Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Opciones de soluciones de inspección de tráfico en línea
Las tres secciones siguientes describen los flujos de datos para la inspección del tráfico mediante dispositivos de firewall de terceros en un AWS entorno con puntos finales de Gateway Load Balancer y Gateway Load Balancer:
+ [VPC-to-VPC inspección de tráfico](vpc-to-vpc-traffic-inspection.md)
+ [VPC-to-on-premises inspección de tráfico](vpc-on-premises-traffic-inspection.md)
+ [Inspección del tráfico saliente a través de una puerta de enlace de NAT y una puerta de enlace de Internet](outbound-traffic-inspection-nat-gateway.md)
Los siguientes recursos se utilizan en las tres opciones de esta solución:
+ Disco específico VPCs para alojar cargas de trabajo o aplicaciones.
+ Una VPC para alojar dispositivos de firewall.
+ Una subred dedicada para la interfaz de red elástica Transit Gateway para cada zona de disponibilidad del radio y el dispositivo VPCs.
+ El modo de dispositivo está activado para la conexión de la VPC de dispositivo.
+ Subredes dedicadas para los puntos de conexión del equilibrador de carga de la puerta de enlace en cada zona de disponibilidad.
+ Una puerta de enlace de tránsito para interconectar VPCs, además de proporcionar conectividad local a través de la interfaz virtual y la puerta de enlace de Transit Direct Connect Gateway o con un adjunto de VPN para. AWS Site-to-Site VPN
# VPC-to-VPC inspección de tráfico
VPC-to-VPC la inspección de tráfico se produce cuando el tráfico se origina en una VPC y se destina a otra VPC. El tráfico se redirige a la VPC de un dispositivo para su inspección de tráfico antes de llegar a la VPC de destino. En el siguiente diagrama, se muestra cómo fluye el tráfico si una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en la `Workload spoke VPC1` necesita comunicarse con una instancia de EC2 en la `Workload spoke VPC2`.
![\[Diagrama de arquitectura de inspección de tráfico entre dos radios VPCs y un dispositivo VPC\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/2-vpc-to-vpc.png)
En este caso de uso, las dos VPC de radio alojan las instancias de EC2 de la carga de trabajo en dos zonas de disponibilidad y una VPC de dispositivo aloja los dispositivos de firewall de terceros para la inspección del tráfico. VPCs Están interconectados mediante AWS Transit Gateway. En el diagrama, se muestra el siguiente flujo de paquetes cuando una instancia de EC2 en la `Workload spoke VPC1` de la zona de disponibilidad 1 envía un paquete a una instancia en la `Workload spoke VPC2` de la zona de disponibilidad 1:
1. El paquete de una instancia de EC2 en la `Workload spoke VPC1` de la zona de disponibilidad 1 va a la interfaz de red elástica de Transit Gateway de la subred de puerta de enlace de tránsito de la zona de disponibilidad 1.
1. Según la ruta predeterminada definida en la tabla de enrutamiento de VPC, el paquete aterriza en la puerta de enlace de tránsito.
1. En la puerta de enlace de tránsito, la tabla de enrutamiento de la puerta de enlace de tránsito radial está asociada a la conexión de la `Workload spoke VPC1`, lo que determina el siguiente salto.
1. El siguiente salto es la VPC de dispositivo. Debido a que la conexión de la VPC de dispositivo tiene el modo de dispositivo activado, la puerta de enlace de tránsito determina a qué interfaz de red elástica de Transit Gateway reenviar el tráfico, en función de las 4 tuplas del paquete IP.
1. Si Transit Gateway elige la interfaz de red elástica de Transit Gateway en la zona de disponibilidad 1 de la `Appliance VPC`, el tráfico se queda en la zona de disponibilidad 1 tanto para el tráfico de solicitud como para el de respuesta.
1. El tráfico se envía al `Gateway Load Balancer endpoint 1` en la zona de disponibilidad 1.
1. El punto final del Gateway Load Balancer se conecta de forma lógica al Gateway Load Balancer mediante. AWS PrivateLink El equilibrador de carga de la puerta de enlace utiliza el algoritmo hash de 4 tuplas para seleccionar un dispositivo de firewall durante la vida útil del flujo y, a continuación, reenvía el tráfico para su inspección a ese dispositivo de la `Appliance VPC` en la zona de disponibilidad 1. El equilibrador de carga de la puerta de enlace crea un túnel GENEVE entre él y el dispositivo de firewall.
1. El tráfico se inspecciona según la política de firewall.
1. Una vez que el paquete se inspecciona correctamente, se envía de vuelta al equilibrador de carga de la puerta de enlace y, a continuación, al punto de conexion del equilibrador de carga de la puerta de enlace en la `Appliance VPC` de la zona de disponibilidad 1.
1. En el punto de conexión del equilibrador de carga de la puerta de enlace, el paquete se envía a la puerta de enlace de tránsito según la tabla de enrutamiento de VPC.
1. Una vez que el paquete llega a la puerta de enlace de tránsito, examina la tabla de enrutamiento asociada a la red `10.2.0.0/16`, que es la red de destino.
1. El paquete se envía a la interfaz de red elástica de Transit Gateway en la `Workload spoke VPC2` de la zona de disponibilidad 1 antes de llegar a la instancia de EC2 de destino. El tráfico de retorno sigue la misma ruta pero a la inversa.
**nota**
Transit Gateway mantiene la afinidad entre zonas de disponibilidad y utiliza la misma zona de disponibilidad en la que se crearon las solicitudes originales. Por ejemplo, si una instancia de EC2 en la `Workload spoke VPC2` de la zona de disponibilidad 2 inició la solicitud, el paquete se reenvía a la subred de la interfaz de red elástica de Transit Gateway en la `Workload spoke VPC2` de la zona de disponibilidad 2, aterriza en la puerta de enlace de tránsito y, a continuación, se reenvía a la subred de la interfaz de red elástica de Transit Gateway en la zona de disponibilidad 2 de la VPC de destino. Al activar el modo de dispositivo en la VPC de dispositivo, puede asegurarse de que el flujo de simetría se mantenga mediante el hash de 4 tuplas durante la vida útil del tráfico.
# VPC-to-on-premises inspección de tráfico
En el siguiente diagrama, se muestra el flujo de trafico si una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en la `Workload spoke VPC1` desea comunicarse con un servidor en las instalaciones.
![\[El flujo de tráfico entre una instancia de Amazon EC2 en la VPC de radio 1 y un servidor en las instalaciones\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/3-vpc-to-onprem.png)
En el diagrama, se muestra el siguiente flujo de trabajo:
1. Un paquete de una instancia de EC2 en la `Workload spoke VPC 1` de la zona de disponibilidad 1 llega a la interfaz de red elástica de Transit Gateway de la zona de disponibilidad 1 en la subred de la puerta de enlace de tránsito para la `Workload spoke VPC 1`. Según la tabla de enrutamiento de VPC asociada a la subred de la interfaz de red elástica de Transit Gateway, el paquete aterriza en la puerta de enlace de tránsito.
1. En la puerta de enlace de tránsito, la `Spoke transit gateway route table` está asociada a la conexión de la `Workload spoke VPC 1` y esto determina el siguiente salto.
1. El siguiente salto es la VPC de dispositivo. Según el hash de 4 tuplas de la vida útil de un flujo, Transit Gateway determina a qué interfaz de red elástica de Transit Gateway se debe enviar el tráfico.
1. Si Transit Gateway elige la interfaz de red elástica de Transit Gateway en la zona de disponibilidad 1, comprueba la tabla de enrutamiento de VPC asociada a la subred de la interfaz de red elástica de Transit Gateway en la zona de disponibilidad 1 de la VPC de dispositivo. Transit Gateway dirige el tráfico al punto de conexión del equilibrador de carga de la puerta de enlace en la zona de disponibilidad 1.
1. El punto final del balanceador de carga de la puerta de enlace se conecta de manera lógica al balanceador de carga de la puerta de enlace a través AWS PrivateLink del cual, a continuación, reenvía el tráfico al dispositivo de firewall para su inspección. El equilibrador de carga de la puerta de enlace crea un túnel GENEVE entre el equilibrador de carga de la puerta de enlace y los dispositivos de firewall.
1. Si se permite el tráfico, el paquete se devuelve al equilibrador de carga de la puerta de enlace y al punto de conexión del equilibrador de carga de la puerta de enlace en la zona de disponibilidad 1.
1. En el punto de conexión del equilibrador de carga de la puerta de enlace, el paquete comprueba la tabla de enrutamiento de VPC y el siguiente salto es la puerta de enlace de tránsito.
1. El paquete llega a la puerta de enlace de tránsito y realiza una búsqueda en la tabla de enrutamiento de la puerta de enlace de tránsito del dispositivo que está asociada a la conexión de la VPC de dispositivo para el siguiente salto a la red `172.16.0.0/16`.
1. A continuación, el paquete se envía al servidor de destino en las instalaciones. El tráfico de respuesta sigue la misma ruta pero a la inversa.
# Inspección del tráfico saliente a través de una puerta de enlace de NAT y una puerta de enlace de Internet
En el siguiente diagrama, se muestra el flujo de trabajo si necesita inspeccionar el tráfico saliente que se origina desde una VPC hacia Internet.
![\[Inspeccione el tráfico de una VPC a Internet a través de una puerta de enlace de NAT y una puerta de enlace de Internet.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/4-outbound-inspection.png)
En el diagrama, se muestra el siguiente flujo de trabajo:
1. El paquete de una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en la `Workload spoke VPC1` de la zona de disponibilidad 1 llega a la interfaz de red elástica de Transit Gateway en la zona de disponibilidad 1. Según la tabla de `Workload spoke VPC1` rutas asociada a la fuente, el paquete llega a la Transit Gateway.
1. En Transit Gateway, la tabla de enrutamiento de la puerta de enlace de tránsito radial está asociada a la conexión de la `Workload spoke VPC1`, lo que determina el siguiente salto.
1. El siguiente salto es la `Appliance VPC`. Transit Gateway determina a qué interfaz de red elástica de Transit Gateway se debe enviar el tráfico en función del hash de 4 tuplas.
1. Si la puerta de enlace de tránsito elige la interfaz de red elástica de Transit Gateway en la zona de disponibilidad 2, luego comprueba la tabla de enrutamiento de VPC asociada a la subred de la interfaz de red elástica de Transit Gateway en la zona de disponibilidad 2 para la `Appliance VPC` y, a continuación, envía el tráfico al punto de conexión del equilibrador de carga de la puerta de enlace en función de la ruta predeterminada.
1. El punto final del Gateway Load Balancer está conectado de forma lógica al Gateway Load Balancer a través de él AWS PrivateLink , que reenvía el tráfico al dispositivo de firewall para su inspección. El equilibrador de carga de la puerta de enlace crea un túnel GENEVE entre él y los dispositivos de firewall.
1. Si se permite el tráfico, el paquete se devuelve al equilibrador de carga de la puerta de enlace y al punto de conexión del equilibrador de carga de la puerta de enlace en la zona de disponibilidad 1 desde donde proviene en función de los metadatos adjuntos a la carga útil.
1. En el punto de conexión del equilibrador de carga de la puerta de enlace de la zona de disponibilidad 1, el paquete comprueba la tabla de enrutamiento de VPC para determinar el siguiente salto.
1. El paquete llega a la `NAT gateway 1` y busca la tabla de enrutamiento de la puerta de enlace de NAT, siendo la puerta de enlace de Internet la ruta predeterminada.
1. Luego, el paquete se envía a su destino a través de la puerta de enlace de Internet. El tráfico de retorno sigue la misma ruta pero a la inversa.