Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Site-to-Site VPN architektonische Szenarien
Im Folgenden sind Szenarien aufgeführt, in denen Sie mehrere VPN-Verbindungen mit einem oder mehreren Kunden-Gateway-Geräten erstellen könnten.
**Mehrere VPN-Verbindungen unter Verwendung desselben Kunden-Gateway-Geräts**
Sie können mit demselben Kunden-Gateway-Gerät zusätzliche VPN-Verbindungen von Ihrem lokalen Standort zu anderen VPCs herstellen. Sie können auf dem Kunden-Gateway eine einzige IP-Adresse für alle VPN-Verbindungen verwenden.
**Mehrere Kunden-Gateway-Geräte zu einem einzigen virtuellen privaten Gateway ()Site-to-Site VPN CloudHub**
Sie können mehrere VPN-Verbindungen von mehreren Kunden-Gateway-Geräten mit einem einzelnen Virtual Private Gateway einrichten. Auf diese Weise können Sie mehrere Standorte mit dem AWS VPN verbinden CloudHub. Weitere Informationen finden Sie unter [Sichere Kommunikation zwischen AWS Site-to-Site VPN Verbindungen mithilfe von VPN CloudHub](VPN_CloudHub.md). Wenn Sie über Kunden-Gateway-Geräte an mehreren geografischen Standorten verfügen, sollte jedes Gerät einen eindeutigen Satz IP-Bereiche für den jeweiligen Standort ankündigen.
**Redundante VPN-Verbindung mit einem zweiten Kunden-Gateway-Gerät**
Zum Schutz vor einem Verbindungsverlust, wenn Ihr Kunden-Gateway-Gerät nicht mehr verfügbar ist, können Sie eine zweite VPN-Verbindung mit einem zweiten Kunden-Gateway-Gerät einrichten. Weitere Informationen finden Sie unter [Redundante AWS Site-to-Site VPN Verbindungen für Failover](vpn-redundant-connection.md). Wenn Sie redundante Kunden-Gateway-Geräte an einem Standort einrichten, sollten beide Geräte dieselben IP-Bereiche ankündigen.
Die folgenden Site-to-Site VPN-Architekturen sind gebräuchlich:
+ [Einzel- und Mehrfach-VPN-Verbindungen](Examples.md)
+ [Redundante AWS Site-to-Site VPN Verbindungen für Failover](vpn-redundant-connection.md)
+ [Sichere Kommunikation zwischen VPN-Verbindungen mithilfe von VPN CloudHub](VPN_CloudHub.md)
# AWS Site-to-Site VPN Beispiele für einzelne und mehrere VPN-Verbindungen
Die folgenden Diagramme veranschaulichen einzelne und mehrere Site-to-Site VPN-Verbindungen.
**Topics**
+ [Einzelne Site-to-Site VPN-Verbindung](#SingleVPN)
+ [Einzelne Site-to-Site VPN-Verbindung mit einem Transit-Gateway](#SingleVPN-transit-gateway)
+ [Mehrere Site-to-Site VPN-Verbindungen](#MultipleVPN)
+ [Mehrere Site-to-Site VPN-Verbindungen mit einem Transit-Gateway](#MultipleVPN-transit-gateway)
+ [Site-to-Site VPN-Verbindung mit Direct Connect](#vpn-direct-connect)
+ [Private Site-to-Site IP-VPN-Verbindung mit Direct Connect](#private-ip-direct-connect)
## Einzelne Site-to-Site VPN-Verbindung
Die VPC verfügt über ein hinzugefügtes Virtual Private Gateway. Ihr On-Premises-Netzwerk (Remote) enthält ein Kunden-Gateway-Gerät, das Sie konfigurieren müssen, um die VPN-Verbindung zu aktivieren. Sie müssen die VPN-Routing-Tabellen so aktualisieren, dass jeglicher Datenverkehr von der VPC zu Ihrem Netzwerk über das Virtual Private Gateway geleitet wird.
![\[Eine VPC mit einem angefügten Virtual Private Gateway und eine VPN-Verbindung zu Ihrem On-Premises-Netzwerk.\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)
Schritte zum Einrichten dieses Szenarios finden Sie unter [Fangen Sie an mit AWS Site-to-Site VPN](SetUpVPNConnections.md).
## Einzelne Site-to-Site VPN-Verbindung mit einem Transit-Gateway
Die VPC verfügt über ein angefügtes Transit-Gateway. Ihr On-Premises-Netzwerk (Remote) enthält ein Kunden-Gateway-Gerät, das Sie konfigurieren müssen, um die VPN-Verbindung zu aktivieren. Sie müssen die VPN-Routing-Tabellen so aktualisieren, dass jeglicher Datenverkehr von der VPC zu Ihrem Netzwerk über das Transit-Gateway geleitet wird.
![\[Eine einzelne Site-to-Site VPN-Verbindung mit einem Transit-Gateway.\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)
Schritte zum Einrichten dieses Szenarios finden Sie unter [Fangen Sie an mit AWS Site-to-Site VPN](SetUpVPNConnections.md).
## Mehrere Site-to-Site VPN-Verbindungen
Die VPC verfügt über ein angeschlossenes virtuelles privates Gateway, und Sie haben mehrere Site-to-Site VPN-Verbindungen zu mehreren lokalen Standorten. Sie richten das Routing so ein, dass der gesamte VPC-Datenverkehr, der für Ihr Netzwerk vorgesehen ist, zum Virtual Private Gateway geleitet wird.
![\[Layout mit mehreren VPNs Site-to-Site\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/branch-offices-vgw.png)
Wenn Sie mehrere Site-to-Site VPN-Verbindungen zu einer einzelnen VPC erstellen, können Sie ein zweites Kunden-Gateway konfigurieren, um eine redundante Verbindung zu demselben externen Standort herzustellen. Weitere Informationen finden Sie unter [Redundante AWS Site-to-Site VPN Verbindungen für Failover](vpn-redundant-connection.md).
Sie können dieses Szenario auch verwenden, um Site-to-Site VPN-Verbindungen zu mehreren geografischen Standorten herzustellen und eine sichere Kommunikation zwischen Standorten zu gewährleisten. Weitere Informationen finden Sie unter [Sichere Kommunikation zwischen AWS Site-to-Site VPN Verbindungen mithilfe von VPN CloudHub](VPN_CloudHub.md).
## Mehrere Site-to-Site VPN-Verbindungen mit einem Transit-Gateway
Die VPC verfügt über ein angeschlossenes Transit-Gateway, und Sie haben mehrere Site-to-Site VPN-Verbindungen zu mehreren lokalen Standorten. Sie richten das Routing so ein, dass der gesamte Datenverkehr von der VPC, der für Ihre Netzwerke bestimmt ist, zum Transit-Gateway geleitet wird.
![\[Mehrere Site-to-Site VPN-Verbindungen mit einem Transit-Gateway\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/branch-offices-tgw.png)
Wenn Sie mehrere Site-to-Site VPN-Verbindungen zu einem einzelnen Transit-Gateway erstellen, können Sie ein zweites Kunden-Gateway konfigurieren, um eine redundante Verbindung zu demselben externen Standort herzustellen.
Sie können dieses Szenario auch verwenden, um Site-to-Site VPN-Verbindungen zu mehreren geografischen Standorten herzustellen und eine sichere Kommunikation zwischen Standorten zu gewährleisten.
## Site-to-Site VPN-Verbindung mit Direct Connect
Die VPC verfügt über ein angeschlossenes virtuelles privates Gateway und stellt über eine Verbindung zu Ihrem lokalen (Remote-) Netzwerk eine Verbindung her. AWS Direct Connect Sie können eine Direct Connect öffentliche virtuelle Schnittstelle konfigurieren, um über ein virtuelles privates Gateway eine dedizierte Netzwerkverbindung zwischen Ihrem Netzwerk und öffentlichen AWS Ressourcen herzustellen. Sie richten das Routing so ein, dass der gesamte Datenverkehr von der VPC, der für Ihr Netzwerk bestimmt ist, an das Virtual Private Gateway und die Direct Connect Verbindung weitergeleitet wird.
![\[Site-to-Site VPN-Verbindung mit Direct Connect\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/vpn-direct-connect.png)
Wenn Direct Connect sowohl die VPN-Verbindung als auch die VPN-Verbindung auf demselben virtuellen privaten Gateway eingerichtet sind, kann das Hinzufügen oder Entfernen von Objekten dazu führen, dass das virtuelle private Gateway in den Status „Anhängen“ wechselt. Dies deutet darauf hin, dass eine Änderung am internen Routing vorgenommen wird, das zwischen Direct Connect und der VPN-Verbindung wechselt, um Unterbrechungen und Paketverlust zu minimieren. Wenn dies abgeschlossen ist, kehrt das Virtual Private Gateway in den Status „anfügen“ zurück.
## Private Site-to-Site IP-VPN-Verbindung mit Direct Connect
Mit einem privaten Site-to-Site IP-VPN können Sie den Direct Connect Verkehr zwischen Ihrem lokalen Netzwerk und AWS ohne die Verwendung öffentlicher IP-Adressen verschlüsseln. Private IP VPN Over Direct Connect stellt sicher, dass der Datenverkehr zwischen AWS und lokalen Netzwerken sowohl sicher als auch privat ist, sodass Kunden die gesetzlichen Vorschriften und Sicherheitsvorschriften einhalten können.
![\[Private Site-to-Site IP-VPN-Verbindung mit Direct Connect\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/private-ip-dx.png)
Weitere Informationen finden Sie im folgenden Blogbeitrag: [Einführung in AWS Site-to-Site VPN Private IP VPNs](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-private-ip-vpns/).
# Sichere Kommunikation zwischen AWS Site-to-Site VPN Verbindungen mithilfe von VPN CloudHub
Wenn Sie mehrere AWS Site-to-Site VPN Verbindungen haben, können Sie mithilfe des AWS VPN CloudHub eine sichere Kommunikation zwischen Standorten bereitstellen. Dies ermöglicht den Standorten die Kommunikation untereinander und nicht nur mit den Ressourcen in Ihrer VPC. Das VPN CloudHub arbeitet nach einem einfachen hub-and-spoke Modell, das Sie mit oder ohne VPC verwenden können. Dieses Design eignet sich, wenn Sie über mehrere Niederlassungen und bestehende Internetverbindungen verfügen und ein praktisches, potenziell kostengünstiges hub-and-spoke Modell für die Primär- oder Backup-Konnektivität zwischen diesen Standorten implementieren möchten.
## -Übersicht
Das folgende Diagramm zeigt die CloudHub VPN-Architektur. Die gestrichelten Linien zeigen den Netzwerkverkehr zwischen entfernten Standorten, der über die VPN-Verbindungen geleitet wird. Die IP-Bereiche der Standorte dürfen sich nicht überschneiden.
![\[CloudHub Architekturdiagramm\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/AWS_VPN_CloudHub-diagram.png)
Führen Sie für dieses Szenario die folgenden Schritte aus:
1. Erstellen Sie ein einzelnes Virtual Private Gateway.
1. Erstellen Sie mehrere Kunden-Gateways, jedes mit der öffentlichen IP-Adresse des Gateways. Sie müssen eine eindeutige Border Gateway Protocol (BGP) Autonomous System Number (ASN) für jedes Kunden-Gateway verwenden.
1. Erstellen Sie eine dynamisch geroutete Site-to-Site VPN-Verbindung von jedem Kunden-Gateway zum gemeinsamen Virtual Private Gateway.
1. Konfigurieren Sie die Kunden-Gateway-Geräte so, dass dem Virtual Private Gateway ein standortspezifisches Präfix (z. B. 10.0.0.0/24, 10.0.1.0/24) vorangestellt wird. Diese Routing-Ankündigungen werden empfangen und jedem BGP-Peer neu angekündigt, sodass jeder Standort Daten senden und von anderen Standorten Daten empfangen kann. Dies erfolgt mithilfe der Netzwerkanweisungen in den VPN-Konfigurationsdateien für die Site-to-Site VPN-Verbindung. Die Netzwerkanweisungen unterscheiden sich etwas, je nachdem welchen Router-Typ Sie verwenden.
1. Konfigurieren Sie die Routen in Ihren Subnetz-Routing-Tabellen, damit die Instances in Ihrer VPC mit Ihren Standorten kommunizieren können. Weitere Informationen finden Sie unter [(Virtual Private Gateway) Aktivieren Sie die Routenverbreitung in Ihrer Routing-Tabelle](SetUpVPNConnections.md#vpn-configure-routing). Sie können eine aggregierte Route in Ihrer Routing-Tabelle konfigurieren (z. B. 10.0.0.0/16). Verwenden Sie spezifischere Präfixe zwischen Kunden-Gateway-Geräten und dem Virtual Private Gateway.
Websites, die Direct Connect Verbindungen zum Virtual Private Gateway verwenden, können ebenfalls Teil des AWS VPN sein CloudHub. Beispielsweise kann Ihre Unternehmenszentrale in New York eine Direct Connect Verbindung zur VPC haben und Ihre Niederlassungen können Site-to-Site VPN-Verbindungen zur VPC verwenden. Die Niederlassungen in Los Angeles und Miami können Daten untereinander und mit Ihrer Unternehmenszentrale senden und empfangen, und das alles über das AWS VPN. CloudHub
## Preisgestaltung
Um AWS VPN zu nutzen CloudHub, zahlen Sie die typischen Amazon Site-to-Site VPC-VPN-Verbindungsgebühren. Ihnen werden für jede Stunde, die die einzelnen VPNs mit dem Virtual Private Gateway verbunden sind, Verbindungsgebühren in Rechnung gestellt. Wenn Sie mithilfe des AWS VPN Daten von einem Standort zu einem anderen senden CloudHub, fallen keine Kosten für das Senden von Daten von Ihrer Site an das Virtual Private Gateway an. Sie bezahlen nur den standardmäßigen AWS -Übertragungssatz für Daten, die vom Virtual Private Gateway zu Ihrem Endpunkt übermittelt werden.
Wenn Sie beispielsweise einen Standort in Los Angeles und einen zweiten Standort in New York haben und beide Standorte über eine Site-to-Site VPN-Verbindung zum Virtual Private Gateway verfügen, zahlen Sie für jede Site-to-Site VPN-Verbindung den Stundensatz (wenn der Tarif also 0,05 USD pro Stunde betragen würde, wären dies insgesamt 0,10 USD pro Stunde). Sie zahlen auch die AWS Standard-Datenübertragungsgebühren für alle Daten, die Sie von Los Angeles nach New York (und umgekehrt) senden und die jede Site-to-Site VPN-Verbindung durchqueren. Netzwerkverkehr, der über die Site-to-Site VPN-Verbindung an das Virtual Private Gateway gesendet wird, ist kostenlos, aber Netzwerkverkehr, der über die Site-to-Site VPN-Verbindung vom Virtual Private Gateway zum Endpunkt gesendet wird, wird zum AWS Standard-Datenübertragungstarif abgerechnet.
Weitere Informationen finden Sie unter [Site-to-Site Preise für VPN-Verbindungen](https://aws.amazon.com/vpn/pricing/).
# Redundante AWS Site-to-Site VPN Verbindungen für Failover
Um sich vor einem Verbindungsverlust zu schützen, falls Ihr Kunden-Gateway-Gerät nicht verfügbar ist, können Sie eine zweite Site-to-Site VPN-Verbindung zu Ihrer VPC und Ihrem Virtual Private Gateway einrichten, indem Sie ein zweites Kunden-Gateway-Gerät hinzufügen. Durch die Verwendung redundanter VPN-Verbindungen und Kunden-Gateway-Geräte können Sie die Wartung auf einem Ihrer Kunden-Gateways durchführen, während der Datenverkehr weiter über die zweite VPN-Verbindung geleitet wird.
In der folgenden Abbildung zeigt zwei VPN-Verbindungen. Jede VPN-Verbindung hat ihre eigenen Tunnel und ihr eigenes Kunden-Gateway.
![\[Redundante VPN-Verbindungen zu zwei Kunden-Gateways für dasselbe lokale Netzwerk.\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/Multiple_Gateways_diagram.png)
Führen Sie für dieses Szenario die folgenden Schritte aus:
+ Richten Sie eine zweite Site-to-Site VPN-Verbindung ein, indem Sie dasselbe Virtual Private Gateway verwenden und ein neues Kunden-Gateway erstellen. Die Kunden-Gateway-IP-Adresse für die zweite Site-to-Site VPN-Verbindung muss öffentlich zugänglich sein.
+ Konfigurieren Sie ein zweites Kunden-Gateway-Gerät. Beide Geräte sollten dem Virtual Private Gateway dieselben IP-Bereiche angeben. Wir nutzen BGP-Routing, um den Pfad für den Datenverkehr zu ermitteln. Wenn ein Kunden-Gateway-Gerät ausfällt, leitet das Virtual Private Gateway den gesamten Datenverkehr an das andere Kunden-Gateway-Gerät um.
Dynamisch geroutete Site-to-Site VPN-Verbindungen verwenden das Border Gateway Protocol (BGP), um Routing-Informationen zwischen Ihren Kunden-Gateways und den Virtual Private Gateways auszutauschen. Bei statisch gerouteten Site-to-Site VPN-Verbindungen müssen Sie statische Routen für das Remote-Netzwerk auf Ihrer Seite des Kunden-Gateways eingeben. Über BGP angekündigte Routen und statisch eingegebene Routen-Informationen helfen den Gateways auf beiden Seiten zu erfassen, welche Tunnel verfügbar sind und den Datenverkehr im Falle eines Ausfalls umzuleiten. Wir empfehlen, dass Sie Ihr Netzwerk so konfigurieren, dass es die vom BGP bereitgestellten Routing-Informationen verwendet (sofern verfügbar), um einen verfügbaren Pfad auszuwählen. Die genaue Konfiguration hängt von der Architektur Ihres Netzwerks ab.
Weitere Informationen zum Erstellen und Konfigurieren eines Kunden-Gateways und einer Site-to-Site VPN-Verbindung finden Sie unter. [Fangen Sie an mit AWS Site-to-Site VPN](SetUpVPNConnections.md)