Inizia con AWS Site-to-Site VPN - AWS Site-to-Site VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inizia con AWS Site-to-Site VPN

Per configurare una AWS Site-to-Site VPN connessione, utilizzare la procedura seguente. Durante la creazione dovrai specificare un gateway privato virtuale, un gateway di transito oppure "Non associato" come tipo di gateway di destinazione. Se specifichi «Non associato», puoi scegliere il tipo di gateway di destinazione in un secondo momento oppure puoi usarlo come VPN allegato per AWS CloudWAN. Questo tutorial ti aiuta a creare una VPN connessione utilizzando un gateway privato virtuale. Si presuppone che tu ne abbia una esistente VPC con una o più sottoreti.

Per configurare una VPN connessione utilizzando un gateway privato virtuale, completa i seguenti passaggi:

Attività correlate

Prerequisiti

Sono necessarie le seguenti informazioni per impostare e configurare i componenti di una VPN connessione.

Elemento Informazioni
Dispositivo gateway del cliente Il dispositivo fisico o software sul lato della VPN connessione. Sono necessari il fornitore (ad esempio, Cisco), la piattaforma (ad esempio, ISR Series Routers) e la versione del software (ad esempio, IOS 12.4).
Gateway del cliente Per creare la risorsa Customer Gateway in AWS, sono necessarie le seguenti informazioni:
  • L'indirizzo IP Internet instradabile per l'interfaccia esterna del dispositivo.

  • Il tipo di routing: statico o dinamico.

  • Per il routing dinamico, il Border Gateway Protocol (BGP) Autonomous System Number (ASN)

  • (Facoltativo) Certificato privato da AWS Private Certificate Authority cui autenticare VPN

Per ulteriori informazioni, consulta Opzioni gateway del cliente.

(Facoltativo) Il ASN per il AWS lato della sessione BGP

Specificare quando si crea un gateway virtuale privato o un gateway di transito. Se non si specifica un valore, viene ASN applicato il valore predefinito. Per ulteriori informazioni, consulta Gateway privato virtuale.

VPNconnessione Per creare la VPN connessione, sono necessarie le seguenti informazioni:

Fase 1: creazione di un gateway del cliente

Un Customer Gateway fornisce informazioni AWS sul dispositivo o sull'applicazione software Customer Gateway. Per ulteriori informazioni, consulta Gateway del cliente.

Se prevedi di utilizzare un certificato privato per autenticare il tuoVPN, crea un certificato privato da una CA subordinata utilizzando. AWS Private Certificate Authority Per informazioni sulla creazione di un certificato privato, consulta la sezione relativa alla creazione e gestione di una CA privata nella Guida per l'utente di AWS Private Certificate Authority .

Nota

È necessario specificare un indirizzo IP o l'Amazon Resource Name del certificato privato.

Per creare un gateway del cliente utilizzando la console
  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegli Gateway del cliente.

  3. Scegli Crea gateway del cliente.

  4. (Facoltativo) In Name (Nome), inserire un nome per il gateway del cliente. In questo modo viene creato un tag con una chiave di Name e il valore specificato.

  5. Per BGPASN, inserisci un Border Gateway Protocol (BGP) Autonomous System Number (ASN) per il tuo customer gateway.

  6. (Facoltativo) In IP Address (Indirizzo IP), inserire l'indirizzo IP Internet instradabile statico per il dispositivo gateway del cliente. Se il dispositivo gateway del cliente si trova dietro un NAT dispositivo abilitato per NAT -T, utilizza l'indirizzo IP pubblico del NAT dispositivo.

  7. (Facoltativo) Se desideri utilizzare un certificato privato, per Certificato ARN, scegli il nome Amazon Resource Name del certificato privato.

  8. (Opzionale) Per Dispositivo inserisci un nome per il dispositivo gateway del cliente associato a tale gateway del cliente.

  9. Scegli Crea gateway del cliente.

Per creare un gateway per i clienti utilizzando la riga di comando o API

Fase 2: creazione di un gateway di destinazione

Per stabilire una VPN connessione tra la tua rete VPC e quella locale, devi creare un gateway di destinazione sul AWS lato della connessione. Il gateway target può essere un gateway virtuale privato o un gateway di transito.

Creazione di gateway virtuale privato

Quando crei un gateway privato virtuale, puoi specificare un Autonomous System Number privato personalizzato (ASN) per il lato Amazon del gateway o utilizzare l'impostazione predefinita di AmazonASN. ASNDeve essere diverso da ASN quello specificato per il gateway del cliente.

Dopo aver creato un gateway privato virtuale, devi collegarlo al tuoVPC.

Per creare un gateway privato virtuale e collegarlo al VPC
  1. Nel riquadro di navigazione, scegli Gateway privati virtuali.

  2. Selezionare Create Virtual Private Gateway (Crea gateway virtuale privato).

  3. (Facoltativo) Inserisci un nome per il gateway privato virtuale per Tag del nome. In questo modo viene creato un tag con una chiave di Name e il valore specificato.

  4. Per Autonomous System Number (ASN), mantieni la selezione predefinitaASN, Amazon default, per utilizzare Amazon predefinitoASN. Altrimenti, scegli Personalizzato ASN e inserisci un valore. Per un formato a 16 bitASN, il valore deve essere compreso tra 64512 e 65534. Per un formato a 32 bitASN, il valore deve essere compreso tra 4200000000 e 4294967294.

  5. Selezionare Create Virtual Private Gateway (Crea gateway virtuale privato).

  6. Seleziona il gateway privato virtuale che hai creato, quindi scegli Azioni, Allega a. VPC

  7. Per Disponibile VPCs, scegli il tuo, VPC quindi scegli Allega a VPC.

Per creare un gateway privato virtuale utilizzando la riga di comando o API
Per collegare un gateway privato virtuale a un VPC utilizzando la riga di comando o API

Creazione di un gateway di transito

Per ulteriori informazioni sulla creazione di un gateway di transito, consulta Gateway di transito in Amazon VPC Transit Gateways.

Fase 3: configurazione dell'instradamento

Per consentire alle istanze del tuo dispositivo di VPC raggiungere il gateway del cliente, devi configurare la tabella di routing in modo da includere le rotte utilizzate dalla VPN connessione e indirizzarle verso il gateway privato virtuale o il gateway di transito.

(Gateway virtuale privato) Abilitazione della propagazione della route nella tabella di routing

È possibile abilitare la propagazione delle rotte per la tabella delle rotte per propagare Site-to-Site VPN automaticamente le rotte.

Per il routing statico, i prefissi IP statici specificati per la VPN configurazione vengono propagati alla tabella delle route quando lo stato della connessione è. VPN UP Analogamente, per il routing dinamico, le rotte BGP pubblicate dal gateway del cliente vengono propagate alla tabella delle rotte quando lo stato della connessione è lo è. VPN UP

Nota

Se la connessione viene interrotta ma la VPN connessione rimane attiva, tutte le rotte propagate presenti nella tabella delle rotte non vengono rimosse automaticamente. Ricordarlo se, ad esempio, si desidera che il traffico non vada a buon fine su una route statica. In tal caso, potrebbe essere necessario disabilitare la propagazione della route per rimuovere le route propagate.

Per abilitare la propagazione della route tramite la console
  1. Nel riquadro di navigazione, seleziona Tabelle di routing.

  2. Seleziona la tabella di routing associata alla sottorete.

  3. Nella scheda Propagazione dell'instradamento, scegli Modifica propagazione dell'instradamento. Seleziona il gateway privato virtuale creato nella procedura precedente e scegli Salva.

Nota

Se non abiliti la propagazione delle route, devi inserire manualmente le route statiche utilizzate dalla tua connessione. VPN A questo scopo, selezionare la tabella di routing, scegliere Routes (Route), Edit (Modifica). Per Destinazione, aggiungi la route statica utilizzata dalla tua Site-to-Site VPN connessione. In Target, selezionare l'ID gateway virtuale privato e scegliere Save (Salva).

Per disabilitare la propagazione delle route utilizzando la console
  1. Nel riquadro di navigazione, seleziona Tabelle di routing.

  2. Seleziona la tabella di routing associata alla sottorete.

  3. Nella scheda Propagazione dell'instradamento, scegli Modifica propagazione dell'instradamento. Deseleziona la casella di controllo Propaga relativa al gateway privato virtuale.

  4. Seleziona Salva.

Per abilitare la propagazione delle rotte utilizzando la riga di comando o API
Per disabilitare la propagazione delle rotte utilizzando la riga di comando o API

(Gateway di transito) Aggiunta di una route alla tabella di routing

Se hai abilitato la propagazione delle tabelle di routing per il tuo gateway di transito, le rotte per l'VPNallegato vengono propagate alla tabella delle rotte del gateway di transito. Per ulteriori informazioni, consulta Routing in Amazon VPC Transit Gateways.

Se colleghi un VPC gateway di transito e desideri abilitare le risorse in esso contenute per VPC raggiungere il gateway del cliente, devi aggiungere un percorso alla tabella di routing della sottorete che punti al gateway di transito.

Per aggiungere un percorso a una tabella di VPC rotte
  1. Nel riquadro di navigazione, seleziona Tabelle di routing.

  2. Scegli la tabella dei percorsi associata alla tuaVPC.

  3. Nella scheda Route, scegli Modifica route.

  4. Scegli Aggiungi route.

  5. Nella colonna Destinazione, immetti l'intervallo di indirizzi IP di destinazione. Per Target (Destinazione) scegli il gateway di transito.

  6. Scegli Save changes (Salva modifiche).

Fase 4: aggiornamento del gruppo di sicurezza

Per consentire l'accesso alle istanze presenti nella reteVPC, è necessario aggiornare le regole del gruppo di sicurezza per abilitare l'ingresso e SSH RDP ICMP l'accesso.

Aggiunta di regole al gruppo di sicurezza per abilitare l'accesso
  1. Fai clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.

  2. Seleziona il gruppo di sicurezza per le istanze della tua istanza a VPC cui desideri consentire l'accesso.

  3. Nella scheda Inbound rules (Regole in entrata), seleziona Edit inbound rules (Modifica regole in entrata).

  4. Aggiungi regole che consentano l'ingresso SSH e ICMP l'accesso dalla rete, quindi scegli Salva regole. RDP Per ulteriori informazioni, consulta Lavora con le regole dei gruppi di sicurezza nella Amazon VPC User Guide.

Passaggio 5: crea una VPN connessione

Crea la VPN connessione utilizzando il gateway per il cliente in combinazione con il gateway privato virtuale o il gateway di transito che hai creato in precedenza.

Per creare una connessione VPN
  1. Nel riquadro di navigazione, scegli Site-to-Site VPNconnessioni.

  2. Scegli Crea VPN connessione.

  3. (Facoltativo) Per il tag Nome, inserisci un nome per la VPN connessione. In questo modo viene creato un tag con una chiave di Name e il valore specificato.

  4. Per Target gateway type (Tipo di gateway di destinazione), scegliere Virtual private gateway (Gateway virtuale privato) o Transit gateway (Gateway di transito). Quindi, scegliere il gateway virtuale privato o il gateway di transito creato in precedenza.

  5. Per Gateway del cliente, seleziona Esistente, quindi scegli il gateway del cliente creato in precedenza da ID gateway del cliente.

  6. Seleziona una delle opzioni di routing a seconda che il dispositivo gateway del cliente supporti il Border Gateway Protocol (BGP):

    • Se il tuo dispositivo Customer Gateway lo supportaBGP, scegli Dynamic (richiestoBGP).

    • Se il dispositivo gateway del cliente non lo supportaBGP, scegli Statico. Per i prefissi IP statici, specifica ogni prefisso IP per la rete privata della connessione. VPN

  7. Se il tipo di gateway di destinazione è un gateway di transito, per la versione Tunnel inside IP, specifica se i VPN tunnel supportano il traffico o lo supportano. IPv4 IPv6 IPv6il traffico è supportato solo per VPN le connessioni su un gateway di transito.

  8. Se hai specificato IPv4la versione Tunnel inside IP, puoi facoltativamente specificare gli IPv4 CIDR intervalli per il gateway del cliente e AWS i lati autorizzati a comunicare attraverso i VPN tunnel. Il valore predefinito è 0.0.0.0/0.

    Se hai specificato IPv6la versione Tunnel inside IP, puoi facoltativamente specificare gli IPv6 CIDR intervalli per il gateway del cliente e AWS i lati autorizzati a comunicare attraverso i tunnel. VPN Il valore predefinito per entrambi gli intervalli è ::/0.

  9. Per il tipo di indirizzo IP esterno, mantieni l'opzione predefinita, PublicIpv 4.

  10. (Facoltativo) per Opzioni tunnel, è possibile specificare le seguenti informazioni per ciascun tunnel:

    • Un IPv4 CIDR blocco di dimensione /30 compreso nell'169.254.0.0/16intervallo per gli IPv4 indirizzi interni del tunnel.

    • Se hai specificato IPv6per la versione Tunnel inside IP, un IPv6 CIDR blocco /126 dall'fd00::/8intervallo per gli indirizzi interni del tunnelIPv6.

    • La chiave IKE precondivisa ()PSK. Sono supportate le seguenti versioni: IKEv1 oIKEv2.

    • Per modificare le opzioni avanzate del tunnel, scegli Modifica le opzioni tunnel. Per ulteriori informazioni, consulta Opzioni tunnel VPN.

  11. Scegli Crea VPN connessione. Potrebbero essere necessari alcuni minuti per creare la VPN connessione.

Per creare una VPN connessione utilizzando la riga di comando o API

Fase 6: download del file di configurazione

Dopo aver creato la VPN connessione, puoi scaricare un file di configurazione di esempio da utilizzare per configurare il dispositivo gateway del cliente.

Importante

Il file di configurazione è solo un esempio e potrebbe non corrispondere completamente alle impostazioni di VPN connessione previste. Specifica i requisiti minimi per una VPN connessione di AES128SHA1, e il gruppo Diffie-Hellman 2 nella maggior parte delle AWS regioni e AES128SHA2, e il gruppo Diffie-Hellman 14 nelle regioni. AWS GovCloud Specifica anche le chiavi precondivise per autenticazione. È necessario modificare il file di configurazione di esempio per sfruttare algoritmi di sicurezza aggiuntivi, gruppi Diffie-Hellman, certificati privati e traffico. IPv6

Abbiamo introdotto il IKEv2 supporto nei file di configurazione per molti dispositivi gateway per i clienti più diffusi e continueremo ad aggiungere altri file nel tempo. Per un elenco dei file di configurazione con IKEv2 supporto, consultaAWS Site-to-Site VPN dispositivi gateway per i clienti.

Autorizzazioni

Per caricare correttamente la schermata di configurazione del download da AWS Management Console, devi assicurarti che il tuo IAM ruolo o utente disponga dell'autorizzazione per il seguente Amazon EC2APIs: GetVpnConnectionDeviceTypes eGetVpnConnectionDeviceSampleConfiguration.

Download del file di configurazione mediante la console
  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegli Site-to-Site VPNconnessioni.

  3. Seleziona la tua VPN connessione e scegli Scarica configurazione.

  4. Seleziona il fornitore, la piattaforma, il software e la IKEversione che corrispondono al dispositivo gateway del cliente. Se il dispositivo non è presente nell'elenco, scegliere Generic (Generico).

  5. Scegli Download (Scarica).

Per scaricare un file di configurazione di esempio utilizzando la riga di comando o API

Fase 7: configurazione del dispositivo gateway del cliente

Utilizza il file di configurazione di esempio per configurare il dispositivo gateway del cliente. Il dispositivo gateway per il cliente è l'appliance fisica o software sul lato della connessione. VPN Per ulteriori informazioni, consulta AWS Site-to-Site VPN dispositivi gateway per i clienti.