Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Pasarelas de tránsito en AWS Transit Gateway
<a name="tgw-transit-gateways"></a>

Una pasarela de tránsito te permite conectar conexiones VPN VPCs y enrutar el tráfico entre ellas. Una pasarela de transporte funciona de forma transversal y puedes utilizarla AWS RAM para compartirla con otras cuentas. Cuentas de AWS Después de compartir una pasarela de transporte público con otra Cuenta de AWS, el propietario de la cuenta puede adjuntarla VPCs a tu pasarela de transporte público. Un usuario de cualquiera de las cuentas puede eliminar la vinculación en cualquier momento.

Puede habilitar la multidifusión en una puerta de enlace de tránsito y, a continuación, crear un dominio de multidifusión de transit puerta de enlace que permita que el tráfico de multidifusión se envíe desde el origen de multidifusión a los miembros del grupo de multidifusión a través de conexiones de la VPC que asocie con el dominio.

Cada vinculación de VPC o VPN se asocia a una única tabla de enrutamiento. Dicha tabla decide el siguiente salto del tráfico procedente de la vinculación de ese recurso. Una tabla de rutas dentro de la pasarela de transporte IPv4 incluye IPv6 CIDRs ambos destinos. Los objetivos son VPCs las conexiones VPN. Al asociar una VPC o crear una conexión de VPN en una puerta de enlace de tránsito, la conexión se asocia con la tabla de enrutamiento predeterminada de la puerta de enlace de tránsito.

Puede crear tablas de enrutamiento adicionales dentro de la puerta de enlace de tránsito y cambiar la asociación de la VPC o VPN a dichas tablas. Esto le permite segmentar su red. Por ejemplo, puede VPCs asociar el desarrollo a una tabla de rutas y la producción VPCs a una tabla de rutas diferente. Esto le permite crear redes aisladas dentro de una puerta de enlace de tránsito similar al enrutamiento y reenvío virtuales (VRFs) de las redes tradicionales.

Las pasarelas de tránsito admiten el enrutamiento dinámico y estático entre las conexiones conectadas VPCs y las VPN. Puede habilitar o deshabilitar la propagación de rutas para cada vinculación. Los adjuntos de VPN Concentrator solo admiten el enrutamiento BGP (dinámico). Las vinculaciones de interconexión de puerta de enlace solo son compatibles con el enrutamiento estático. Puede dirigir las rutas de las tablas de enrutamiento de la puerta de enlace de tránsito a la vinculación de interconexión para enrutar el tráfico entre las puertas de enlace de tránsito interconectadas.

Si lo desea, puede asociar uno o más bloques IPv4 o bloques IPv6 CIDR a su pasarela de tránsito. Especifique una dirección IP del bloque de CIDR al establecer una interconexión de Transit Gateway Connect para una [conexión de Transit Gateway Connect](tgw-connect.md). Puede asociar cualquier rango de direcciones IP públicas o privadas, excepto las direcciones en el rango de `169.254.0.0/16` y los rangos que se superponen con las direcciones para las vinculaciones de VPC y las redes en las instalaciones. Para obtener más información sobre IPv4 los bloques IPv6 CIDR, consulte el [direccionamiento IP](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) en la Guía del usuario de *Amazon VPC*.

**Topics**
+ [Crear una puerta de enlace de tránsito](create-tgw.md)
+ [Consultar una puerta de enlace de tránsito](view-tgws.md)
+ [Administrar etiquetas de la puerta de enlace de tránsito](tgw-tagging.md)
+ [Modificar un puerta de enlace de tránsito](tgw-modifying.md)
+ [Aceptar el uso compartido de un recurso](share-accept-tgw.md)
+ [Aceptar una conexión compartida](acccept-tgw-attach.md)
+ [Eliminar una puerta de enlace de tránsito](delete-tgw.md)
+ [Encryption Support](tgw-encryption-support.md)

# Cree una pasarela de tránsito en AWS Transit Gateway
<a name="create-tgw"></a>

Cuando crea una puerta de enlace de tránsito, se crea una tabla de enrutamiento de la puerta de enlace de tránsito predeterminada y se utiliza como tabla de ruteo de asociación y de propagación predeterminada. Si elige no crear la tabla de enrutamiento de puerta de enlace de tránsito predeterminada, puede crear una más adelante. Para obtener más información acerca de las rutas y las tablas de enrutamiento, consulte [Enrutamiento](how-transit-gateways-work.md#tgw-routing-overview).

**nota**  
Si quieres habilitar la compatibilidad con el cifrado en una pasarela de tránsito, no puedes habilitarla al crear la pasarela. Una vez que hayas creado la pasarela de tránsito y esté en el estado disponible, podrás modificarla para habilitar la compatibilidad con el cifrado. Para obtener más información, consulte [Soporte de cifrado para AWS Transit Gateway](tgw-encryption-support.md).

**Para crear una puerta de enlace de tránsito mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Transit Gateways (Puertas de enlace de tránsito)**.

1. Elija **Create Transit Gateway** (Crear puerta de enlace de tránsito).

1. En **Name tag** (Etiqueta de nombre), puede escribir un nombre para la puerta de enlace de tránsito. Una etiqueta de nombre puede facilitar la identificación de una puerta de enlace específica de la lista de puerta de enlaces. Al añadir una **Name tag (Etiqueta de nombre)**, se crea una etiqueta con una clave de **Name (Nombre)** y el mismo valor que ya ha especificado.

1. En **Description (Descripción)**, puede escribir una descripción para la puerta de enlace de tránsito.

1. En **Amazon side Autonomous System Number (ASN)** (Número de sistema autónomo (ASN) del lado de Amazon), deje el valor predeterminado, para utilizar el ASN predeterminado, o bien ingrese el ASN privado de la puerta de enlace de tránsito. Debe ser el ASN del AWS lado de una sesión de Border Gateway Protocol (BGP).

   El rango es de 64512 a 65534 para 16 bits. ASNs

   El rango es de 4200000000 a 4294967294 para 32 bits. ASNs

   Si tiene una implementación en varias regiones, recomendamos que utilice un ASN único para cada una de las puerta de enlaces de tránsito.

1.  Para obtener **compatibilidad con DNS**, seleccione esta opción si necesita que la VPC resuelva los nombres de host de IPv4 DNS públicos en IPv4 direcciones privadas cuando se consultan desde instancias de otra VPC conectada a la puerta de enlace de tránsito.

1. Para **admitir la referencia a grupos de seguridad**, habilite esta función para hacer referencia a un grupo de seguridad VPCs conectado a una puerta de enlace de tránsito. Para obtener más información sobre la referencia a los grupos de seguridad, consulte [Referencia a grupos de seguridad](tgw-vpc-attachments.md#vpc-attachment-security).

1. En **VPN ECMP support** (Compatibilidad de ECMP de VPN), seleccione esta opción si necesita compatibilidad de enrutamiento mediante varias rutas de igual costo (ECMP) entre los túneles de la VPN. Si las conexiones anuncian lo mismo CIDRs, el tráfico se distribuye equitativamente entre ellas.

   Al seleccionar esta opción, el BGP ASN anunciado, los atributos de BGP como AS-path deben ser los mismos.
**nota**  
Para utilizar ECMP, debe crear una conexión de VPN que utilice enrutamiento dinámico. Las conexiones de VPN que utilizan enrutamiento estático no admiten ECMP.

1. En **Default route table association** (Asociación de tabla de enrutamiento predeterminada), seleccione esta opción para asociar automáticamente las conexiones de puerta de enlace de tránsito a la tabla de enrutamiento predeterminada de la puerta de enlace de tránsito.

1. En **Default route table propagation** (Propagación de tabla de enrutamiento predeterminada), seleccione esta opción para propagar automáticamente las conexiones de puerta de enlace de tránsito a la tabla de enrutamiento predeterminada de la puerta de enlace de tránsito.

1. (Opcional) Para utilizar la puerta de enlace de tránsito como enrutador para el tráfico de multidifusión, seleccione **Multicast support (Compatibilidad con la multidifusión)**.

1. (Opcional) En la sección de **opciones para Configure-cross-account compartir**, elige si deseas **aceptar automáticamente los archivos adjuntos compartidos**. Si la opción está habilitada, las conexiones se aceptan automáticamente. De lo contrario, debe aceptar o rechazar las solicitudes de conexión.

   En **Auto accept shared attachments** (Aceptar conexiones compartidas automáticamente), seleccione esta opción para aceptar automáticamente las conexiones entre cuentas.

1. (Opcional) Para los **bloques CIDR de Transit Gateway**, especifique uno IPv4 o más bloques IPv6 CIDR para su pasarela de tránsito. 

   Puede especificar un bloque CIDR de tamaño /24 o superior (por ejemplo, /23 o /22) o un bloque CIDR de tamaño /64 o superior (por ejemplo IPv4, /63 o /62) para. IPv6 Puede asociar cualquier rango de direcciones IP públicas o privadas, excepto las direcciones del rango 169.254.0.0/16 y los rangos que se superponen con las direcciones de las vinculaciones de VPC y las redes en las instalaciones.
**nota**  
Los bloques CIDR de Transit Gateway se utilizan si está configurando los adjuntos de Connect (GRE) o PrivateIP. VPNs Transit Gateway asigna IPs los puntos finales del túnel (GRE/PrivateIP VPN) de este rango.

1. Elija **Create Transit Gateway (Crear puerta de enlace de tránsito)**.

**Para crear una pasarela de tránsito mediante el AWS CLI**  
Utilice el comando [create-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html).

# Consultar información de la puerta de enlace de tránsito en AWS Transit Gateway
<a name="view-tgws"></a>

Consulte todas sus puertas de enlace de tránsito.

**Para consultar una puerta de enlace de tránsito mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Transit Gateways (Puertas de enlace de tránsito)**. Los detalles de la puerta de enlace de tránsito se muestran debajo de la lista de puertas de enlaces en la página.

**Para consultar una puerta de enlace de tránsito con la AWS CLI**  
Utilice el comando [describe-transit-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html).

# Administrar etiquetas de la puerta de enlace de tránsito en AWS Transit Gateway
<a name="tgw-tagging"></a>

Añada etiquetas a sus recursos para organizarlos e identificarlos mejor, por ejemplo, por objetivo, propietario o entorno. Puede agregar varias etiquetas a cada puerta de enlace de tránsito. Las claves de etiqueta deben ser únicas para cada puerta de enlace de tránsito. Si agrega una etiqueta con una clave que ya está asociada a la puerta de enlace de tránsito, se actualiza el valor de esa etiqueta. Para obtener más información, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).

**Agregar etiquetas a una puerta de enlace de tránsito mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Transit Gateways (Puertas de enlace de tránsito)**.

1. Seleccione la puerta de enlace de tránsito a la que quiere agregar etiquetas o cuyas etiquetas desea editar.

1. Elija la pestaña **Tags** (Etiquetas) en la parte inferior de la página.

1. Elija **Manage tags** (Administrar etiquetas).

1. Elija **Add new tag** (Agregar nueva etiqueta).

1. Escriba una **Key** (Clave) y un **Value** (Valor) para la etiqueta.

1. Seleccione **Save**.

# Modificar una pasarela de tránsito en AWS Transit Gateway
<a name="tgw-modifying"></a>

Puede modificar las opciones de configuración para una puerta de enlace de tránsito. Al modificar una puerta de enlace de tránsito, las conexiones de la puerta de enlace de tránsito existentes no sufren ninguna interrupción del servicio.

No puede modificar una puerta de enlace de tránsito que se haya compartido con usted.

No puede eliminar un bloque de CIDR para la gateway de tránsito si alguna de las direcciones IP se utiliza actualmente para una [interconexión de Connect](tgw-connect.md).

**nota**  
Las pasarelas de tránsito que tienen habilitado el soporte de cifrado se pueden conectar VPCs con los controles de cifrado en modo monitor o cumplimiento, o VPCs que no tienen los controles de cifrado habilitados. VPCs que tienen controles de cifrado en modo Enforce SOLO se pueden conectar a Transit Gateways que tengan habilitado el soporte de cifrado.   
Para obtener información más detallada, consulte [Soporte de cifrado para AWS Transit Gateway](tgw-encryption-support.md).

**Para modificar una puerta de enlace de tránsito**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Transit Gateways (Gateways de tránsito)**.

1. Elija la puerta de enlace de tránsito que desea modificar.

1. Elija **Actions** (Acciones), **Modify transit puerta de enlace** (Modificar puerta de enlace de tránsito).

1. Modifique las opciones según sea necesario y elija **Modify transit puerta de enlace (Modificar puerta de enlace de tránsito)**. 

**Para modificar su pasarela de tránsito mediante el AWS CLI**  
Utilice el comando [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html).

# Acepte un recurso compartido de AWS Transit Gateway mediante la AWS Resource Access Manager consola
<a name="share-accept-tgw"></a>

Si le han añadido a un recurso compartido, recibirá una invitación para unirse a este. Para poder obtener acceso a los recursos compartidos, antes se debe aceptar el uso compartido del recurso mediante la consola AWS Resource Access Manager (AWS RAM).

**Para aceptar el uso compartido de un recurso**

1. Abre la AWS RAM consola en [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).

1. En el panel de navegación, elija **Shared with me (Compartidos conmigo)**, **Resource shares (Recursos compartidos)**.

1. Seleccione el recurso compartido.

1. Elija **Accept resource share (Aceptar el uso compartido de recursos)**.

1. Para consultar la puerta de enlace de tránsito compartida, abra la página **Transit Gateways** (Puertas de enlace de tránsito) en la consola de Amazon VPC.

# Aceptar una conexión compartida en AWS Transit Gateway
<a name="acccept-tgw-attach"></a>

Si no habilitó la función **Aceptación automática de conexiones compartidas** al crear la puerta de enlace de tránsito, debe aceptar manualmente las conexiones entre cuentas (compartidas) ya sea desde la consola de Amazon VPC o la CLI de AWS.

**Para aceptar manualmente una vinculación**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Transit Gateways Attachments** (Conexiones de puerta de enlace de tránsito).

1. Seleccione la conexión de puerta de enlace de tránsito pendiente de aceptación.

1. Elija **Actions** (Acciones), **Accept transit gateway attachment** (Aceptar conexión de puerta de enlace de tránsito).

**Para aceptar una vinculación compartida mediante la AWS CLI**  
Utilice el comando [accept-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html).

# Eliminar una pasarela de tránsito en AWS Transit Gateway
<a name="delete-tgw"></a>

No puede eliminar una puerta de enlace de tránsito con conexiones existentes. Para poder eliminar una puerta de enlace de tránsito antes debe eliminar todas las conexiones.

**Para eliminar una puerta de enlace de tránsito mediante la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Elija la puerta de enlace de tránsito que desea eliminar.

1. Elija **Actions** (Acciones), **Delete transit gateway** (Eliminar puerta de enlace de tránsito). Ingrese **delete** y elija **Delete** (Eliminar) para confirmar la eliminación.

**Para eliminar una pasarela de tránsito mediante el AWS CLI**  
Utilice el comando [delete-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html).

# Soporte de cifrado para AWS Transit Gateway
<a name="tgw-encryption-support"></a>

Los controles de cifrado le permiten auditar el estado de cifrado de los flujos de tráfico de la VPC y, a continuación, encryption-in-transit aplicarlo a todo el tráfico de la VPC. Cuando el control de cifrado de la VPC esté en modo obligatorio, todas las interfaces de red elásticas (ENI) de esa VPC estarán restringidas para conectarse únicamente a instancias con capacidad de cifrado de AWS Nitro; y solo los AWS servicios que cifran datos en tránsito podrán conectarse a la VPC forzada por Encryption Controls. [Para obtener más información sobre los controles de cifrado de VPC, consulte esta documentación.](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html) 

## Transit Gateway Encryption Support y control de cifrado de VPC
<a name="tgw-encryption-support-overview"></a>

El soporte de cifrado de Transit Gateway te permite controlar encryption-in-transit el tráfico entre VPCs conexiones a una Transit Gateway. Deberá activar manualmente Encryption Support en Transit Gateway mediante el [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)comando para cifrar el VPCs tráfico entre. Una vez activado, todo el tráfico atravesará los enlaces cifrados al 100% entre los VPCs que estén en modo Enforce (sin exclusiones) a través de Transit Gateway. También puedes conectarte VPCs si no tienes los controles de cifrado activados o si estás en modo Monitor a través de una Transit Gateway que tenga activado el soporte de cifrado. En este escenario, se garantiza que Transit Gateway cifra el tráfico hasta el adjunto de Transit Gateway en la VPC que no se ejecuta en modo obligatorio. Más allá de eso, depende de la instancia a la que se envía el tráfico en la VPC que no se ejecuta en modo de aplicación.

Solo puedes añadir soporte de cifrado a una pasarela de tránsito existente y no mientras estás creando una. A medida que la Transit Gateway pase al estado Encryption Support Enabled, no habrá tiempo de inactividad en la Transit Gateway ni en los archivos adjuntos. La migración es fluida y transparente, sin que se interrumpa el tráfico. Para conocer los pasos para modificar una pasarela de tránsito para añadir Encryption Support, consulte[Modificar un puerta de enlace de tránsito](tgw-modifying.md#tgw-modifying.title).

### Requisitos
<a name="tgw-encryption-support-requirements"></a>

Antes de habilitar la compatibilidad con el cifrado en una pasarela de tránsito, asegúrese de que:
+ La pasarela de transporte público no tiene archivos adjuntos de Connect
+ La pasarela de transporte público no tiene archivos adjuntos de interconexión
+ La puerta de enlace de tránsito no tiene adjuntos de Network Firewall
+ La puerta de enlace de tránsito no tiene archivos adjuntos a un concentrador VPN
+ La pasarela de tránsito no tiene habilitadas las referencias a grupos de seguridad
+ La pasarela de tránsito no tiene habilitadas las funciones de multidifusión

### Estados de Encryption Support
<a name="tgw-encryption-support-states"></a>

Una pasarela de tránsito puede tener uno de los siguientes estados de cifrado:
+ **activación**: la puerta de enlace de tránsito está habilitando el soporte de cifrado. Este proceso puede tardar hasta 14 días en completarse.
+ **activado**: la compatibilidad con el cifrado está habilitada en la pasarela de tránsito. Puede crear adjuntos de VPC con el control de cifrado aplicado.
+ **inhabilitación**: la pasarela de tránsito está inhabilitando la compatibilidad con el cifrado.
+ **deshabilitado**: el soporte de cifrado está deshabilitado en la pasarela de tránsito.

### Reglas de anclaje de Transit Gateway
<a name="tgw-encryption-support-attachments"></a>

Cuando una pasarela de tránsito tiene habilitada la compatibilidad con el cifrado, se aplican las siguientes reglas de adjuntos:
+ Cuando el estado de cifrado de la puerta de enlace **de** tránsito esté **activado o desactivado**, puede crear adjuntos de Direct Connect, adjuntos de VPN y adjuntos de VPC que no estén en el modo obligatorio o obligatorio del Control de cifrado.
+ Cuando el estado de cifrado de la puerta de enlace de tránsito está **habilitado**, puede crear archivos adjuntos de VPC, archivos adjuntos de Direct Connect, archivos adjuntos de VPN y archivos adjuntos de VPC en cualquier modo de control de cifrado.
+ Cuando el estado de cifrado de la puerta de enlace de tránsito está **deshabilitado**, no puede crear nuevos adjuntos de VPC con el control de cifrado impuesto.
+ Encryption Support no admite los adjuntos de Connect, los adjuntos de interconexión, las referencias a grupos de seguridad y las funciones de multidifusión.

Si se intenta crear archivos adjuntos incompatibles, se producirá un error en la API.