale è il concentratore VPN sul lato Amazon della connessione Site-to-Site VPN. Crei un gateway privato virtuale e lo colleghi a un cloud privato virtuale (VPC) con risorse che devono accedere alla Site-to-Site connessione VPN.

Il diagramma seguente mostra una connessione VPN tra un VPC e la rete on-premise utilizzando un gateway privato virtuale.

Il VPC con un gateway privato virtuale collegato e una connessione VPN alla rete on-premise.

Quando crei un gateway virtuale privato, puoi specificare un Autonomous System Number (ASN) privato per il lato Amazon del gateway. Se non specifichi un ASN, il gateway virtuale privato viene creato con l'ASN predefinito (64512). Dopo aver creato il gateway virtuale privato, non puoi modificare l'ASN. Per controllare l'ASN del tuo gateway privato virtuale, visualizzane i dettagli nella pagina Gateway privati virtuali nella console Amazon VPC oppure usa il comando. describe-vpn-gateways AWS CLI

Nota

I gateway privati virtuali non supportano IPv6 le connessioni VPN. Site-to-Site Se hai bisogno di IPv6 assistenza, usa un gateway di transito o una Cloud WAN per la tua connessione VPN.

Transit Gateway

Un gateway di transito è un hub di transito che puoi utilizzare per interconnettere le tue VPCs reti e quelle locali. Per ulteriori informazioni, consulta Gateway di transito di Amazon VPC. È possibile creare una connessione Site-to-Site VPN come allegato su un gateway di transito.

Il diagramma seguente mostra una connessione VPN tra più reti VPCs e la rete locale utilizzando un gateway di transito. Il gateway di transito dispone di tre collegamenti VPC e un collegamento VPN.

Un gateway di transito con tre collegamenti VPC e un collegamento VPN.

La tua connessione Site-to-Site VPN su un gateway di transito può supportare IPv4 il IPv6 traffico all'interno dei tunnel VPN (indirizzi IP interni). Inoltre, i gateway di transito supportano IPv6 gli indirizzi IP del tunnel esterno. Per ulteriori informazioni, consulta IPv4 e IPv6 traffico in entrata AWS Site-to-Site VPN.

È possibile modificare il gateway di destinazione di una connessione Site-to-Site VPN da un gateway privato virtuale a un gateway di transito. Per ulteriori informazioni, consulta Modifica il gateway di destinazione di una AWS Site-to-Site VPN connessione.

Dispositivo gateway del cliente

Un dispositivo gateway per il cliente è un dispositivo fisico o un'applicazione software sul lato della connessione Site-to-Site VPN. Il dispositivo viene configurato in modo che funzioni con la connessione Site-to-Site VPN. Per ulteriori informazioni, consulta AWS Site-to-Site VPN dispositivi gateway per i clienti.

Per impostazione predefinita, il dispositivo gateway del cliente deve attivare i tunnel per la connessione Site-to-Site VPN generando traffico e avviando il processo di negoziazione Internet Key Exchange (IKE). È possibile configurare la connessione Site-to-Site VPN per specificare che AWS deve invece avviare il processo di negoziazione IKE. Per ulteriori informazioni, consulta AWS Site-to-Site VPN opzioni di avvio del tunnel.

Se utilizzi IPv6 gli indirizzi IP del tunnel esterno, il dispositivo gateway del cliente deve supportare l' IPv6 indirizzamento ed essere in grado di stabilire IPsec tunnel con endpoint. IPv6

Gateway del cliente

Un gateway del cliente è una risorsa creata in AWS che rappresenta il dispositivo gateway del cliente nella rete locale. Quando crei un gateway per i clienti, fornisci informazioni sul tuo dispositivo a. AWS Per ulteriori informazioni, consulta Opzioni gateway per i clienti per la tua AWS Site-to-Site VPN connessione.

Un gateway del cliente e un dispositivo gateway del cliente.

Per utilizzare Amazon VPC con una connessione Site-to-Site VPN, tu o il tuo amministratore di rete dovete anche configurare il dispositivo o l'applicazione gateway del cliente nella rete remota. Quando crei la connessione Site-to-Site VPN, ti forniamo le informazioni di configurazione richieste e il tuo amministratore di rete in genere esegue questa configurazione. Per informazioni sui requisiti e sulla configurazione del gateway del cliente, consulta AWS Site-to-Site VPN dispositivi gateway per i clienti.

IPv6 gateway per i clienti

Quando si crea un gateway per i clienti da utilizzare con IPv6 outer tunnel IPs, si specifica un IPv6 indirizzo anziché un IPv4 indirizzo. Puoi creare un gateway per i IPv6 clienti utilizzando la console di AWS gestione o la AWS CLI.

Per creare un gateway per i IPv6 clienti utilizzando la AWS CLI, utilizzate il seguente comando:

aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

L' IPv6 indirizzo deve essere un indirizzo valido e instradabile su Internet per il dispositivo gateway del IPv6 cliente.

IPv6 Connessioni VPN

Site-to-Site Le connessioni VPN supportano le seguenti IPv6 configurazioni:

  • IPv4 tunnel esterno con pacchetti IPv4 interni - La funzionalità IPv4 VPN di base supportata su Virtual Private Gateway (VGW), Transit Gateway (TGW) e Cloud WAN.

  • IPv4 tunnel esterno con pacchetti IPv6 interni: consente le IPv6 applicazioni/il trasporto all'interno del tunnel VPN. Supportato su TGW e Cloud WAN (non supportato su VGW).

  • IPv6 tunnel esterno con pacchetti IPv6 interni: consente la IPv6 migrazione completa con IPv6 indirizzi sia per il tunnel IPs esterno che per il pacchetto interno. IPs Supportato su TGW e Cloud WAN.

  • IPv6 tunnel esterno con pacchetti IPv4 interni: consente l'indirizzamento del tunnel IPv6 esterno supportando al contempo IPv4 le applicazioni legacy all'interno del tunnel. Supportato su TGW e Cloud WAN.

Per creare una connessione VPN con tunnel IPv6 esterno IPs, è necessario specificare al OutsideIPAddressType=Ipv6 momento della creazione della connessione VPN. AWS configura automaticamente IPv6 gli indirizzi dei tunnel esterni per il lato AWS dei tunnel VPN.

Esempio di comando CLI per creare una connessione VPN con tunnel IPv6 esterno IPs e tunnel IPv6 interno: IPs

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

È possibile visualizzare gli IPv6 indirizzi assegnati alla connessione VPN utilizzando il comando describe-vpn-connection CLI.