Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Trabaje con AWS Transit Gateway
Puede usar puerta de enlaces de tránsito mediante la consola de Amazon VPC o la AWS CLI. Para obtener información sobre cómo habilitar y administrar el soporte de cifrado para su pasarela de tránsito, consulte[Soporte de cifrado para AWS Transit Gateway](tgw-encryption-support.md).
**Topics**
+ [puertas de enlace de tránsito compartidas](#transit-gateway-share)
+ [Puertas de enlace de tránsito](tgw-transit-gateways.md)
+ [Conexiones de VPC](tgw-vpc-attachments.md)
+ [Vinculaciones de funciones de red](tgw-nf-fw.md)
+ [Conexiones de VPN](tgw-vpn-attachments.md)
+ [Archivos adjuntos de VPN Concentrator](tgw-vpn-concentrator-attachments.md)
+ [Vinculaciones de gateway de tránsito a una gateway de Direct Connect](tgw-dcg-attachments.md)
+ [Vinculaciones de interconexiones](tgw-peering.md)
+ [Conexiones y pares de Connect](tgw-connect.md)
+ [Tablas de enrutamiento de la puerta de enlace de tránsito](tgw-route-tables.md)
+ [Tablas de políticas de la puerta de enlace de tránsito](tgw-policy-tables.md)
+ [Multidifusión en puerta de enlaces de tránsito](tgw-multicast-overview.md)
+ [Asignación flexible de costes](metering-policy.md)
## puertas de enlace de tránsito compartidas
Puede usar AWS Resource Access Manager (RAM) para compartir una puerta de enlace de tránsito para los archivos adjuntos de la VPC entre cuentas o en toda su organización. AWS Organizations La RAM debe estar habilitada y los recursos deben compartirse con una organización. Para obtener más información, consulte [Habilitar el uso compartido de recursos con AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) en la *Guía del usuario de AWS RAM *.
### Consideraciones
Tenga en cuenta lo siguiente cuando desee compartir una puerta de enlace de tránsito.
+ Se debe crear un AWS Site-to-Site VPN archivo adjunto en la misma AWS cuenta propietaria de la pasarela de tránsito.
+ Un adjunto a una puerta de enlace de Direct Connect utiliza una asociación de puerta de enlace de tránsito y puede estar en la misma AWS cuenta que la puerta de enlace de Direct Connect o en una cuenta diferente de la puerta de enlace de Direct Connect.
De forma predeterminada, los usuarios no tienen permiso para crear o modificar AWS RAM recursos. Para permitir a los usuarios crear o modificar recursos y realizar tareas, debe crear políticas de IAM que les concedan permisos para usar los recursos y las acciones de la API. A continuación, debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Solo el propietario del recurso puede realizar las siguientes operaciones:
+ Crear un recurso compartido
+ Actualizar un recurso compartido
+ Visualizar un recurso compartido
+ Ver los recursos que se comparten a través de su cuenta en todos los recursos compartidos
+ Ver las entidades principales con las que comparte sus recursos en todos los recursos compartidos Ver las entidades principales con las que comparte recursos le permite determinar quién tiene acceso a sus recursos compartidos
+ Eliminar un recurso compartido
+ Ejecute todas las tablas de rutas de Transit Gateway, Transit Gateway Adjuntos y Transit Gateway APIs.
Puede realizar las siguientes operaciones en los recursos que han compartido con usted:
+ Aceptar o rechazar una invitación para compartir un recurso.
+ Visualizar un recurso compartido.
+ Ver los recursos compartidos a los que puede acceder.
+ Ver una lista de todas las entidades principales que comparten recursos con usted. Ver qué recursos y recursos compartidos han compartido con usted.
+ Puede ejecutar la API `DescribeTransitGateways`.
+ Ejecute las APIs que crean y describen los archivos adjuntos, por ejemplo`DescribeTransitGatewayVpcAttachments`, `CreateTransitGatewayVpcAttachment` y, en sus VPCs.
+ Abandonar un recurso compartido.
Cuando se comparte una puerta de enlace de tránsito con usted, no puede crear, modificar ni eliminar las tablas de enrutamiento de la puerta de enlace de tránsito, ni las propagaciones y asociaciones de la tabla de enrutamiento de la puerta de enlace de tránsito.
Cuando se crea una puerta de enlace de tránsito, esta se crea en la zona de disponibilidad correspondiente a la cuenta y es independiente de las demás cuentas. Cuando la puerta de enlace de tránsito y las entidades vinculadas están en cuentas diferentes, utilice el ID de zona de disponibilidad para identificar de forma inequívoca y sistemática la zona de disponibilidad. Por ejemplo, use1-az1 es un ID AZ para la región us-east-1 y se asigna a la misma ubicación en todas las cuentas. AWS
### Dejar de compartir una puerta de enlace de tránsito
Cuando el propietario del recurso deja de compartir la puerta de enlace de tránsito, se aplican las siguientes reglas:
+ La puerta de enlaces de tránsito sigue funcionando.
+ La cuenta compartida no puede describir la puerta de enlace de tránsito.
+ El propietario de la puerta de enlace de tránsito y el propietario del recurso pueden eliminar la conexión de puerta de enlace de tránsito.
Cuando una pasarela de transporte público deja de compartirse con otra AWS cuenta, o si la AWS cuenta con la que se comparte la pasarela de transporte se elimina de la organización, la propia pasarela de transporte público no se verá afectada.
### Subredes compartidas
El propietario de la VPC puede asociar una puerta de enlace de tránsito a una subred de VPC compartida. Los participantes no pueden hacerlo. El tráfico de los recursos del participante puede utilizar los archivos adjuntos en función de las rutas configuradas en la subred de VPC compartida por el propietario de la VPC.
Para obtener más información, consulte [Compartir su VPC con otras cuentas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) en la *Guía del usuario de Amazon VPC*.
# Pasarelas de tránsito en AWS Transit Gateway
Una pasarela de tránsito te permite conectar conexiones VPN VPCs y enrutar el tráfico entre ellas. Una pasarela de transporte funciona de forma transversal y puedes utilizarla AWS RAM para compartirla con otras cuentas. Cuentas de AWS Después de compartir una pasarela de transporte público con otra Cuenta de AWS, el propietario de la cuenta puede adjuntarla VPCs a tu pasarela de transporte público. Un usuario de cualquiera de las cuentas puede eliminar la vinculación en cualquier momento.
Puede habilitar la multidifusión en una puerta de enlace de tránsito y, a continuación, crear un dominio de multidifusión de transit puerta de enlace que permita que el tráfico de multidifusión se envíe desde el origen de multidifusión a los miembros del grupo de multidifusión a través de conexiones de la VPC que asocie con el dominio.
Cada vinculación de VPC o VPN se asocia a una única tabla de enrutamiento. Dicha tabla decide el siguiente salto del tráfico procedente de la vinculación de ese recurso. Una tabla de rutas dentro de la pasarela de transporte IPv4 incluye IPv6 CIDRs ambos destinos. Los objetivos son VPCs las conexiones VPN. Al asociar una VPC o crear una conexión de VPN en una puerta de enlace de tránsito, la conexión se asocia con la tabla de enrutamiento predeterminada de la puerta de enlace de tránsito.
Puede crear tablas de enrutamiento adicionales dentro de la puerta de enlace de tránsito y cambiar la asociación de la VPC o VPN a dichas tablas. Esto le permite segmentar su red. Por ejemplo, puede VPCs asociar el desarrollo a una tabla de rutas y la producción VPCs a una tabla de rutas diferente. Esto le permite crear redes aisladas dentro de una puerta de enlace de tránsito similar al enrutamiento y reenvío virtuales (VRFs) de las redes tradicionales.
Las pasarelas de tránsito admiten el enrutamiento dinámico y estático entre las conexiones conectadas VPCs y las VPN. Puede habilitar o deshabilitar la propagación de rutas para cada vinculación. Los adjuntos de VPN Concentrator solo admiten el enrutamiento BGP (dinámico). Las vinculaciones de interconexión de puerta de enlace solo son compatibles con el enrutamiento estático. Puede dirigir las rutas de las tablas de enrutamiento de la puerta de enlace de tránsito a la vinculación de interconexión para enrutar el tráfico entre las puertas de enlace de tránsito interconectadas.
Si lo desea, puede asociar uno o más bloques IPv4 o bloques IPv6 CIDR a su pasarela de tránsito. Especifique una dirección IP del bloque de CIDR al establecer una interconexión de Transit Gateway Connect para una [conexión de Transit Gateway Connect](tgw-connect.md). Puede asociar cualquier rango de direcciones IP públicas o privadas, excepto las direcciones en el rango de `169.254.0.0/16` y los rangos que se superponen con las direcciones para las vinculaciones de VPC y las redes en las instalaciones. Para obtener más información sobre IPv4 los bloques IPv6 CIDR, consulte el [direccionamiento IP](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) en la Guía del usuario de *Amazon VPC*.
**Topics**
+ [Crear una puerta de enlace de tránsito](create-tgw.md)
+ [Consultar una puerta de enlace de tránsito](view-tgws.md)
+ [Administrar etiquetas de la puerta de enlace de tránsito](tgw-tagging.md)
+ [Modificar un puerta de enlace de tránsito](tgw-modifying.md)
+ [Aceptar el uso compartido de un recurso](share-accept-tgw.md)
+ [Aceptar una conexión compartida](acccept-tgw-attach.md)
+ [Eliminar una puerta de enlace de tránsito](delete-tgw.md)
+ [Encryption Support](tgw-encryption-support.md)
# Cree una pasarela de tránsito en AWS Transit Gateway
Cuando crea una puerta de enlace de tránsito, se crea una tabla de enrutamiento de la puerta de enlace de tránsito predeterminada y se utiliza como tabla de ruteo de asociación y de propagación predeterminada. Si elige no crear la tabla de enrutamiento de puerta de enlace de tránsito predeterminada, puede crear una más adelante. Para obtener más información acerca de las rutas y las tablas de enrutamiento, consulte [Enrutamiento](how-transit-gateways-work.md#tgw-routing-overview).
**nota**
Si quieres habilitar la compatibilidad con el cifrado en una pasarela de tránsito, no puedes habilitarla al crear la pasarela. Una vez que hayas creado la pasarela de tránsito y esté en el estado disponible, podrás modificarla para habilitar la compatibilidad con el cifrado. Para obtener más información, consulte [Soporte de cifrado para AWS Transit Gateway](tgw-encryption-support.md).
**Para crear una puerta de enlace de tránsito mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways (Puertas de enlace de tránsito)**.
1. Elija **Create Transit Gateway** (Crear puerta de enlace de tránsito).
1. En **Name tag** (Etiqueta de nombre), puede escribir un nombre para la puerta de enlace de tránsito. Una etiqueta de nombre puede facilitar la identificación de una puerta de enlace específica de la lista de puerta de enlaces. Al añadir una **Name tag (Etiqueta de nombre)**, se crea una etiqueta con una clave de **Name (Nombre)** y el mismo valor que ya ha especificado.
1. En **Description (Descripción)**, puede escribir una descripción para la puerta de enlace de tránsito.
1. En **Amazon side Autonomous System Number (ASN)** (Número de sistema autónomo (ASN) del lado de Amazon), deje el valor predeterminado, para utilizar el ASN predeterminado, o bien ingrese el ASN privado de la puerta de enlace de tránsito. Debe ser el ASN del AWS lado de una sesión de Border Gateway Protocol (BGP).
El rango es de 64512 a 65534 para 16 bits. ASNs
El rango es de 4200000000 a 4294967294 para 32 bits. ASNs
Si tiene una implementación en varias regiones, recomendamos que utilice un ASN único para cada una de las puerta de enlaces de tránsito.
1. Para obtener **compatibilidad con DNS**, seleccione esta opción si necesita que la VPC resuelva los nombres de host de IPv4 DNS públicos en IPv4 direcciones privadas cuando se consultan desde instancias de otra VPC conectada a la puerta de enlace de tránsito.
1. Para **admitir la referencia a grupos de seguridad**, habilite esta función para hacer referencia a un grupo de seguridad VPCs conectado a una puerta de enlace de tránsito. Para obtener más información sobre la referencia a los grupos de seguridad, consulte [Referencia a grupos de seguridad](tgw-vpc-attachments.md#vpc-attachment-security).
1. En **VPN ECMP support** (Compatibilidad de ECMP de VPN), seleccione esta opción si necesita compatibilidad de enrutamiento mediante varias rutas de igual costo (ECMP) entre los túneles de la VPN. Si las conexiones anuncian lo mismo CIDRs, el tráfico se distribuye equitativamente entre ellas.
Al seleccionar esta opción, el BGP ASN anunciado, los atributos de BGP como AS-path deben ser los mismos.
**nota**
Para utilizar ECMP, debe crear una conexión de VPN que utilice enrutamiento dinámico. Las conexiones de VPN que utilizan enrutamiento estático no admiten ECMP.
1. En **Default route table association** (Asociación de tabla de enrutamiento predeterminada), seleccione esta opción para asociar automáticamente las conexiones de puerta de enlace de tránsito a la tabla de enrutamiento predeterminada de la puerta de enlace de tránsito.
1. En **Default route table propagation** (Propagación de tabla de enrutamiento predeterminada), seleccione esta opción para propagar automáticamente las conexiones de puerta de enlace de tránsito a la tabla de enrutamiento predeterminada de la puerta de enlace de tránsito.
1. (Opcional) Para utilizar la puerta de enlace de tránsito como enrutador para el tráfico de multidifusión, seleccione **Multicast support (Compatibilidad con la multidifusión)**.
1. (Opcional) En la sección de **opciones para Configure-cross-account compartir**, elige si deseas **aceptar automáticamente los archivos adjuntos compartidos**. Si la opción está habilitada, las conexiones se aceptan automáticamente. De lo contrario, debe aceptar o rechazar las solicitudes de conexión.
En **Auto accept shared attachments** (Aceptar conexiones compartidas automáticamente), seleccione esta opción para aceptar automáticamente las conexiones entre cuentas.
1. (Opcional) Para los **bloques CIDR de Transit Gateway**, especifique uno IPv4 o más bloques IPv6 CIDR para su pasarela de tránsito.
Puede especificar un bloque CIDR de tamaño /24 o superior (por ejemplo, /23 o /22) o un bloque CIDR de tamaño /64 o superior (por ejemplo IPv4, /63 o /62) para. IPv6 Puede asociar cualquier rango de direcciones IP públicas o privadas, excepto las direcciones del rango 169.254.0.0/16 y los rangos que se superponen con las direcciones de las vinculaciones de VPC y las redes en las instalaciones.
**nota**
Los bloques CIDR de Transit Gateway se utilizan si está configurando los adjuntos de Connect (GRE) o PrivateIP. VPNs Transit Gateway asigna IPs los puntos finales del túnel (GRE/PrivateIP VPN) de este rango.
1. Elija **Create Transit Gateway (Crear puerta de enlace de tránsito)**.
**Para crear una pasarela de tránsito mediante el AWS CLI**
Utilice el comando [create-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html).
# Consultar información de la puerta de enlace de tránsito en AWS Transit Gateway
Consulte todas sus puertas de enlace de tránsito.
**Para consultar una puerta de enlace de tránsito mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways (Puertas de enlace de tránsito)**. Los detalles de la puerta de enlace de tránsito se muestran debajo de la lista de puertas de enlaces en la página.
**Para consultar una puerta de enlace de tránsito con la AWS CLI**
Utilice el comando [describe-transit-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html).
# Administrar etiquetas de la puerta de enlace de tránsito en AWS Transit Gateway
Añada etiquetas a sus recursos para organizarlos e identificarlos mejor, por ejemplo, por objetivo, propietario o entorno. Puede agregar varias etiquetas a cada puerta de enlace de tránsito. Las claves de etiqueta deben ser únicas para cada puerta de enlace de tránsito. Si agrega una etiqueta con una clave que ya está asociada a la puerta de enlace de tránsito, se actualiza el valor de esa etiqueta. Para obtener más información, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).
**Agregar etiquetas a una puerta de enlace de tránsito mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways (Puertas de enlace de tránsito)**.
1. Seleccione la puerta de enlace de tránsito a la que quiere agregar etiquetas o cuyas etiquetas desea editar.
1. Elija la pestaña **Tags** (Etiquetas) en la parte inferior de la página.
1. Elija **Manage tags** (Administrar etiquetas).
1. Elija **Add new tag** (Agregar nueva etiqueta).
1. Escriba una **Key** (Clave) y un **Value** (Valor) para la etiqueta.
1. Seleccione **Save**.
# Modificar una pasarela de tránsito en AWS Transit Gateway
Puede modificar las opciones de configuración para una puerta de enlace de tránsito. Al modificar una puerta de enlace de tránsito, las conexiones de la puerta de enlace de tránsito existentes no sufren ninguna interrupción del servicio.
No puede modificar una puerta de enlace de tránsito que se haya compartido con usted.
No puede eliminar un bloque de CIDR para la gateway de tránsito si alguna de las direcciones IP se utiliza actualmente para una [interconexión de Connect](tgw-connect.md).
**nota**
Las pasarelas de tránsito que tienen habilitado el soporte de cifrado se pueden conectar VPCs con los controles de cifrado en modo monitor o cumplimiento, o VPCs que no tienen los controles de cifrado habilitados. VPCs que tienen controles de cifrado en modo Enforce SOLO se pueden conectar a Transit Gateways que tengan habilitado el soporte de cifrado.
Para obtener información más detallada, consulte [Soporte de cifrado para AWS Transit Gateway](tgw-encryption-support.md).
**Para modificar una puerta de enlace de tránsito**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways (Gateways de tránsito)**.
1. Elija la puerta de enlace de tránsito que desea modificar.
1. Elija **Actions** (Acciones), **Modify transit puerta de enlace** (Modificar puerta de enlace de tránsito).
1. Modifique las opciones según sea necesario y elija **Modify transit puerta de enlace (Modificar puerta de enlace de tránsito)**.
**Para modificar su pasarela de tránsito mediante el AWS CLI**
Utilice el comando [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html).
# Acepte un recurso compartido de AWS Transit Gateway mediante la AWS Resource Access Manager consola
Si le han añadido a un recurso compartido, recibirá una invitación para unirse a este. Para poder obtener acceso a los recursos compartidos, antes se debe aceptar el uso compartido del recurso mediante la consola AWS Resource Access Manager (AWS RAM).
**Para aceptar el uso compartido de un recurso**
1. Abre la AWS RAM consola en [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).
1. En el panel de navegación, elija **Shared with me (Compartidos conmigo)**, **Resource shares (Recursos compartidos)**.
1. Seleccione el recurso compartido.
1. Elija **Accept resource share (Aceptar el uso compartido de recursos)**.
1. Para consultar la puerta de enlace de tránsito compartida, abra la página **Transit Gateways** (Puertas de enlace de tránsito) en la consola de Amazon VPC.
# Aceptar una conexión compartida en AWS Transit Gateway
Si no habilitó la función **Aceptación automática de conexiones compartidas** al crear la puerta de enlace de tránsito, debe aceptar manualmente las conexiones entre cuentas (compartidas) ya sea desde la consola de Amazon VPC o la CLI de AWS.
**Para aceptar manualmente una vinculación**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments** (Conexiones de puerta de enlace de tránsito).
1. Seleccione la conexión de puerta de enlace de tránsito pendiente de aceptación.
1. Elija **Actions** (Acciones), **Accept transit gateway attachment** (Aceptar conexión de puerta de enlace de tránsito).
**Para aceptar una vinculación compartida mediante la AWS CLI**
Utilice el comando [accept-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html).
# Eliminar una pasarela de tránsito en AWS Transit Gateway
No puede eliminar una puerta de enlace de tránsito con conexiones existentes. Para poder eliminar una puerta de enlace de tránsito antes debe eliminar todas las conexiones.
**Para eliminar una puerta de enlace de tránsito mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Elija la puerta de enlace de tránsito que desea eliminar.
1. Elija **Actions** (Acciones), **Delete transit gateway** (Eliminar puerta de enlace de tránsito). Ingrese **delete** y elija **Delete** (Eliminar) para confirmar la eliminación.
**Para eliminar una pasarela de tránsito mediante el AWS CLI**
Utilice el comando [delete-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html).
# Soporte de cifrado para AWS Transit Gateway
Los controles de cifrado le permiten auditar el estado de cifrado de los flujos de tráfico de la VPC y, a continuación, encryption-in-transit aplicarlo a todo el tráfico de la VPC. Cuando el control de cifrado de la VPC esté en modo obligatorio, todas las interfaces de red elásticas (ENI) de esa VPC estarán restringidas para conectarse únicamente a instancias con capacidad de cifrado de AWS Nitro; y solo los AWS servicios que cifran datos en tránsito podrán conectarse a la VPC forzada por Encryption Controls. [Para obtener más información sobre los controles de cifrado de VPC, consulte esta documentación.](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html)
## Transit Gateway Encryption Support y control de cifrado de VPC
El soporte de cifrado de Transit Gateway te permite controlar encryption-in-transit el tráfico entre VPCs conexiones a una Transit Gateway. Deberá activar manualmente Encryption Support en Transit Gateway mediante el [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)comando para cifrar el VPCs tráfico entre. Una vez activado, todo el tráfico atravesará los enlaces cifrados al 100% entre los VPCs que estén en modo Enforce (sin exclusiones) a través de Transit Gateway. También puedes conectarte VPCs si no tienes los controles de cifrado activados o si estás en modo Monitor a través de una Transit Gateway que tenga activado el soporte de cifrado. En este escenario, se garantiza que Transit Gateway cifra el tráfico hasta el adjunto de Transit Gateway en la VPC que no se ejecuta en modo obligatorio. Más allá de eso, depende de la instancia a la que se envía el tráfico en la VPC que no se ejecuta en modo de aplicación.
Solo puedes añadir soporte de cifrado a una pasarela de tránsito existente y no mientras estás creando una. A medida que la Transit Gateway pase al estado Encryption Support Enabled, no habrá tiempo de inactividad en la Transit Gateway ni en los archivos adjuntos. La migración es fluida y transparente, sin que se interrumpa el tráfico. Para conocer los pasos para modificar una pasarela de tránsito para añadir Encryption Support, consulte[Modificar un puerta de enlace de tránsito](tgw-modifying.md#tgw-modifying.title).
### Requisitos
Antes de habilitar la compatibilidad con el cifrado en una pasarela de tránsito, asegúrese de que:
+ La pasarela de transporte público no tiene archivos adjuntos de Connect
+ La pasarela de transporte público no tiene archivos adjuntos de interconexión
+ La puerta de enlace de tránsito no tiene adjuntos de Network Firewall
+ La puerta de enlace de tránsito no tiene archivos adjuntos a un concentrador VPN
+ La pasarela de tránsito no tiene habilitadas las referencias a grupos de seguridad
+ La pasarela de tránsito no tiene habilitadas las funciones de multidifusión
### Estados de Encryption Support
Una pasarela de tránsito puede tener uno de los siguientes estados de cifrado:
+ **activación**: la puerta de enlace de tránsito está habilitando el soporte de cifrado. Este proceso puede tardar hasta 14 días en completarse.
+ **activado**: la compatibilidad con el cifrado está habilitada en la pasarela de tránsito. Puede crear adjuntos de VPC con el control de cifrado aplicado.
+ **inhabilitación**: la pasarela de tránsito está inhabilitando la compatibilidad con el cifrado.
+ **deshabilitado**: el soporte de cifrado está deshabilitado en la pasarela de tránsito.
### Reglas de anclaje de Transit Gateway
Cuando una pasarela de tránsito tiene habilitada la compatibilidad con el cifrado, se aplican las siguientes reglas de adjuntos:
+ Cuando el estado de cifrado de la puerta de enlace **de** tránsito esté **activado o desactivado**, puede crear adjuntos de Direct Connect, adjuntos de VPN y adjuntos de VPC que no estén en el modo obligatorio o obligatorio del Control de cifrado.
+ Cuando el estado de cifrado de la puerta de enlace de tránsito está **habilitado**, puede crear archivos adjuntos de VPC, archivos adjuntos de Direct Connect, archivos adjuntos de VPN y archivos adjuntos de VPC en cualquier modo de control de cifrado.
+ Cuando el estado de cifrado de la puerta de enlace de tránsito está **deshabilitado**, no puede crear nuevos adjuntos de VPC con el control de cifrado impuesto.
+ Encryption Support no admite los adjuntos de Connect, los adjuntos de interconexión, las referencias a grupos de seguridad y las funciones de multidifusión.
Si se intenta crear archivos adjuntos incompatibles, se producirá un error en la API.
# Archivos adjuntos de Amazon VPC en AWS Transit Gateway
Un adjunto Amazon Virtual Private Cloud (VPC) a una puerta de enlace de tránsito le permite enrutar el tráfico hacia y desde una o más subredes de VPC. Cuando asocia una VPC a una puerta de enlace de tránsito, debe especificar una subred de cada zona de disponibilidad que la puerta de enlace de tránsito utilizará para enrutar el tráfico. Las subredes especificadas sirven como puntos de entrada y salida para el tráfico de la puerta de enlace de tránsito. El tráfico solo puede llegar a los recursos de otras subredes dentro de la misma zona de disponibilidad si las subredes de conexión de puerta de enlace de tránsito tienen las rutas adecuadas configuradas en sus tablas de enrutamiento que apuntan a las subredes de destino.
**Límites**
+ Cuando se asocia una VPC a una puerta de enlace de tránsito, los recursos en zonas de disponibilidad donde no hay una conexión de puerta de enlace de tránsito no pueden llegar a la puerta de enlace de tránsito.
**nota**
Dentro de las zonas de disponibilidad que sí tienen conexiones de puerta de enlace de tránsito, el tráfico solo se reenvía a la puerta de enlace de tránsito desde las subredes específicas que están asociadas a la conexión. Si hay una ruta a la puerta de enlace de tránsito en una tabla de enrutamiento de subred, el tráfico solo se reenvía a la puerta de enlace de tránsito cuando esta tenga una conexión en una subred en la misma zona de disponibilidad y la tabla de enrutamiento de la subred contiene rutas apropiadas para el destino previsto del tránsito dentro de la VPC.
+ Una puerta de enlace de tránsito no admite la resolución de DNS para los nombres DNS personalizados de la VPCs configuración adjunta mediante zonas alojadas privadas en Amazon Route 53. Para configurar la resolución de nombres para las zonas alojadas privadas para todas las VPCs conectadas a una puerta de enlace de tránsito, consulte [Administración centralizada de DNS de la nube híbrida con Amazon Route 53 y AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/).
+ Una puerta de enlace de tránsito no admite el enrutamiento entre VPCs una CIDRs VPC conectada o si una CIDR de un rango se superpone a una CIDR de una VPC conectada. Si se conecta una VPC a una puerta de enlace de tránsito y su CIDR es idéntico a, o se superpone con, el CIDR de otra VPC que ya esté conectada a la puerta de enlace de tránsito, las rutas de la VPC recientemente conectada no se propagan a la tabla de enrutamiento de la puerta de enlace de tránsito.
+ No puede crear una asociación para una subred de VPC que resida en una zona local. Sin embargo, puede configurar la red para que las subredes de la zona local se puedan conectar a una puerta de enlace de tránsito mediante la zona de disponibilidad principal. Para obtener más información, consulte [Conexión de las subredes de una zona local a una puerta de enlace de tránsito](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw).
+ No puedes crear un adjunto a una pasarela de tránsito utilizando subredes exclusivas. IPv6 Las subredes adjuntas a las pasarelas de tránsito también deben admitir direcciones. IPv4
+ Una puerta de enlace de tránsito debe tener al menos una conexión de VPC antes de poder agregar esa puerta de enlace de tránsito a una tabla de enrutamiento.
## Requisitos de la tabla de enrutamiento para conexiones de VPC
Las conexiones de VPC de la puerta de enlace de tránsito requieren configuraciones de tabla de enrutamiento específicas para funcionar correctamente:
+ **Tablas de enrutamiento de subred vinculadas**: las subredes asociadas a la conexión de puerta de enlace de tránsito deben tener entradas en la tabla de enrutamiento para cualquier destino en la VPC al que se deba acceder a través de la puerta de enlace de tránsito. Esto incluye rutas a otras subredes, puertas de enlace de Internet, puertas de enlace NAT y puntos de conexión de VPC.
+ **Tablas de enrutamiento de las subredes de destino**: las subredes que contienen recursos que deben comunicarse a través de la puerta de enlace de tránsito deben tener rutas que apunten hacia la puerta de enlace de tránsito para el tráfico de retorno a destinos externos.
+ **Tráfico de VPC local**: la conexión de puerta de enlace de tránsito no habilita automáticamente la comunicación entre subredes de la misma VPC. Se aplican las reglas de enrutamiento de VPC estándar y la ruta local (CIDR de VPC) debe estar presente en las tablas de enrutamiento para la comunicación dentro de la VPC.
**nota**
Tener rutas configuradas en subredes no conectadas dentro de la misma zona de disponibilidad no permite el flujo de tráfico. Solo las subredes específicas asociadas al adjunto a la puerta de enlace de tránsito pueden servir como entry/exit puntos para el tráfico de la puerta de enlace de tránsito.
## Ciclo de vida de la conexión de VPC
Una conexión de VPC pasa por varias etapas, desde que se inicia la solicitud. En cada una de estas fases, se encontrará con acciones que podrá realizar y, al final del ciclo de vida, la conexión de la VPC permanecerá visible en la Amazon Virtual Private Cloud Console y en la API o los resultados de la línea de comandos durante un tiempo.
El siguiente diagrama muestra los estados por los que puede pasar una conexión en una única configuración de cuenta, o una configuración entre cuentas que tenga activada la opción **Aceptar automáticamente las conexiones compartidas ** .
![\[Ciclo de vida de la conexión de VPC\]](http://docs.aws.amazon.com/es_es/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)
+ **Pendiente**: se inició una solicitud para una conexión de VPC y está en proceso de aprovisionamiento. En esta etapa, es posible que se produzca un error en la conexión o puede ir a `available`.
+ **Errónea**: se ha producido un error en una solicitud de conexión de VPC. En esta etapa, la conexión de VPC va a `failed`.
+ **Con error**: se ha producido un error en la solicitud de conexión de VPC. Mientras se encuentre en este estado, no se puede eliminar. La conexión de VPC que produjo errores permanece visible durante 2 horas y, luego, ya no estará visible.
+ **Disponible**: la conexión de VPC está disponible y el tráfico puede fluir entre la VPC y la puerta de enlace de tránsito. En esta etapa, la conexión puede ir a `modifying` o a `deleting`.
+ **Eliminando**: una conexión de VPC que se está en proceso de ser eliminada. En esta etapa, la conexión puede ir a `deleted`.
+ **Eliminada**: se eliminó una conexión de VPC de `available`. Mientras se encuentre en este estado, la conexión de VPC no se puede modificar. La conexión de VPC permanece visible durante 2 horas y, luego, ya no estará visible.
+ **Modificando**: se realizó una solicitud para modificar las propiedades de la conexión de VPC. En esta etapa, la conexión puede ir a `available` o a `rolling back`.
+ **Reversión**: no se puede completar la solicitud de modificación de la conexión de VPC y el sistema está deshaciendo los cambios realizados. En esta etapa, la conexión puede ir a `available`.
El siguiente diagrama muestra los estados por los que puede pasar una conexión en una configuración entre cuentas que tenga desactivada la opción **Auto accept shared attachments** (Aceptar automáticamente las conexiones compartidas).
![\[Ciclo de vida de la conexión de VPC entre cuentas que tiene desactivada la opción Auto accept shared attachments (Aceptar automáticamente las conexiones compartidas).\]](http://docs.aws.amazon.com/es_es/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)
+ **Aceptación pendiente**: la solicitud de conexión de VPC está esperando la aceptación. En esta etapa, la conexión puede ir a `pending`, a `rejecting` o a `deleting`.
+ **Rechazando**: una conexión de VPC que está en proceso de ser rechazada. En esta etapa, la conexión puede ir a `rejected`.
+ **Rechazado**: se rechazó una conexión de VPC de `pending acceptance`. Mientras se encuentre en este estado, la conexión de VPC no se puede modificar. La conexión de VPC permanece visible durante 2 horas y, luego, ya no estará visible.
+ **Pendiente**: se aceptó la conexión de VPC y está en proceso de aprovisionamiento. En esta etapa, es posible que se produzca un error en la conexión o puede ir a `available`.
+ **Errónea**: se ha producido un error en una solicitud de conexión de VPC. En esta etapa, la conexión de VPC va a `failed`.
+ **Con error**: se ha producido un error en la solicitud de conexión de VPC. Mientras se encuentre en este estado, no se puede eliminar. La conexión de VPC que produjo errores permanece visible durante 2 horas y, luego, ya no estará visible.
+ **Disponible**: la conexión de VPC está disponible y el tráfico puede fluir entre la VPC y la puerta de enlace de tránsito. En esta etapa, la conexión puede ir a `modifying` o a `deleting`.
+ **Eliminando**: una conexión de VPC que se está en proceso de ser eliminada. En esta etapa, la conexión puede ir a `deleted`.
+ **Eliminada**: se eliminó una conexión de VPC de `available` o `pending acceptance`. Mientras se encuentre en este estado, la conexión de VPC no se puede modificar. La conexión de VPC permanece visible durante 2 horas y, luego, ya no estará visible.
+ **Modificando**: se realizó una solicitud para modificar las propiedades de la conexión de VPC. En esta etapa, la conexión puede ir a `available` o a `rolling back`.
+ **Reversión**: no se puede completar la solicitud de modificación de la conexión de VPC y el sistema está deshaciendo los cambios realizados. En esta etapa, la conexión puede ir a `available`.
## Modo Dispositivo
Si piensa configurar un dispositivo de red con estado en la VPC, puede habilitar la compatibilidad en modo dispositivo para la conexión de VPC en la que se encuentra el dispositivo cuando crea una conexión. Esto garantiza que AWS Transit Gateway utilice la misma zona de disponibilidad para ese adjunto de VPC durante toda la vida útil del flujo de tráfico entre un origen y un destino. También permite que una puerta de enlace de tránsito envíe tráfico a cualquier zona de disponibilidad de la VPC, siempre y cuando exista una asociación de subred en esa zona. Si bien el modo dispositivo solo se admite en las conexiones de VPC, el flujo de red puede provenir de cualquier otro tipo de conexión de puerta de enlace de tránsito, incluidas conexiones de VPC, VPN y Connect. El modo dispositivo también funciona para flujos de red que tienen orígenes y destinos en diferentes Regiones de AWS. Es posible que los flujos de red se reequilibren entre distintas zonas de disponibilidad si no se habilita inicialmente el modo dispositivo, sino que se modifica posteriormente la configuración de las conexiones para habilitarlo. Puede utilizar la consola, la línea de comando o la API para habilitar o deshabilitar el modo de dispositivo.
El modo dispositivo de AWS Transit Gateway optimiza el enrutamiento del tráfico teniendo en cuenta las zonas de disponibilidad de origen y destino al determinar la ruta a través de una VPC en modo dispositivo. Este enfoque mejora la eficiencia y reduce la latencia. El comportamiento varía en función de la configuración específica y los patrones de tráfico. A continuación, se presentan algunos ejemplos.
### Ejemplo 1: Enrutamiento del tráfico de la zona de disponibilidad mediante la VPC del dispositivo
Cuando el tráfico fluye desde la zona de disponibilidad de origen us-east-1a a la zona de disponibilidad de destino us-east-1a, con conexiones de VPC en modo de dispositivo tanto en us-east-1a como en us-east-1b, la puerta de enlace de tránsito selecciona una interfaz de red de us-east-1a dentro de la VPC del dispositivo. Esta zona de disponibilidad se mantiene durante todo el flujo de tráfico entre el origen y el destino.
### Ejemplo 2: Enrutamiento del tráfico dentro de la zona de disponibilidad mediante la VPC del dispositivo
En el caso del tráfico que fluye desde la zona de disponibilidad de origen us-east-1a a la zona de disponibilidad de destino us-east-1b, con conexiones de VPC en modo de dispositivo tanto en us-east-1a como en us-east-1b, la puerta de enlace de tránsito utiliza un algoritmo de hash de flujo para seleccionar us-east-1a o us-east-1b dentro de la VPC del dispositivo. La zona de disponibilidad elegida se utiliza de forma coherente durante todo el flujo.
### Ejemplo 3: Enrutamiento del tráfico a través de una VPC de dispositivo sin datos de zona de disponibilidad
Cuando el tráfico se origina en la zona de disponibilidad de origen us-east-1a a un destino sin información de la zona de disponibilidad (p. ej., tráfico destinado a Internet), con conexiones de VPC en modo de dispositivo tanto en us-east-1a como en us-east-1b, la puerta de enlace de tránsito selecciona una interfaz de red de us-east-1a dentro de la VPC del dispositivo.
### Ejemplo 4: Enrutamiento del tráfico a través de la VPC de un dispositivo en una zona de disponibilidad distinta de la de origen o de destino
Cuando el tráfico fluye desde la zona de disponibilidad de origen us-east-1a a la zona de disponibilidad de destino us-east-1b, con conexiones de VPC en modo de dispositivo en diferentes zonas de disponibilidad, por ejemplo, en us-east-1c y us-east-1d, la puerta de enlace de tránsito selecciona un algoritmo de hash de flujo para seleccionar us-east-1c o us-east-1d en la VPC del dispositivo. La zona de disponibilidad elegida se utiliza de forma coherente durante todo el flujo.
**nota**
El modo dispositivo solo se admite para las conexiones de VPC. Asegúrese de que la propagación de rutas esté habilitada para una tabla de enrutamiento asociada a una conexión de VPC del dispositivo.
## Referencia a grupos de seguridad
Puede utilizar esta función para simplificar la administración de los grupos de seguridad y el control del instance-to-instance tráfico entre los VPCs que están conectados a la misma puerta de enlace de tránsito. Solo puede hacer referencia cruzada a los grupos de seguridad en las reglas entrantes. Las reglas de seguridad salientes no son compatibles con las referencias a los grupos de seguridad. El uso y la habilitación de las referencias a los grupos de seguridad no tienen costos adicionales.
La compatibilidad con las referencias a los grupos de seguridad se puede configurar tanto para las puertas de enlace de tránsito como para las conexiones de VPC de las puertas de enlace de tránsito, y solo funcionará si se habilitó tanto para una puerta de enlace de tránsito como para sus conexiones de VPC.
### Limitaciones
Las siguientes limitaciones se aplican cuando se usa la referencia a los grupos de seguridad con conexiones de VPC.
+ No se admite la referencia a grupos de seguridad en las conexiones de interconexión de la puerta de enlace de tránsito. Ambas VPCs deben estar conectadas a la misma pasarela de tránsito.
+ La referencia a los grupos de seguridad no es compatible con las conexiones de VPC en la zona de disponibilidad use1-az3.
+ No se admite la referencia a grupos de seguridad en los puntos PrivateLink finales. Como alternativa, recomendamos utilizar reglas de seguridad de IP basadas en el CIDR.
+ La referencia a los grupos de seguridad funciona para Elastic File System (EFS) siempre que se haya configurado una regla de grupo de seguridad que permita todas las salidas para las interfaces de EFS de la VPC.
+ La conectividad de zona local a través de una puerta de enlace de tránsito solo es compatible con las siguientes zonas locales: us-east-1-atl-2a, us-east-1-dfw-2a, us-east-1-iah-2a, us-west-2-lax-1a, us-west-2-lax-1b, us-east-1-mia-2a, us-east-1-chi-2a y us-west-2-phx-2a.
+ Recomendamos deshabilitar esta función en el nivel VPCs de conexión de la VPC si las subredes se encuentran en Zonas Locales AWS , Outposts y Wavelength Zones no compatibles AWS , ya que podría provocar una interrupción del servicio.
+ Si tiene una VPC de inspección, la referencia a grupos de seguridad a través de la puerta de enlace de tránsito no funciona en el Gateway Load AWS Balancer o en un Network Firewall. AWS
**Topics**
+ [Requisitos de la tabla de enrutamiento para conexiones de VPC](#vpc-attachment-routing-requirements)
+ [Ciclo de vida de la conexión de VPC](#vpc-attachment-lifecycle)
+ [Modo Dispositivo](#tgw-appliancemode)
+ [Referencia a grupos de seguridad](#vpc-attachment-security)
+ [Crear una conexión de VPC](create-vpc-attachment.md)
+ [Modificación de una conexión de la VPC](modify-vpc-attachment.md)
+ [Modificación de las etiquetas de vinculaciones de la VPC](modify-vpc-attachment-tag.md)
+ [Consultar una conexión de VPC](view-vpc-attachment.md)
+ [Eliminar una vinculación de VPC](delete-vpc-attachment.md)
+ [Actualización de las reglas de entrada del grupo de seguridad](tgw-sg-updates-update.md)
+ [Identificación de los grupos de seguridad referenciados](tgw-sg-updates-identify.md)
+ [Eliminación de las reglas obsoletas del grupo de seguridad](tgw-sg-updates-stale.md)
+ [Solución de problemas de conexiones de VPC](transit-gateway-vpc-attach-troubleshooting.md)
# Crear una vinculación de de VPC en AWS Transit Gateway
**Para crear una vinculación de VPC con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Elija **Create transit puerta de enlace attachment** (Crear conexión de puerta de enlace de tránsito).
1. En **Name tag** (Etiqueta de nombre), opcionalmente puede ingresar un nombre para la conexión de puerta de enlace de tránsito.
1. En **Transit Gateway ID** (ID de puerta de enlace de tránsito), elija la puerta de enlace de tránsito para la conexión. Puede elegir una puerta de enlace de tránsito de su propiedad o una puerta de enlace de tránsito que se compartió con usted.
1. En **Attachment type** (Tipo de vinculación), elija **VPC**.
1. Seleccione si desea habilitar **Compatibilidad de DNS**, **Compatibilidad de IPv6** y **Compatibilidad del modo dispositivo**.
Si selecciona el modo dispositivo, el flujo de tráfico entre un origen y un destino utiliza la misma zona de disponibilidad para la conexión de VPC durante la vida útil del flujo.
1. Seleccione si desea habilitar **Compatibilidad de referencia a grupos de seguridad**. Habilite esta característica para que haga referencia al grupo de seguridad en las VPC conectadas a la puerta de enlace de tránsito. Para obtener más información sobre la referencia a los grupos de seguridad, consulte [Referencia a grupos de seguridad](tgw-vpc-attachments.md#vpc-attachment-security).
1. Seleccione si desea habilitar **Compatibilidad de IPv6**.
1. En **VPC ID (ID de VPC)**, elija la VPC que desee asociar a la puerta de enlace de tránsito.
Esta VPC debe tener una subred asociada como mínimo.
1. En **Subnet IDs (ID de subred)**, seleccione una subred para cada zona de disponibilidad que la puerta de enlace de tránsito utilizará para enrutar el tráfico. Debe seleccionar al menos una subred. Solo puede seleccionar una subred por zona de disponibilidad.
1. Elija **Create transit puerta de enlace attachment** (Crear conexión de puerta de enlace de tránsito).
**Para crear una vinculación de VPC con la AWS CLI**
Utilice el comando [create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html).
# Modificar un adjunto de VPC en AWS Transit Gateway
**Para modificar las vinculaciones de VPC mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Seleccione la conexión de VPC, y luego elija **Actions** (Acciones), **Modify transit puerta de enlace attachment** (Modificar conexión de puerta de enlace de tránsito).
1. Habilite o deshabilite cualquiera de las siguientes opciones:
+ **Compatibilidad con DNS**
+ **IPv6 soporte**
+ **Compatibilidad del modo dispositivo**
1. Para agregar o eliminar una subred de la conexión, marque o desmarque la casilla de verificación ubicada junto a la **ID de subred** que desea agregar o eliminar.
**nota**
Agregar o modificar una subred de datos adjuntos de VPC podría afectar el tráfico de datos mientras el adjunto se encuentra en estado de modificación.
1. Para poder hacer referencia a un grupo de seguridad VPCs conectado a una puerta de enlace de tránsito, seleccione el **soporte de referencia de grupos de seguridad**. Para obtener más información sobre la referencia a los grupos de seguridad, consulte [Referencia a grupos de seguridad](tgw-vpc-attachments.md#vpc-attachment-security).
**nota**
Si deshabilita la referencia a los grupos de seguridad para una puerta de enlace de tránsito existente, se deshabilitará en todas las conexiones de la VPC.
1. Elija **Modify transit puerta de enlace attachment** (Modificar conexión de puerta de enlace de tránsito).
**Para modificar los adjuntos de la VPC mediante el AWS CLI**
Utilice el comando [modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html).
# Modificación de las etiquetas de vinculaciones de la VPC en AWS Transit Gateway
**Para modificar las etiquetas de vinculaciones de VPC mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Seleccione la conexión de VPC, y luego elija **Actions** (Acciones), **Manage tags** (Administrar etiquetas).
1. [Agregar una etiqueta] Elija **Add new tag** (Agregar etiqueta) y haga lo siguiente:
+ En **Clave**, escriba el nombre de la clave.
+ En **Value** (Valor), escriba el valor de la clave.
1. [Eliminar una etiqueta] Junto a la etiqueta, elija **Remove** (Quitar).
1. Seleccione **Save**.
Las etiquetas de adjunto de VPC solo se pueden modificar con la consola.
# Consultar una conexión de VPC en AWS Transit Gateway
**Para ver las vinculaciones de VPC mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. En la columna **Resource type** (Tipo de recurso), busque **VPC** (VPC). Se trata de las conexiones de VPC.
1. Seleccione una vinculación para ver sus detalles.
**Para ver las vinculaciones de VPC mediante la AWS CLI**
Utilice el comando [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html).
# Eliminar una conexión de VPC en AWS Transit Gateway
**Para eliminar una vinculación de VPC mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Seleccione la vinculación de VPC.
1. Elija **Actions** (Acciones),**Delete transit gateway attachment** (Eliminar conexión de puerta de enlace de tránsito).
1. Cuando se le solicite, ingrese **delete** y elija **Delete** (Eliminar).
**Para eliminar una vinculación de VPC mediante la AWS CLI**
Utilice el comando [delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html).
# Actualización de las reglas de entrada del grupo de seguridad de AWS Transit Gateway
Puede actualizar todas las reglas de entrada del grupo de seguridad asociadas con la puerta de enlace de tránsito. Para actualizar las reglas del grupo de seguridad desde la consola de Amazon VPC o con la línea de comando o una API. Para obtener más información sobre la referencia a los grupos de seguridad, consulte [Referencia a grupos de seguridad](tgw-vpc-attachments.md#vpc-attachment-security).
**Para actualizar las reglas del grupo de seguridad desde la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Para modificar las reglas de entrada, seleccione el grupo de seguridad y luego elija **Acciones**, **Editar reglas de entrada**.
1. Para agregar una regla, elija **Agregar regla** y especifique el tipo, el protocolo y el rango de puertos. En **Origen** (regla de entrada), ingrese el ID del grupo de seguridad de la VPC conectado a la puerta de enlace de tránsito.
**nota**
Los grupos de seguridad de una VPC conectados a la puerta de enlace de tránsito no se muestran automáticamente.
1. Para editar una regla existente, cambie los valores (por ejemplo, el origen o la descripción).
1. Para eliminar una regla, elija la opción **Eliminar** situada junto a la regla.
1. Seleccione **Guardar reglas**.
**Para actualizar las reglas de entrada mediante la línea de comandos**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
# Identificación de los grupos de seguridad referenciados de AWS Transit Gateway
Para determinar si se hace referencia a su grupo de seguridad en las reglas de un grupo de seguridad de una VPC conectada a la misma puerta de enlace de tránsito, utilice uno de los siguientes comandos.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
# Eliminación de las reglas obsoletas del grupo de seguridad de AWS Transit Gateway
Una regla obsoleta del grupo de seguridad es una regla que hace referencia a un grupo de seguridad eliminado en la misma VPC o en una VPC conectada a la misma puerta de enlace de tránsito. Cuando una regla de grupo de seguridad queda obsoleta, esta no se quita automáticamente del grupo de seguridad, sino que debe quitarla manualmente.
Puede consultar y eliminar las reglas de grupo de seguridad obsoletas de una VPC mediante la consola de Amazon VPC.
**Para ver y eliminar reglas de grupo de seguridad obsoletas**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Security groups** (Grupos de seguridad).
1. Elija **Actions** (Acciones), **Manage stale rules** (Administrar reglas obsoletas).
1. En **VPC**, elija la VPC con las reglas obsoletas.
1. Elija **Edit**.
1. Presione el botón **Delete** (Eliminar), que se encuentra junto a la regla que desea eliminar. Elija **Vista previa de cambios**, **Guardar reglas**.
**Descripción de las reglas de grupo de seguridad obsoletas mediante la línea de comandos**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
Una vez identificadas las reglas de grupo de seguridad obsoletas, puede eliminarlas utilizando los comandos [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) o [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).
# Solución de problemas con la creación de conexiones de VPC en AWS Transit Gateway
El siguiente tema le puede ayudar a solucionar los problemas que podrían presentarse cuando crea una conexión de VPC.
**Problema**
Se produjo un error en la conexión de VPC.
**Causa**
Esto podría deberse a una de las siguientes causas:
1. El usuario que está creando la conexión de VPC no tiene los permisos correctos para crear un rol vinculado a servicios.
1. Existe un problema de limitación controlada debido a que hay demasiadas solicitudes de IAM; por ejemplo, está utilizando CloudFormation para crear permisos y roles.
1. La cuenta tiene el rol vinculado al servicio y el rol vinculado al servicio se ha modificado.
1. La puerta de enlace de tránsito no está en el estado `available`.
**Solución**
Según la causa, intente lo siguiente:
1. Compruebe que el usuario tenga los permisos correctos para crear roles vinculados a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) en la *Guía del usuario de IAM*. Una vez que el usuario tenga los permisos, cree la conexión de VPC.
1. Cree la conexión de VPC manualmente. Para obtener más información, consulte [Crear una vinculación de de VPC en AWS Transit Gateway](create-vpc-attachment.md).
1. Compruebe que el rol vinculado al servicio tenga los permisos correctos. Para obtener más información, consulte [Rol vinculado a servicios de la puerta de enlace de tránsito](service-linked-roles.md#tgw-service-linked-roles).
1. Compruebe que la puerta de enlace de tránsito esté en el estado `available`. Para obtener más información, consulte [Consultar información de la puerta de enlace de tránsito en AWS Transit Gateway](view-tgws.md).
# Vinculaciones de funciones de red de AWS Transit Gateway
Puede crear una vinculación de función de red para conectar directamente su puerta de enlace de tránsito directamente con AWS Network Firewall. Elimina la necesidad de crear y administrar las VPC de inspección.
Con una vinculación de firewall, AWS aprovisiona y administra de manera automática todos los recursos necesarios entre bastidores. Verá una nueva conexión de puerta de enlace de tránsito en lugar de puntod de conexión de firewall individualrd. Esto simplifica el proceso de implementación de la inspección centralizada del tráfico de la red.
Para poder utilizar una vinculación de firewall, primero debe crearla en AWS Network Firewall. Para conocer los pasos necesarios para crear la vinculación, consulte [Introducción a la administración de AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) en la *Guía para desarrolladores de AWS Network Firewall*. Una vez creado el firewall, podrá ver el adjunto en la consola de la puerta de enlace de tránsito, en la sección **Vinculaciones**. La vinculación aparecerá junto con un tipo de **función de red**.
**Topics**
+ [Aceptar o rechazar una conexión de función de red de puerta de enlace de tránsito](accept-reject-firewall-attachment.md)
+ [Consultar las vinculaciones de funciones de red](view-nf-attachment-nm.md)
+ [Enrute el tráfico a través de una conexión de función de red de la puerta de enlace de tránsito](route-traffic-nf-attachment.md)
# Aceptar o rechazar un adjunto a la función de red AWS Transit Gateway
Puede utilizar la consola de Amazon VPC o la AWS Network Firewall CLI o la API para aceptar o rechazar un adjunto de función de red de Transit Gateway, incluidos los adjuntos de Network Firewall. Si usted es el propietario de una puerta de enlace de tránsito y alguien ha creado una vinculación de firewall hacia su puerta de enlace de tránsito desde otra cuenta, debe aceptar o rechazar la solicitud de vinculación.
Para aceptar o rechazar un adjunto a una función de red mediante la CLI de Network Firewall, consulte `AcceptNetworkFirewallTransitGatewayAttachment` o `RejectNetworkFirewallTransitGatewayAttachment` APIs en la [https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html).
## Aceptar o rechazar una conexión de función de red mediante la consola
Utilice la consola de Amazon VPC para aceptar o rechazar una conexión de función de red de puerta de enlace de tránsito.
**Para aceptar o rechazar una conexión de función de red mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Puertas de enlace de tránsito**.
1. Elija **Conexiones de puerta de enlace de tránsito**.
1. Seleccione la conexión con el estado **Pendiente de aceptación** y un tipo de **función de red**.
1. Seleccione **Acciones** y, a continuación, elija **Aceptar conexión** o **Rechazar conexión**.
1. En el cuadro de diálogo de confirmación, elija **Aceptar** o **Rechazar**.
Si acepta la conexión, se activa y el firewall puede inspeccionar el tráfico. Si rechaza la conexión, pasará a un estado de rechazo y, finalmente, se eliminará.
# Ver adjuntos a las funciones de red de AWS Transit Gateway
Puede ver los archivos adjuntos de las funciones de red, incluidos AWS Network Firewall los adjuntos, mediante la consola Amazon VPC o la consola Network Manager para obtener una representación visual de la topología de la red.
## Consultar una vinculación de función de red mediante la consola Network Manager
Puede consultar una vinculación de función de red mediante la consola Network Manager.
**Para consultar las vinculaciones del firewall en Network Manager**
1. [Abra la consola de Network Manager en https://console.aws.amazon.com/networkmanager/ casa/.](https://console.aws.amazon.com/networkmanager/home)
1. Cree una red global en Network Manager si todavía no tiene una.
1. Registrar la puerta de enlace de tránsito en Network Manager.
1. En **Redes globales**, elige la red global en la que se encuentra la vinculación.
1. En el panel de navegación, seleccione **Transit gateways** (Puertas de enlace de tránsito).
1. Seleccione la puerta de enlace de tránsito cuyas vinculaciones desea ver.
1. Elija la vista **Árbol de topología**. Las vinculaciones de Network Firewall aparecen con un icono de función de red.
1. Para ver los detalles sobre una vinculación de firewall específica, seleccione la puerta de enlace de tránsito en la vista de topología y, a continuación, seleccione la pestaña **Función de red**.
La consola de Network Manager proporciona información detallada sobre las vinculaciones del firewall, incluido su estado, la puerta de enlace de tránsito asociada y las zonas de disponibilidad.
## Consultar una vinculación de función de red mediante la consola Amazon VPC
Use la consola de VPC para ver una lista de los tipos de conexiones de puerta de enlace de tránsito
**Para consultar los tipos de conexiones de puerta de enlace de tránsito mediante la consola de VPC**
+ Consulte [Consultar una conexión de VPC](view-vpc-attachment.md).
# Enrute el tráfico a través de un adjunto de función de red AWS Transit Gateway
Tras crear una conexión de función de red, se deben actualizar las tablas de enrutamiento las puertas de enlace de tránsito para enviar el tráfico a través del firewall para su inspección mediante la consola de Amazon VPC o mediante la CLI. Para conocer los pasos para actualizar una asociación de tabla de enrutamiento de puerta de enlace de tránsito, consulte [Asociar una tabla de enrutamiento de la puerta de enlace de tránsito](associate-tgw-route-table.md).
## Dirija el tráfico a través de una vinculación de firewall mediante la consola
Utilice la consola de Amazon VPC Console para enrutar el tráfico a través de una conexión de función de red de la puerta de enlace.
**Para enrutar el tráfico a través de una conexión de función de red mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Puertas de enlace de tránsito**.
1. Elija **Crear tablas de enrutamiento de puertas de enlace de tránsito**.
1. Seleccione la tabla de enrutamiento que desea modificar.
1. Elija **Acciones** y, a continuación, seleccione **Crear enrutamiento estático**.
1. Para **CIDR**, introduzca el bloque de CIDR de destino para el enrutamiento.
1. En **Vinculación**, seleccione la conexión de función de red. Por ejemplo, podría ser un AWS Network Firewall archivo adjunto.
1. Elija **Create static route** (Crear ruta estática).
**nota**
Solo se admiten enrutamientos estáticos.
El tráfico que coincida con el bloque de CIDR de su tabla de enrutamiento ahora se enviará a la vinculación del firewall para su inspección antes de reenviarlo a su destino final.
## Para enrutar el tráfico a través de una conexión de función de red mediante la CLI o la API
Utilice la línea de comandos o la API para enrutar una vinculación de red de puerta de enlace de tránsito.
**Para enrutar el tráfico a través de una conexión de función de red mediante la línea de comandos o de la API**
+ Utilice [https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html](https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html).
Por ejemplo, la solicitud podría ser para enrutar una vinculación de firewall de red:
```
aws ec2 create-transit-gateway-route \
--transit-gateway-route-table-id tgw-rtb-0123456789abcdef0 \
--destination-cidr-block 0.0.0.0/0 \
--transit-gateway-attachment-id tgw-attach-0123456789abcdef0
```
Entonces, el resultado devuelve:
```
{
"Route": {
"DestinationCidrBlock": "0.0.0.0/0",
"TransitGatewayAttachments": [
{
"ResourceId": "network-firewall",
"TransitGatewayAttachmentId": "tgw-attach-0123456789abcdef0",
"ResourceType": "network-function"
}
],
"Type": "static",
"State": "active"
}
}
```
El tráfico que coincida con el bloque de CIDR de su tabla de enrutamiento ahora se enviará a la vinculación del firewall para su inspección antes de reenviarlo a su destino final.
# AWS Site-to-Site VPN archivos adjuntos en AWS Transit Gateway
Puede conectar un adjunto de Site-to-Site VPN a una pasarela de tránsito en AWS Transit Gateway, lo que le permitirá conectar sus redes VPCs y las locales. Se admiten rutas dinámicas y estáticas, así como IPv4 y IPv6.
**Requisitos**
+ Para vincular una conexión de VPN a la puerta de enlace de tránsito debe especificar la puerta de enlace de cliente de VPN, que tiene requisitos de dispositivo específicos. Antes de crear un adjunto de Site-to-Site VPN, revise los requisitos de la puerta de enlace del cliente para asegurarse de que la puerta de enlace esté configurada correctamente. Para obtener más información sobre estos requisitos, incluidos ejemplos de archivos de configuración de la puerta de enlace, consulte [los requisitos para su dispositivo de puerta de enlace Site-to-Site VPN para clientes](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html) en la *Guía del AWS Site-to-Site VPN usuario*.
+ En el caso de la estática VPNs, también tendrás que añadir primero las rutas estáticas a la tabla de rutas de la pasarela de tránsito. La VPN no filtra las rutas estáticas de una tabla de rutas de una puerta de enlace de tránsito que se dirigen a un adjunto de Site-to-Site VPN, ya que esto podría permitir un flujo de tráfico saliente no deseado cuando se utiliza una VPN basada en BGP. Para conocer los pasos para agregar una ruta estática a la tabla de enrutamiento de una puerta de enlace de tránsito, consulte [Crear una ruta estática](tgw-create-static-route.md).
Puede crear, ver o eliminar un adjunto de Site-to-Site VPN de Transit Gateway mediante la consola de Amazon VPC o mediante la CLI AWS .
**Topics**
+ [Crear una vinculación de la puerta de enlace de tránsito a una VPN](create-vpn-attachment.md)
+ [Consultar una conexión de VPN](view-vpn-attachment.md)
+ [Eliminar una vinculación de VPN](delete-vpn-attachment.md)
# Creación de una conexión de puerta de enlace de tránsito a una VPN en AWS Transit Gateways
**Para crear una vinculación de la VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Elija **Create transit puerta de enlace attachment** (Crear conexión de puerta de enlace de tránsito).
1. En **Transit Gateway ID** (ID de puerta de enlace de tránsito), elija la puerta de enlace de tránsito para la conexión. Puede elegir una puerta de enlace de tránsito de su propiedad.
1. En **Attachment type** (Tipo de vinculación), elija **VPN**.
1. En **Customer Gateway** (Puerta de enlace de cliente), realice alguna de las siguientes operaciones:
+ Para utilizar una puerta de enlace de cliente ya existente, elija **Existing (Existente)** y, a continuación, seleccione la puerta de enlace que desea utilizar.
Si su puerta de enlace de cliente se encuentra detrás de un dispositivo de conversión de direcciones de red (NAT) que admite NAT traversal (NAT-T), utilice la dirección IP pública de su dispositivo NAT y ajuste las reglas de su firewall para desbloquear el puerto UDP 4500.
+ Para crear una puerta de enlace de cliente, elija **New (Nueva)** y, en **IP Address (Dirección IP)**, escriba una dirección IP pública estática y el **BGP ASN**.
En **Routing options** (Opciones de direccionamiento), elija **Dynamic** (Dinámico) o **Static** (Estático). Para obtener más información, consulte [Opciones de enrutamiento de Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html) en la *Guía del usuario de AWS Site-to-Site VPN*.
1. En **Tunnel Options** (Opciones de túnel), introduzca los rangos de CIDR y las claves previamente compartidas del túnel. Para obtener más información, consulte [Arquitecturas de Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html).
1. Elija **Create transit puerta de enlace attachment** (Crear conexión de puerta de enlace de tránsito).
**Para crear una vinculación de VPN con la AWS CLI**
Utilice el comando [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html).
# Consultar una vinculación de la VPN en AWS Transit Gateway
**Para ver las vinculaciones de VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. En la columna **Resource type** (Tipo de recurso), busque **VPN** (VPN). Se trata de las conexiones de VPN.
1. Elija una vinculación para ver los detalles correspondientes o agregar etiquetas.
**Para ver las vinculaciones de VPN mediante la AWS CLI**
Utilice el comando [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html).
# Eliminar una conexión de VPN en AWS Transit Gateway
**Para eliminar una vinculación de VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Seleccione la vinculación de VPN.
1. Elija el ID de recurso de la conexión de VPN para navegar hasta la página **VPN Connections** (Conexiones de VPN).
1. Elija **Actions** (Acciones), **Delete** (Eliminar).
1. Cuando se le pida confirmación, elija **Delete** (Eliminar).
**Para eliminar una vinculación de VPN mediante la AWS CLI**
Utilice el comando [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html).
# Archivos adjuntos de VPN Concentrator en AWS Transit Gateway
AWS Site-to-Site El concentrador VPN es una nueva función que simplifica la conectividad multisitio para empresas distribuidas. VPN Concentrator es adecuado para clientes que necesitan conectarse a más de 25 sitios remotos AWS, y cada sitio necesita un ancho de banda reducido (menos de 100 Mbps).
## Cómo funciona VPN Concentrator
Un concentrador VPN aparece como un único adjunto en tu pasarela de tránsito, pero puede alojar varias conexiones Site-to-Site VPN.
El tráfico de todas las conexiones VPN del Concentrator se enruta a través del mismo adjunto a la pasarela de tránsito, lo que le permite aplicar políticas de enrutamiento y reglas de seguridad coherentes en todos los sitios conectados. El Concentrator se integra perfectamente con las tablas de rutas de las pasarelas de tránsito, lo que le permite controlar el flujo de tráfico entre sus sitios remotos y otros archivos adjuntos VPCs, como otras conexiones VPN y conexiones entre pares.
## Ventajas del concentrador VPN
+ **Optimización de costos**: reduzca los costos al consolidar varias conexiones VPN de bajo ancho de banda en un único accesorio de pasarela de tránsito, lo que resulta especialmente beneficioso cuando los sitios individuales no requieren toda la capacidad de conexión de la VPN.
+ **Administración simplificada**: administre las conexiones de varios sitios remotos a través de un accesorio unificado y, al mismo tiempo, mantenga el control y la supervisión de las conexiones VPN individuales.
+ **Enrutamiento coherente**: aplique políticas de enrutamiento unificadas en todos los sitios conectados mediante una única asociación de tablas de rutas de la pasarela de tránsito.
+ **Arquitectura escalable**: Conecte hasta 100 sitios remotos mediante un solo concentrador, con soporte para hasta 5 concentradores por puerta de enlace de tránsito.
+ **Características de VPN estándar**: cada conexión VPN admite las mismas capacidades de seguridad, supervisión y enrutamiento que las conexiones Site-to-Site VPN estándar.
**Requisitos y limitaciones**
+ **Solo enrutamiento BGP: VPN Concentrator solo** admite el enrutamiento BGP (dinámico). No se admite el enrutamiento estático en el momento del lanzamiento.
+ **Requisitos de puerta de enlace para el cliente**: cada sitio remoto requiere una puerta de enlace para el cliente que admita el enrutamiento BGP. Antes de crear conexiones VPN en un concentrador, revise los requisitos de la puerta de enlace para clientes en la sección [Requisitos para su dispositivo de puerta de enlace para clientes Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html) de la Guía del *AWS Site-to-Site VPN usuario*.
+ **Consideraciones de rendimiento**: cada conexión VPN de un concentrador está diseñada para un ancho de banda máximo de 100 Mbps. Para requisitos de ancho de banda más altos, considere la posibilidad de utilizar adjuntos VPN de pasarela de tránsito estándar.
Puede crear, ver o eliminar un adjunto a un concentrador de VPN mediante la consola de AWS VPC o la CLI. AWS Las conexiones VPN individuales del Concentrator se administran a través de la conexión VPN estándar APIs y las interfaces de consola.
**Topics**
+ [Cómo funciona VPN Concentrator](#vpn-concentrator-how-it-works)
+ [Ventajas del concentrador VPN](#vpn-concentrator-benefits)
+ [Cree un adjunto a un concentrador VPN](create-vpn-concentrator-attachment.md)
+ [Ver un adjunto de VPN Concentrator](view-vpn-concentrator-attachment.md)
+ [Eliminar un adjunto de VPN Concentrator](delete-vpn-concentrator-attachment.md)
# Crear un adjunto de VPN Concentrator en AWS Transit Gateway
**Requisitos previos**
+ Debe tener una pasarela de tránsito existente en su cuenta.
**Para crear un adjunto a un concentrador VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Site-to-Site Concentradores VPN**.
1. Elija **Crear concentrador de Site-to-Site VPN**.
1. (Opcional) En la **etiqueta con el nombre**, introduzca un nombre para su concentrador de Site-to-Site VPN.
1. Para **Transit Gateway**, selecciona una pasarela de tránsito existente.
1. (Opcional) Para añadir etiquetas adicionales, selecciona **Añadir nueva etiqueta** y especifica la clave y el valor de cada etiqueta.
1. Elija **Crear concentrador de Site-to-Site VPN**.
**Tras crear el adjunto al concentrador VPN, éste aparecerá en la lista de adjuntos con el tipo de recurso del **concentrador VPN** y el estado inicial pendiente.** **Cuando el adjunto esté listo, el estado cambiará a Disponible.** A continuación, puede crear conexiones Site-to-Site VPN en este concentrador.
**Para crear un adjunto a un concentrador VPN mediante el AWS CLI**
Utilice el comando [create-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-concentrator.html).
**Para crear una conexión VPN en un concentrador VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Conexiones Site-to-Site VPN**.
1. Elija **Create VPN Connection** (Crear conexión VPN).
1. Para el **tipo de puerta de enlace de destino**, elija **Site-to-Site VPN Concentrator.**
1. Para el **concentrador de Site-to-Site VPN**, elija el concentrador de VPN en el que desee crear la conexión VPN.
1. En **Customer Gateway** (Puerta de enlace de cliente), realice alguna de las siguientes operaciones:
+ Para utilizar una puerta de enlace de cliente ya existente, elija **Existing (Existente)** y, a continuación, seleccione la puerta de enlace que desea utilizar. Asegúrese de que la pasarela del cliente sea compatible con el enrutamiento BGP.
+ Para crear una gateway de cliente, elija **New** (Nuevo). En **Dirección IP**, introduzca la dirección IP pública estática del dispositivo de puerta de enlace del cliente. Para **BGP** ASN, introduzca el número de sistema autónomo (ASN) del Border Gateway Protocol (BGP) para su pasarela de cliente.
Si su puerta de enlace de cliente se encuentra detrás de un dispositivo de conversión de direcciones de red (NAT) que admite NAT traversal (NAT-T), utilice la dirección IP pública de su dispositivo NAT y ajuste las reglas de su firewall para desbloquear el puerto UDP 4500.
1. Para **las opciones de enrutamiento**, se selecciona **automáticamente el modo dinámico (requiere BGP**). VPN Concentrator solo admite el enrutamiento dinámico con BGP.
1. Para **almacenar claves previamente compartidas**, selecciona **Standard** o **Secrets Manager**.
1. Para el **ancho de banda del túnel**, se selecciona automáticamente el **estándar**. El concentrador VPN solo admite el ancho de banda de túnel estándar.
1. Para la **versión Tunnel inside IP**, seleccione una **IPv4**o **IPv6**.
1. (Opcional) Seleccione **Activar la aceleración** para mejorar el rendimiento de los túneles VPN.
1. (Opcional) Para el **CIDR IPv4 de red local**, proporcione un rango de IPv4 CIDR.
1. (Opcional) Para el CIDR de ** IPv4 red remota, proporcione un IPv4 rango de CIDR**.
1. Para el **tipo de dirección IP externa**, puede seleccionar **Pública IPv4** o **IPv6**Dirección.
1. (Opcional) En el caso de **las opciones de túnel**, puede configurar los ajustes del túnel, como las direcciones IP internas del túnel y las claves previamente compartidas. Para obtener más información, consulte [las arquitecturas de Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html) en la Guía del *AWS Site-to-Site VPN usuario*.
1. (Opcional) Para añadir etiquetas adicionales, elija **Añadir nueva etiqueta** y especifique la clave y el valor de cada etiqueta.
1. Elija **Create VPN Connection** (Crear conexión VPN).
La conexión VPN aparece en la lista de conexiones VPN con el ID del concentrador de VPN en la columna **ID de Transit Gateway** y un estado inicial de **Pendiente**. Cuando la conexión VPN esté lista, el estado cambiará a **Disponible**.
**Para crear una conexión VPN en un concentrador VPN mediante el AWS CLI**
Utilice el [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)comando y especifique el ID del concentrador VPN mediante el `--vpn-concentrator-id` parámetro.
# Ver un adjunto de VPN Concentrator en AWS Transit Gateway
**Para ver los archivos adjuntos de su concentrador VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments** (Conexiones de puerta de enlace de tránsito).
1. En la columna **Tipo de recurso**, busca **VPN Concentrator**. Estos son los archivos adjuntos del concentrador VPN.
1. Seleccione una vinculación para ver sus detalles.
**Para ver las conexiones VPN en un concentrador VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Conexiones Site-to-Site VPN**.
1. En la lista de conexiones VPN, identifique las conexiones que muestren un ID de VPN Concentrator en la columna **Transit Gateway ID**. Estas son las conexiones VPN alojadas en los concentradores VPN.
1. Elija una conexión VPN para ver sus detalles.
**Para ver los archivos adjuntos de su concentrador VPN mediante el AWS CLI**
Utilice el [describe-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-concentrator.html)comando para ver los detalles del concentrador VPN o utilice el [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html)comando con un filtro para el tipo de recurso. `vpn-concentrator`
**Para ver las conexiones VPN en un concentrador VPN mediante el AWS CLI**
Utilice el [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)comando con un filtro `vpn-concentrator-id` para ver las conexiones VPN asociadas a un concentrador específico.
# Eliminar un adjunto de VPN Concentrator en AWS Transit Gateway
**Requisitos previos**
+ Se deben eliminar todas las conexiones VPN del concentrador VPN antes de poder eliminar el adjunto del concentrador.
+ Asegúrese de haber actualizado las configuraciones de enrutamiento para tener en cuenta la eliminación del concentrador VPN y sus conexiones VPN asociadas.
**Para eliminar las conexiones VPN en un concentrador VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Conexiones Site-to-Site VPN**.
1. Identifique las conexiones VPN asociadas a su concentrador de VPN buscando el ID del concentrador de VPN en la columna de ID de **Transit Gateway**.
1. Seleccione la conexión VPN que desee eliminar.
1. Seleccione **Acciones**, **Eliminar**.
1. Cuando se le pida confirmación, elija **Eliminar**.
1. Repita los pasos 4 a 6 para cada conexión VPN asociada al concentrador VPN.
**Para eliminar un archivo adjunto al concentrador VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments** (Conexiones de puerta de enlace de tránsito).
1. Seleccione el adjunto del concentrador VPN que desee eliminar. Compruebe que no haya ninguna conexión VPN asociada a este concentrador.
1. Seleccione **Acciones** y **elimine el archivo adjunto**.
1. Cuando se le pida confirmación, seleccione **Eliminar**.
El archivo adjunto del VPN Concentrator pasa al estado de **eliminación** y se eliminará de su cuenta. Este proceso puede tardar unos minutos en completarse.
**Para eliminar las conexiones VPN en un concentrador VPN mediante el AWS CLI**
Utilice el [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html)comando para cada conexión VPN asociada al concentrador VPN.
**Para eliminar un archivo adjunto al concentrador VPN mediante el AWS CLI**
Utilice el [delete-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-concentrator.html)comando después de eliminar todas las conexiones VPN.
# Conexiones de puerta de enlace de tránsito a una puerta de enlace de Direct Connect en AWS Transit Gateway
Asocie una gateway de tránsito a una gateway de Direct Connect con una interfaz virtual de tránsito. Esta configuración ofrece los siguientes beneficios. Puede hacer lo siguiente:
+ Administrar una única conexión para las distintas VPC o VPN que haya en la misma región.
+ Publicar los prefijos desde las instalaciones hasta AWS y desde AWS hasta las instalaciones.
El siguiente diagrama muestra cómo le permite la gateway de Direct Connect crear una única conexión con su conexión de Direct Connect que todas las VPC pueden utilizar.
![\[Gateway de Direct Connect conectada a una gateway de tránsito\]](http://docs.aws.amazon.com/es_es/vpc/latest/tgw/images/direct-connect-tgw.png)
La solución implica los siguientes componentes:
+ Una gateway de tránsito.
+ Una gateway de Direct Connect.
+ Una asociación entre la puerta de enlace de Direct Connect y la puerta de enlace de tránsito.
+ Una interfaz virtual de tránsito vinculada a la gateway de Direct Connect.
Para obtener información sobre la configuración de gateways de Direct Connect con gateways de tránsito, consulte [Asociaciones de gateway de tránsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html) en la *Guía del usuario de AWS Direct Connect*.
# Vinculaciones de interconexiones de la puerta de enlace de tránsito en AWS Transit Gateway
Puede interconectar dos puerta de enlaces de tránsito en forma intrarregional e interregional, y enrutar el tráfico entre ellas, incluidos el tráfico IPv4 e IPv6. Para ello, cree un archivo adjunto de interconexión en la puerta de enlace de tránsito y especifique una puerta de enlace de tránsito. La puerta de enlace de tránsito de interconexión puede estar en su cuenta o provenir de otra cuenta diferente. También se puede solicitar una vinculación de interconexión desde su cuenta a una puerta de enlace de transporte de otra cuenta.
Después de crear una solicitud de vinculación de interconexión, el propietario de la puerta de enlace de tránsito del mismo nivel (también conocida como la *puerta de enlace de tránsito del aceptador*) debe aceptar la solicitud. Para enrutar el tráfico entre las puerta de enlaces de tránsito, agregue una ruta estática a la tabla de enrutamiento de la puerta de enlace de tránsito que apunte hacia la interconexión de la puerta de enlace de tránsito.
Se recomienda utilizar ASN únicos para que cada puerta de enlace de tránsito interconectada aproveche las capacidades futuras de propagación de rutas.
La interconexión de la puerta de enlace de tránsito no es compatible con la resolución de nombres de host DNS IPv4 públicos o privados en direcciones IPv4 privadas a través de VPC en ambos lados de la vinculación de la interconexión de la puerta de enlace de tránsito con Amazon Route 53 Resolver en otra Región. Para obtener más información acerca de Route 53 Resolver, consulte [Qué es Route 53 Resolver?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) en la *Guía del desarrollador de Amazon Route 53*.
El emparejamiento de puerta de enlace entre regiones utiliza la misma infraestructura de red que un emparejamiento de VPC. Por lo tanto, el tráfico está cifrado mediante el cifrado AES-256 en la capa de red virtual a medida que se desplaza entre las regiones. El tráfico también está cifrado mediante el cifrado AES-256 en la capa física cuando atraviesa enlaces de red que están fuera del control físico de AWS. Como resultado, el tráfico tiene un doble cifrado en los enlaces de red fuera del control físico de AWS. Dentro de la misma región, el tráfico también está cifrado en la capa física solo cuando atraviesa enlaces de red que están fuera del control físico de AWS.
Para obtener información sobre las regiones que admiten vinculaciones de interconexiones de puerta de enlace de tránsito, consulte [Preguntas frecuentes de AWS Transit Gateways](https://aws.amazon.com/transit-gateway/faqs/).
## Consideraciones sobre la región de AWS registrada
Puede interconectar las puerta de enlaces de tránsito a través de los límites de la región registrada. Para obtener información sobre estas regiones y cómo elegirlas, consulte [Gestión de regiones de AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html). Tenga en cuenta lo siguiente cuando utilice la interconexión de la puerta de enlace de tránsito en estas regiones:
+ Puede hacer una interconexión en una región registrada siempre y cuando la cuenta que acepte la vinculación de la interconexión haya elegido esa región.
+ Independientemente del estado de elección de la región, AWS comparte los siguientes datos de cuenta con la cuenta que acepta la vinculación de la interconexión:
+ Cuenta de AWSID de
+ ID de puerta de enlace de tránsito
+ Código de región
+ Cuando elimina la vinculación de la puerta de enlace de tránsito, se eliminan los datos de cuenta anteriores.
+ Recomendamos que elimine el archivo adjunto de la interconexión de la puerta de enlace de tránsito antes de dejar de elegir la región. Si no elimina la vinculación de la interconexión, es posible que el tráfico continúe pasando por el archivo adjunto y siga incurriendo en cargos. Si no elimina el archivo adjunto, puede volver a elegirlo y, a continuación, eliminarlo.
+ En general, la puerta de enlace de tránsito tiene un modelo de pago de remitente. Al utilizar una vinculación de interconexión de puerta de enlace de tránsito a través de un límite de elección, puede incurrir en cargos en una región que acepte la vinculación, incluidas aquellas regiones que no se haya registrado. Para obtener más información, consulte [Precio de AWS Transit Gateway](https://aws.amazon.com/transit-gateway/pricing/).
**Topics**
+ [Consideraciones sobre la región de AWS registrada](#opt-in-considerations)
+ [Crear una vinculación de interconexión](tgw-peering-create.md)
+ [Aceptación o rechazo de una solicitud de interconexión](tgw-peering-accept-reject.md)
+ [Adición de una ruta a la tabla de enrutamiento de la puerta de enlace de tránsito](tgw-peering-add-route.md)
+ [Eliminar una vinculación de interconexión](tgw-peering-delete.md)
# Creación de una vinculación de interconexión de una AWS Transit Gateway
Antes de empezar, asegúrese de que tiene el ID de la puerta de enlace de tránsito que desea asociar. Si la puerta de enlace de tránsito se encuentra en otra Cuenta de AWS, asegúrese de que tiene el ID de Cuenta de AWS del propietario de la puerta de enlace de tránsito. Después de crear la vinculación de interconexión, el propietario de la puerta de enlace de tránsito del aceptador debe aceptar o rechazar la solicitud de conexión.
**Para crear una vinculación de interconexión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Elija **Create transit puerta de enlace attachment** (Crear conexión de puerta de enlace de tránsito).
1. En **Transit Gateway ID** (ID de puerta de enlace de tránsito), elija la puerta de enlace de tránsito para la conexión. Puede elegir una puerta de enlace de tránsito de su propiedad. Las puertas de enlace de tránsito que se comparten con usted no están disponibles para la interconexión.
1. Para **Attachment type (Tipo de vinculación)**, seleccione **Peering Connection (Interconexión)**.
1. De manera opcional, introduzca una etiqueta de nombre para la vinculación.
1. Para **Account (Cuenta)**, realice una de las siguientes acciones:
+ Si la puerta de enlace de tránsito está en su cuenta, elija **My account (Mi cuenta)**.
+ Si la puerta de enlace de tránsito está en una Cuenta de AWS diferente, elija **Other account** (Otra cuenta). En **Account ID** (ID de cuenta), ingrese el ID de la Cuenta de AWS.
1. En **Region (Región)**, elija la región en la que se encuentra la puerta de enlace de tránsito.
1. En **Transit puerta de enlace (accepter)** (Gateway de tránsito (aceptadora)), ingrese el ID de la puerta de enlace de tránsito que desea conectar.
1. Elija **Create transit puerta de enlace attachment** (Crear conexión de puerta de enlace de tránsito).
**Para crear una vinculación de interconexión mediante la AWS CLI**
Utilice el comando [create-transit-puerta de enlace-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-peering-attachment.html).
# Acepte o rechace una solicitud de vinculación de interconexión de AWS Transit Gateway
Cuando se crea una vinculación de interconexión de puerta de enlace de tránsito, se lo hace automáticamente en un estado de `pendingAcceptance` y permanece en este estado indefinidamente hasta que se acepte o rechace. Para activar la vinculación de interconexión, el propietario de la puerta de enlace de tránsito del aceptador debe aceptar la solicitud de vinculación de interconexión, incluso si las dos puertas de enlace de tránsito están en la misma cuenta. Acepte la solicitud de vinculación de interconexión de la región en la que se encuentra la puerta de enlace de tránsito del aceptador. Como alternativa, si se rechaza la vinculación de interconexión, se debe rechazar la solicitud de la región en la que se encuentra la puerta de enlace de tránsito del aceptador.
**Para aceptar una solicitud de vinculación de interconexión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Seleccione la interconexión de la puerta de enlace de tránsito que está pendiente de aceptación.
1. Elija **Actions** (Acciones), **Accept transit puerta de enlace attachment** (Aceptar conexión de puerta de enlace de tránsito).
1. Agregue la ruta estática a la tabla de enrutamiento de la puerta de enlace de tránsito. Para obtener más información, consulte [Crear una ruta estática en AWS Transit Gateway](tgw-create-static-route.md).
**Para rechazar una solicitud de vinculación de interconexión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Seleccione la interconexión de la puerta de enlace de tránsito que está pendiente de aceptación.
1. Elija **Actions** (Acciones), **Reject transit puerta de enlace attachment** (Rechazar conexión de puerta de enlace de tránsito).
**Para aceptar o rechazar una vinculación de interconexión utilizando la AWS CLI**
Utilice los comandos [accept-transit-puerta de enlace-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-peering-attachment.html) y [reject-transit-puerta de enlace-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-transit-gateway-peering-attachment.html).
# Agregue una ruta a una tabla de rutas de Transit Gateway mediante AWS Transit Gateway
Para enrutar el tráfico entre las puerta de enlaces de tránsito interconectadas, debe añadir una ruta estática a la tabla de ruteo de la puerta de enlace de tránsito que apunte al enlace de interconexión de la puerta de enlace de tránsito. El propietario de la puerta de enlace de tránsito del aceptador también debe agregar una ruta estática a la tabla de enrutamiento de la puerta de enlace de tránsito.
**Para crear una ruta estática utilizando la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables** (Tablas de ruteo de puerta de enlace de tránsito).
1. Seleccione la tabla de enrutamiento para la que se va a crear una ruta.
1. Elija **Actions** (Acciones), **Create static route** (Crear ruta estática).
1. En la página **Create static route** (Crear ruta estática), ingrese el bloque de CIDR para el que se debe crear la ruta. Por ejemplo, especifique el bloque de CIDR de una VPC que esté conectada a la puerta de enlace de tránsito del mismo nivel.
1. Elija el enlace de interconexión de la ruta.
1. Elija **Create static route** (Crear ruta estática).
**Para crear una ruta estática mediante el AWS CLI**
Utilice el comando [create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html).
**importante**
Después de crear la ruta, la conexión de emparejamiento de la puerta de enlace de tránsito ya debe estar asociada con la tabla de enrutamiento de la puerta de enlace de tránsito. Para obtener más información, consulte [Asociar una tabla de enrutamiento de la puerta de enlace de tránsito en AWS Transit Gateway](associate-tgw-route-table.md).
# Para eliminar una vinculación de interconexión de AWS Transit Gateway
Puede eliminar una interconexión de la puerta de enlace de tránsito. El propietario de cualquiera de las puerta de enlaces de tránsito puede eliminar las vinculaciones.
**Para eliminar una vinculación de interconexión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments (Vinculaciones de las puerta de enlaces de tránsito)**.
1. Seleccione la interconexión de la puerta de enlace de tránsito.
1. Elija **Actions** (Acciones),**Delete transit puerta de enlace attachment** (Eliminar conexión de puerta de enlace de tránsito).
1. Ingrese **delete** y elija **Delete** (Eliminar).
**Para eliminar una vinculación de interconexión mediante la AWS CLI**
Utilice el comando [delete-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-peering-attachment.html).
# Conecta archivos adjuntos y conecta a tus compañeros en AWS Transit Gateway
Puede crear una *conexión de Transit Gateway Connect* para establecer una conexión entre una puerta de enlace de tránsito y dispositivos virtuales de terceros (como dispositivos SD-WAN) que se ejecutan en una VPC. Una conexión de Connect admite el protocolo de túnel de encapsulación de enrutamiento genérico (GRE) para un alto rendimiento y el protocolo de gateway fronteriza (BGP) para enrutamiento dinámico. Después de crear una conexión de Connect, puede crear uno o más túneles de GRE (también denominados *pares de Transit Gateway Connect*) en la conexión de Connect para conectar la gateway de tránsito y el dispositivo de terceros. Establece dos sesiones de BGP sobre el túnel de GRE para intercambiar información de enrutamiento.
**importante**
Un par de Transit Gateway Connect consta de dos sesiones de interconexión de BGP que finalizan en AWS una infraestructura gestionada. Las dos sesiones de interconexión de BGP proporcionan redundancia del plano de enrutamiento, lo que garantiza que perder una sesión de interconexión de BGP no afecte a la operación de enrutamiento. La información de enrutamiento recibida de ambas sesiones de BGP se acumula para el par Connect determinado. Las dos sesiones de interconexión de BGP también protegen contra cualquier operación de infraestructura de AWS como mantenimiento de rutina, aplicación de parches, actualizaciones de hardware y reemplazos. Si su par Connect funciona sin la sesión de emparejamiento de doble BGP recomendada configurada para la redundancia, es posible que experimente una pérdida momentánea de conectividad durante las operaciones de infraestructura. AWS Se recomienda encarecidamente que configure ambas sesiones de interconexión de BGP en el par de Connect. Si ha configurado varios pares de Connect para que admitan la alta disponibilidad en el lado del dispositivo, le recomendamos que configure ambas sesiones de interconexión de BGP en cada una de sus interconexiones de Connect.
Una conexión de Connect utiliza una conexión de Direct Connect o VPC existente como mecanismo de transporte subyacente. Esto se conoce como *conexión de transporte*. La gateway de tránsito identifica los paquetes de GRE coincidentes del dispositivo de terceros como tráfico de la conexión de Connect. Trata cualquier otro paquete, incluidos los paquetes de GRE con información incorrecta de origen o destino, como tráfico procedente de la conexión de transporte.
**nota**
Para usar un accesorio Direct Connect como mecanismo de transporte, primero tendrá que integrar Direct Connect con AWS Transit Gateway. Para conocer los pasos para crear esta integración, consulte [Integrar dispositivos SD-WAN con AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/integrate-sd-wan-devices-with-aws-transit-gateway-and-aws-direct-connect/) y. Direct Connect
## Pares de Connect
Un par de Connect (túnel de GRE) consta de los siguientes componentes.
**Bloques CIDR internos (direcciones de BGP)**
Las direcciones IP internas que se utilizan para los pares de BGP. Debe especificar un bloque CIDR /29 del rango para. `169.254.0.0/16` IPv4 Si lo desea, puede especificar un bloque CIDR de /125 del rango para. `fd00::/8` IPv6 Los siguientes bloques de CIDR están reservados y no se pueden utilizar:
+ 169.254.0.0/29
+ 169.254.1.0/29
+ 169.254.2.0/29
+ 169.254.3.0/29
+ 169.254.4.0/29
+ 169.254.5.0/29
+ 169.254.169.248/29
Debe configurar la primera dirección del IPv4 rango del dispositivo como dirección IP BGP. Cuando lo utilice IPv6, si su bloque CIDR interno es fd00: :/125, debe configurar la primera dirección de este rango (fd00: :1) en la interfaz de túnel del dispositivo.
Las direcciones de BGP deben ser únicas en todos los túneles de una gateway de tránsito.
**Dirección IP del par**
La dirección IP del mismo par (dirección IP externa de GRE) en el lado del dispositivo del par de Connect. Puede ser cualquier dirección IP. La dirección IP puede ser una IPv6 dirección IPv4 O, pero debe ser de la misma familia de direcciones IP que la dirección de la puerta de enlace de tránsito.
**Dirección de gateway de tránsito**
La dirección IP del par (dirección IP externa de GRE) en el lado de la gateway de tránsito del par de Connect. La dirección IP debe especificarse desde el bloque CIDR de la gateway de tránsito y debe ser única en las conexiones de Connect en la gateway de tránsito. Si no especifica una dirección IP, utilizaremos la primera dirección disponible del bloque CIDR de la gateway de tránsito.
Puede agregar un bloque CIDR de gateway de tránsito cuando [crea](create-tgw.md) o [modifica](tgw-modifying.md) una gateway de tránsito.
La dirección IP puede ser una IPv6 dirección IPv4 O, pero debe ser de la misma familia de direcciones IP que la dirección IP del mismo nivel.
La dirección IP del par y la dirección de gateway de tránsito se utilizan para identificar de forma única el túnel de GRE. Puede reutilizar cualquiera de las direcciones en varios túneles, pero no ambos en el mismo túnel.
Transit Gateway Connect for the BGP peering solo admite BGP multiprotocolo (MP-BGP), donde se requiere el direccionamiento de unidifusión para establecer también una sesión de BGP para IPv4 Unicast. IPv6 Puede usar ambas direcciones y para las direcciones IP externas del GRE. IPv4 IPv6
En el siguiente ejemplo se muestra una conexión de Connect entre una gateway de tránsito y un dispositivo de una VPC.
![\[Conexión de Connect de gateway de tránsito y par de Connect\]](http://docs.aws.amazon.com/es_es/vpc/latest/tgw/images/transit-gateway-connect-peer.png)
| Componente de diagrama | Description (Descripción) |
| --- | --- |
| ![\[Muestra cómo se representan las conexiones de VPC en el diagrama de ejemplo.\]](http://docs.aws.amazon.com/es_es/vpc/latest/tgw/images/VPC-attachment.png) | Conexión de VPC |
| ![\[Muestra cómo se representan las conexiones de Connect en el diagrama de ejemplo.\]](http://docs.aws.amazon.com/es_es/vpc/latest/tgw/images/connect-attachment.png) | Conexión de Connect |
| ![\[Muestra cómo se representan los túneles de GRE en el diagrama de ejemplo.\]](http://docs.aws.amazon.com/es_es/vpc/latest/tgw/images/GRE-tunnel.png) | Túnel de GRE (par de Connect) |
| ![\[Muestra cómo se representan las sesiones de interconexión de BGP en el diagrama de ejemplo.\]](http://docs.aws.amazon.com/es_es/vpc/latest/tgw/images/bgp-peering.png) | Sesión de pares de BGP |
En el ejemplo anterior, se crea una conexión de Connect en una conexión de VPC existente (la conexión de transporte). Se crea un par de Connect en la conexión de Connect para establecer una conexión con un dispositivo en la VPC. La dirección de la gateway de tránsito es `192.0.2.1` y el rango de direcciones de BGP es `169.254.6.0/29`. La primera dirección IP del rango (`169.254.6.1`) se configura en el dispositivo como la dirección IP de BGP del par.
La tabla de enrutamiento de la subred para la VPC C tiene una ruta que apunta el tráfico destinado al bloque CIDR de la gateway de tránsito a la gateway de tránsito.
| Destino | Objetivo |
| --- | --- |
| 172.31.0.0/16 | Local |
| 192.0.2.0/24 | tgw-id |
## Requisitos y consideraciones
A continuación se detallan los requisitos y consideraciones para una conexión de Connect.
+ Para obtener información sobre las regiones que admiten las conexiones de Connect, consulte [Preguntas frecuentes de AWS Transit Gateways](https://aws.amazon.com/transit-gateway/faqs/).
+ El dispositivo de terceros debe configurarse para enviar y recibir tráfico a través de un túnel de GRE hacia y desde la gateway de tránsito mediante la conexión de Connect.
+ El dispositivo de terceros debe estar configurado a fin de utilizar BGP para actualizaciones de rutas dinámicas y comprobaciones de estado.
+ Se admiten los siguientes tipos de BGP:
+ BGP exterior (eBGP): se utiliza para conectarse a enrutadores que se encuentran en un sistema autónomo diferente al de la gateway de tránsito. Si usa eBGP, debe configurar ebgp-multihop con un valor time-to-live (TTL) de 2.
+ BGP interior (iBGP): Se utiliza para conectarse a enrutadores que se encuentran en el mismo sistema autónomo que la gateway de tránsito. La puerta de enlace de tránsito no instalará rutas desde un par iBGP (dispositivo de terceros), a menos que las rutas se originen en un par eBGP y deban estar configuradas. next-hop-self Las rutas anunciadas por el dispositivo de terceros a través de los pares de iBGP deben tener un ASN.
+ MP-BGP (extensiones multiprotocolo para BGP): se utiliza para admitir varios tipos de protocolos, como familias de direcciones. IPv4 IPv6
+ El tiempo de espera predeterminado de mantenimiento BGP es de 10 segundos y el temporizador de retención predeterminado es de 30 segundos.
+ IPv6 No se admite la interconexión BGP; solo se admite la interconexión BGP basada en bases. IPv4 IPv6 los prefijos se intercambian IPv4 mediante el emparejamiento BGP mediante MP-BGP.
+ No se admite Bidirectional Forwarding Detection (BFD).
+ No se admite el reinicio de gracia de BGP.
+ Cuando crea un par de gateway de tránsito, si no especifica un número de ASN del par, seleccionaremos el número de ASN de la gateway de tránsito. Esto significa que el dispositivo y la gateway de tránsito estarán en el mismo sistema autónomo que realiza iBGP.
+ Una interconexión de Connect que utilice el atributo BGP AS-PATH es la ruta preferida cuando tenga dos interconexiones de Connect.
Para utilizar el enrutamiento de múltiples rutas de acceso de igual costo (ECMP) entre varios dispositivos, debe configurar el dispositivo para anunciar los mismos prefijos en la gateway de tránsito con el mismo atributo AS-PATH de BGP. Para que la gateway de tránsito elija todas las rutas de ECMP disponibles, el AS-PATH y el número de sistema autónomo (ASN) deben coincidir. La gateway de tránsito puede usar ECMP entre pares de Connect de la misma conexión de Connect o entre conexiones de Connect en la misma gateway de tránsito. La gateway de tránsito no puede utilizar el ECMP en dos pares de BGP redundantes si está establecido en un único par.
+ Con una conexión de Connect, las rutas se propagan a una tabla de enrutamiento de gateway de tránsito de forma predeterminada.
+ No se admiten rutas estáticas.
+ Configure la MTU del túnel GRE para que sea más pequeña que la MTU de la interfaz externa al restar la sobrecarga del encabezado GRE (24 bytes) y del encabezado IP externo (20 bytes). Por ejemplo, si la MTU de la interfaz externa es de 1500 bytes, se debe establecer la MTU del túnel GRE en 1456 bytes (1500 - 24 - 20 = 1456) para evitar la fragmentación de los paquetes.
**Topics**
+ [Pares de Connect](#tgw-connect-peer)
+ [Requisitos y consideraciones](#tgw-connect-requirements)
+ [Cree una conexión de Connect](create-tgw-connect-attachment.md)
+ [Creación de un par de Connect](create-tgw-connect-peer.md)
+ [Consultar conexiones y pares de Connect](view-tgw-connect-attachments.md)
+ [Modificación de las etiquetas de conexión y de pares de Connect](modify-connect-attachment-tag.md)
+ [Eliminar un par de Connect](delete-tgw-connect-peer.md)
+ [Elimine una interconexión de Connect](delete-tgw-connect-attachment.md)
# Crear una conexión de Connect en AWS Transit Gateway
Para crear una conexión de Connect, debe especificar una conexión existente como conexión de transporte. Puede especificar una conexión de VPC o una conexión de Direct Connect como conexión de transporte.
**Para crear una conexión de Connect mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit gateway attachments** (Conexiones de puerta de enlace de tránsito).
1. Elija **Create transit gateway attachment** (Crear conexión de gateway de tránsito).
1. (Opcional) En **Name tag** (Etiqueta de nombre), indique un nombre de etiqueta para la conexión.
1. En **Transit Gateway ID** (ID de gateway de tránsito), elija la gateway de tránsito para la conexión.
1. En **Attachment type** (Tipo de conexión), elija **Connect**.
1. En **Transport attachment ID** (ID de conexión de transporte), elija el ID de una conexión existente (la conexión de transporte).
1. Elija **Create transit gateway attachment** (Crear conexión de gateway de tránsito).
**Para crear una conexión de Connect mediante la AWS CLI**
Utilice el comando [create-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect.html).
# Creación de un emparejamiento en AWS Transit Gateway
Puede crear un par de Connect (túnel de GRE) para una conexión de Connect existente. Antes de comenzar, asegúrese de haber configurado un bloque CIDR de gateway de tránsito. Puede configurar un bloque CIDR de gateway de tránsito cuando [crea](create-tgw.md) o [modifica](tgw-modifying.md) una gateway de tránsito.
Cuando crea el par de Connect, debe especificar la dirección IP externa de GRE en el lado del dispositivo del par de Connect.
**Para crear un par de Connect mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit gateway attachments** (Conexiones de puerta de enlace de tránsito).
1. Seleccione la conexión de Connect y elija **Actions** (Acciones), **Create Connect peer** (Crear par de Connect).
1. (Opcional) En **Name tag** (Etiqueta de nombre), indique una etiqueta de nombre para la interconexión de Connect.
1. (Opcional) En **Transit gateway GRE Address** (Dirección de GRE de la gateway de tránsito), especifique la dirección IP externa de GRE para la gateway de tránsito. De forma predeterminada, se utiliza la primera dirección disponible del bloque CIDR de la gateway de tránsito.
1. En **Peer GRE Address** (Dirección de GRE de la interconexión), especifique la dirección IP externa de GRE para el lado del dispositivo de la interconexión de Connect.
1. En **BGP Inside CIDR blocks IPv4** (Bloques CIDR internos IPv4 de BGP), especifique el rango de direcciones IPv4 internas que se utilizan para los pares de BGP. Especifique un bloque CIDR /29 del rango `169.254.0.0/16`.
1. (Optional) En **BGP Inside CIDR blocks IPv6** (Bloques CIDR internos IPv6 de BGP), especifique el rango de direcciones IPv6 internas que se utilizan para los pares de BGP. Especifique un bloque CIDR /125 del rango `fd00::/8`.
1. (Opcional) En **Peer ASN** (ASN del par), especifique el número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP) para el dispositivo. Puede utilizar un ASN existente asignado a su red. Si no tiene ninguno, puede utilizar un ASN privado en el rango 64512—65534 (ASN de 16 bits) o en el rango de 4200000000—4294967294 (ASN de 32 bits).
El valor predeterminado es el mismo ASN que la gateway de tránsito. Si configura el **ASN del par** para que sea diferente al ASN de gateway de tránsito (eBGP), debe configurar ebgp-multihop con un valor de tiempo de vida (TTL) de 2.
1. Elija **Create Connect peer** (Crear par de Connect).
**Para crear una interconexión Connect mediante la AWS CLI**
Utilice el comando [create-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect-peer.html).
# Vea los archivos adjuntos de Connect y los compañeros de Connect en AWS Transit Gateway
Consulte las conexiones y los pares de Connect.
**Para ver las conexiones y los pares de Connect mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit gateway attachments** (Conexiones de puerta de enlace de tránsito).
1. Seleccione la conexión de Connect.
1. Para ver los pares de Connect para la conexión, elija la pestaña **Connect Peers** (Pares de Connect).
**Para ver sus archivos adjuntos de Connect y sus compañeros de Connect mediante el AWS CLI**
Utilice los comandos [describe-transit-gateway-connects](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connects.html)y [describe-transit-gateway-connect-peers](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connect-peers.html).
# Modifique el archivo adjunto Connect y las etiquetas de pares Connect en AWS Transit Gateway
Puede modificar las etiquetas de la conexión de Connect.
**Para modificar las etiquetas de la conexión de Connect mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments** (Conexiones de gateway de tránsito).
1. Seleccione la conexión de Connect, y luego elija **Actions** (Acciones), **Manage tags** (Administrar etiquetas).
1. Para agregar una etiqueta, elija **Add new tag** (Agregar nueva etiqueta) y especifique el nombre y el valor de la clave.
1. Para eliminar una etiqueta, elija **Eliminar**.
1. Seleccione **Save**.
Puede modificar las etiquetas del par de Connect.
**Para modificar las etiquetas del par de Connect mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateways Attachments** (Conexiones de gateway de tránsito).
1. Seleccione la conexión de Connect, y luego elija **Connect peers** (Pares de Connect).
1. Seleccione la interconexión de Connect y luego elija **Actions** (Acciones), **Manage tags** (Administrar etiquetas).
1. Para agregar una etiqueta, elija **Add new tag** (Agregar nueva etiqueta) y especifique el nombre y el valor de la clave.
1. Para eliminar una etiqueta, elija **Eliminar**.
1. Seleccione **Save**.
**Para modificar el archivo adjunto de Connect y las etiquetas homólogas de Connect mediante el AWS CLI**
Utilice los comandos [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) y [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html).
# Eliminar un emparejamiento en AWS Transit Gateway
Si ya no necesita un par de Connect, puede eliminarlo.
**Para eliminar un par de Connect mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit gateway attachments** (Conexiones de puerta de enlace de tránsito).
1. Seleccione la conexión de Connect.
1. En la pestaña **Connect Peers** (Interconexiones de Connect), seleccione la interconexión de Connect y elija **Actions** (Acciones), **Delete Connect peer** (Eliminar interconexión de Connect).
**Para eliminar una interconexión de Connect mediante la AWS CLI**
Utilice el comando [delete-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect-peer.html).
# Eliminar una conexión de Connect en AWS Transit Gateway
Si ya no necesita una conexión de Connect, puede eliminarla. Primero debe eliminar cualquier par de Connect para la conexión.
**Para eliminar una conexión de Connect mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit gateway attachments** (Conexiones de puerta de enlace de tránsito).
1. Seleccione la conexión de Connect y elija**Actions**(Acciones), **Delete transit gateway attachment** (Eliminar conexión de gateway de tránsito).
1. Ingrese **delete** y elija **Delete** (Eliminar).
**Para eliminar una conexión de Connect mediante la AWS CLI**
Utilice el comando [delete-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect.html).
# Tablas de rutas de Transit Gateway en AWS Transit Gateway
Utilice tablas de enrutamiento de puerta de enlace de tránsito para configurar el enrutamiento para la puerta de enlaces de tránsito. Una tabla de rutas es una tabla que contiene reglas que determinan cómo se enruta el tráfico de la red entre su VPCs y VPNs. Cada ruta de la tabla contiene el rango de direcciones IP de los destinos a los que desea enviar el tráfico.
Las tablas de enrutamiento de la puerta de enlace de tránsito permiten asociar una tabla con una conexión de puerta de enlace de tránsito. Se admiten VPC, VPN, VPN Concentrator, Direct Connect Gateway, Peering y Connect adjuntos. Cuando están asociadas, las rutas de estas conexiones se propagan desde la conexión hacia la tabla de enrutamiento de la puerta de enlace de tránsito de destino. Una conexión se puede propagar a varias tablas de enrutamiento.
Además, puede crear y administrar rutas estáticas con una tabla de enrutamiento. Por ejemplo, es posible que tenga una ruta estática que se utilice como ruta de respaldo en caso de que se produzca una interrupción de la red que afecte a cualquier ruta dinámica.
**Topics**
+ [Crear una tabla de enrutamiento de la puerta de enlace de tránsito](create-tgw-route-table.md)
+ [Consultar tablas de enrutamiento de la puerta de enlace de tránsito](view-tgw-route-tables.md)
+ [Asociar una tabla de enrutamiento de la puerta de enlace de tránsito](associate-tgw-route-table.md)
+ [Desasociación de una tabla de enrutamiento de la puerta de enlace de tránsito](disassociate-tgw-route-table.md)
+ [Habilitar la propagación de rutas](enable-tgw-route-propagation.md)
+ [Deshabilitación de la propagación de rutas](disable-tgw-route-propagation.md)
+ [Crear una ruta estática](tgw-create-static-route.md)
+ [Eliminación de una ruta estática](tgw-delete-static-route.md)
+ [Reemplazar una ruta estática](tgw-replace-static-route.md)
+ [Exportar tablas de enrutamiento a Amazon S3](tgw-export-route-tables.md)
+ [Eliminar una tabla de enrutamiento de la puerta de enlace de tránsito](delete-tgw-route-table.md)
+ [Crear una referencia de lista de prefijos](create-prefix-list-reference.md)
+ [Modificar una referencia de lista de prefijos](modify-prefix-list-reference.md)
+ [Eliminar una referencia de lista de prefijos](delete-prefix-list-reference.md)
# Crear una tabla de enrutamiento de la puerta de enlace de tránsito en AWS Transit Gateway
**Para crear una tabla de enrutamiento de puerta de enlace de tránsito mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables (Tablas de ruteo de puerta de enlace de tránsito)**.
1. Elija **Create transit gateway route table** (Crear tabla de enrutamiento de puerta de enlace de tránsito).
1. (Opcional) En **Name tag (Etiqueta de nombre)**, escriba un nombre para la tabla de enrutamiento de la puerta de enlace de tránsito. Al hacerlo, se crea una etiqueta con la clave de etiqueta "Name (Nombre)", en la que el valor de la etiqueta es el nombre que especifique.
1. En **Transit gateway ID** (ID de puerta de enlace de tránsito), seleccione la puerta de enlace de tránsito de la tabla de enrutamiento.
1. Elija **Create transit puerta de enlace route table** (Crear tabla de enrutamiento de puerta de enlace de tránsito).
**Para crear una tabla de enrutamiento de puerta de enlace de tránsito mediante AWS CLI**
Utilice el comando [create-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route-table.html).
# Vea las tablas de rutas de Transit Gateway con AWS Transit Gateway
**Para consultar las tablas de enrutamiento de la puerta de enlace de tránsito mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables (Tablas de ruteo de puerta de enlace de tránsito)**.
1. (Opcional) Para encontrar una tabla de enrutamiento o un conjunto de tablas en especial, escriba la totalidad o parte del nombre, de la palabra clave o del atributo en el campo de filtro.
1. Active la casilla de verificación de una tabla de enrutamiento o elija su ID para mostrar información sobre sus asociaciones, propagaciones, rutas y etiquetas.
**Para ver las tablas de rutas de tu pasarela de transporte público utilizando el AWS CLI**
Usa el comando [describe-transit-gateway-route-tables](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-route-tables.html).
**Para ver las rutas de una tabla de rutas de una puerta de enlace de tránsito mediante el AWS CLI**
Utilice el comando [search-transit-gateway-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-routes.html).
**Para ver las propagaciones de rutas de una tabla de rutas de una puerta de enlace de tránsito mediante el AWS CLI**
Utilice el comando [get-transit-gateway-route-table-propagations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-propagations.html).
**Para ver las asociaciones de una tabla de rutas de una puerta de enlace de tránsito mediante el AWS CLI**
Utilice el comando [get-transit-gateway-route-table-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-associations.html).
# Asociar una tabla de enrutamiento de la puerta de enlace de tránsito en AWS Transit Gateway
Puede asociar una tabla de enrutamiento de puerta de enlace de tránsito con una puerta de enlaces de tránsito.
**Para asociar una tabla de enrutamiento de puerta de enlace de tránsito mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables (Tablas de ruteo de puerta de enlace de tránsito)**.
1. Seleccione la tabla de enrutamiento.
1. En la parte inferior de la página, elija la pestaña **Associations** (Asociaciones).
1. Elija **Create association (Crear asociación)**.
1. Elija la vinculación que se va a asociar y, a continuación, elija **Create association** (Crear asociación).
**Para asociar una tabla de enrutamiento de puerta de enlace de tránsito mediante AWS CLI**
Utilice el comando [associate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-route-table.html).
# Eliminar una asociación para una tabla de rutas de Transit Gateway en AWS Transit Gateway
Puede desasociar una tabla de enrutamiento de puerta de enlace de tránsito de una puerta de enlaces de tránsito.
**Para desasociar una tabla de enrutamiento de puerta de enlace de tránsito mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables (Tablas de ruteo de puerta de enlace de tránsito)**.
1. Seleccione la tabla de enrutamiento.
1. En la parte inferior de la página, elija la pestaña **Associations** (Asociaciones).
1. Elija la vinculación que desea desasociar y, a continuación, elija **Delete association** (Eliminar asociación).
1. Cuando se le pida que confirme, elija **Delete association** (Eliminar asociación).
**Para desasociar una tabla de rutas de una pasarela de tránsito mediante el AWS CLI**
Utilice el comando [disassociate-transit-gateway-route-table.](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-route-table.html)
# Habilitar la propagación de rutas a una tabla de rutas de Transit Gateway en AWS Transit Gateway
Utilice la propagación de rutas para agregar una ruta de una vinculación a una tabla de enrutamiento.
**Para propagar una ruta a una tabla de enrutamiento de puerta de enlaces de tránsito**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables (Tablas de ruteo de puerta de enlace de tránsito)**.
1. Seleccione la tabla de enrutamiento para la que se va a crear una propagación.
1. Elija **Actions (Acciones)** y, después, **Create propagation** (Crear propagación).
1. En la página **Create propagation** (Crear propagación), elija la vinculación.
1. Elija **Create propagation** (Crear propagación).
**Para habilitar la propagación de rutas mediante el AWS CLI**
Utilice el comando [enable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-transit-gateway-route-table-propagation.html).
# Deshabilitación de la propagación de rutas con AWS Transit Gateway
Quite una ruta propagada de una vinculación de tabla de enrutamiento.
**Para deshabilitar la propagación de rutas utilizando la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables (Tablas de ruteo de puerta de enlace de tránsito)**.
1. Seleccione la tabla de enrutamiento de la que desea eliminar la propagación.
1. En la parte inferior de la página, elija la pestaña **Propagations** (Propagaciones).
1. Seleccione la vinculación y, a continuación, elija **Delete propagation** (Eliminar propagación).
1. Cuando se le pida que confirme, elija **Delete propagation** (Eliminar propagación).
**Para deshabilitar la propagación de rutas mediante la AWS CLI**
Utilice el comando [disable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-transit-gateway-route-table-propagation.html).
# Crear una ruta estática en AWS Transit Gateway
Cree una ruta estática para una VPC, VPN o vinculación de interconexión de puerta de enlace de tránsito, o puede crear una ruta de agujero negro que borre el tráfico que llegue a la ruta.
Las rutas estáticas de una tabla de enrutamiento de puerta de enlace de tránsito que se dirigen a una conexión de VPN no son filtradas por la Site-to-Site VPN. Esto podría permitir el flujo de tráfico saliente no deseado cuando se utiliza una VPN basada en BGP.
**Para crear una ruta estática utilizando la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables** (Tablas de ruteo de puerta de enlace de tránsito).
1. Seleccione la tabla de enrutamiento para la que se va a crear una ruta.
1. Elija **Actions** (Acciones), **Create static route** (Crear ruta estática).
1. En la página **Create static route** (Crear ruta estática), ingrese el bloque de CIDR para el que se debe crear la ruta, y luego elija **Active** (Activo).
1. Seleccione la vinculación para la ruta.
1. Elija **Create static route** (Crear ruta estática).
**Para crear una ruta de agujero negro utilizando la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables** (Tablas de ruteo de puerta de enlace de tránsito).
1. Seleccione la tabla de enrutamiento para la que se va a crear una ruta.
1. Elija **Actions** (Acciones), **Create static route** (Crear ruta estática).
1. En la página **Create static route** (Crear ruta estática), ingrese el bloque de CIDR para el que se debe crear la ruta, y luego elija **Blackhole** (Agujero negro).
1. Elija **Create static route** (Crear ruta estática).
**Para crear una ruta estática o una ruta de agujero negro utilizando la AWS CLI**
Utilice el comando [create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html).
# Eliminar una ruta estática en AWS Transit Gateway
Elimine las rutas estáticas de una tabla de enrutamiento de la puerta de enlace de tránsito.
**Para eliminar una ruta estática utilizando la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables (Tablas de ruteo de puerta de enlace de tránsito)**.
1. Seleccione la tabla de enrutamiento para la que desea eliminar la ruta y, a continuación, elija **Routes** (Rutas).
1. Elija la ruta que se va a eliminar.
1. Elija **Delete static route** (Eliminar ruta estática).
1. En el cuadro de confirmación, elija **Delete static route** (Eliminar ruta estática).
**Para eliminar una ruta estática utilizando la AWS CLI**
Utilice el comando [delete-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route.html).
# Reemplazar una ruta estática en AWS Transit Gateway
Reemplace una ruta estática en la tabla de enrutamiento de una puerta de enlace por una ruta estática diferente.
**Para reemplazar una ruta estática utilizando la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables** (Tablas de ruteo de puerta de enlace de tránsito).
1. Elija la ruta que desee reemplazar en la tabla de enrutamiento.
1. En la sección de detalles, seleccione la pestaña **Rutas**.
1. Elija **Acciones**, **Reemplazar ruta estática**.
1. Para el **Tipo**, elija **Activo** o **Agujero negro**.
1. En el menú desplegable **Elegir archivo adjunto**, elija la puerta de enlace que sustituirá a la actual en la tabla de enrutamiento.
1. Elija **Reemplazar ruta estática**.
**Para reemplazar una ruta estática mediante la AWS CLI**
Utilice el comando [replace-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-transit-gateway-route.html).
# Exportar tablas de enrutamiento a Amazon S3 en AWS Transit Gateway
Puede exportar las rutas de las tablas de enrutamiento de la puerta de enlace de tránsito a un bucket de Amazon S3. Las rutas se guardan en un archivo JSON que se almacena en el bucket de Amazon S3 especificado.
**Para exportar tablas de enrutamiento de puerta de enlace de tránsito mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables (Tablas de ruteo de puerta de enlace de tránsito)**.
1. Elija la tabla de enrutamiento que incluye las rutas que va a exportar.
1. Elija **Actions (Acciones)**, **Export routes** (Exportar rutas).
1. En la página **Export routes** (Exportar rutas), escriba el nombre del bucket de S3 en **S3 bucket name** (Nombre del bucket de S3).
1. Para filtrar las rutas exportadas, especifique los parámetros de filtrado en la sección **Filters** (Filtros) de la página.
1. Elija **Export routes** (Exportar rutas).
Para acceder a las rutas exportadas, abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) y vaya al bucket especificado. El nombre del archivo incluye el ID de Cuenta de AWS, la región de AWS, el ID de la tabla de enrutamiento y una marca temporal. Seleccione el archivo y elija **Download** (Descargar). A continuación, se muestra un ejemplo de un archivo JSON que contiene información sobre dos rutas de adjuntos de la VPC propagadas.
```
{
"filter": [
{
"name": "route-search.subnet-of-match",
"values": [
"0.0.0.0/0",
"::/0"
]
}
],
"routes": [
{
"destinationCidrBlock": "10.0.0.0/16",
"transitGatewayAttachments": [
{
"resourceId": "vpc-0123456abcd123456",
"transitGatewayAttachmentId": "tgw-attach-1122334455aabbcc1",
"resourceType": "vpc"
}
],
"type": "propagated",
"state": "active"
},
{
"destinationCidrBlock": "10.2.0.0/16",
"transitGatewayAttachments": [
{
"resourceId": "vpc-abcabc123123abca",
"transitGatewayAttachmentId": "tgw-attach-6677889900aabbcc7",
"resourceType": "vpc"
}
],
"type": "propagated",
"state": "active"
}
]
}
```
# Eliminar una tabla de enrutamiento de la puerta de enlace de tránsito en AWS Transit Gateway
**Para eliminar una tabla de enrutamiento de puerta de enlace de tránsito mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables (Tablas de ruteo de puerta de enlace de tránsito)**.
1. Seleccione la tabla de enrutamiento que desea eliminar.
1. Elija **Actions** (Acciones), **Delete transit gateway route table** (Eliminar tabla de enrutamiento de puerta de enlace de tránsito).
1. Ingrese **delete** y elija **Delete** (Eliminar) para confirmar la eliminación.
**Para eliminar una tabla de enrutamiento de puerta de enlace de tránsito mediante AWS CLI**
Utilice el comando [delete-transit-puerta de enlace-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route-table.html).
# Crear una referencia de lista de prefijos para la tabla de enrutamiento en AWS Transit Gateway
Puede hacer referencia a una lista de prefijos en la tabla de enrutamiento de la gateway de tránsito. Una lista de prefijos es un conjunto de una o más entradas de bloque de CIDR que se definen y administran. Puede utilizar una lista de prefijos para simplificar la administración de las direcciones IP a las que hace referencia en los recursos para enrutar el tráfico de red. Por ejemplo, si especifica con frecuencia los mismos CIDR de destino en varias tablas de enrutamiento de gateway de tránsito, puede administrar esos CIDR en una sola lista de prefijos, en lugar de hacer repetidas referencias a los mismos CIDR en cada tabla de enrutamiento. Si necesita quitar un bloque de CIDR de destino, puede eliminar su entrada de la lista de prefijos en lugar de eliminar la ruta de todas las tablas de enrutamiento afectadas.
Al crear una referencia de lista de prefijos en la tabla de enrutamiento de la gateway de tránsito, cada entrada de la lista de prefijos se representa como una ruta en la tabla de enrutamiento de la gateway de tránsito.
Para obtener más información sobre las listas de prefijos, consulte [Listas de prefijos](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) en la *Guía del usuario de Amazon VPC*.
**Para crear una referencia de lista de prefijos mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables** (Tablas de enrutamiento de gateway de tránsito).
1. Seleccione la tabla de enrutamiento de la gateway de tránsito.
1. Elija **Actions (Acciones)**, **Create prefix list reference (Crear referencia de lista de prefijos)**.
1. Para **Prefix list ID (ID de lista de prefijos)**, elija el ID de lista de prefijos.
1. En **Type** (Tipo), elija si el tráfico dirigido a esta lista de prefijos se debe permitir (**Active** (Activo)) o descartar (**Blackhole** (Agujero negro)).
1. En **Transit gateway attachment ID** (ID de conexión de gateway de tránsito), elija el ID de la conexión a la que se debe dirigir el tráfico.
1. Elija **Create prefix list reference (Crear referencia de lista de prefijos)**.
**Para crear una referencia de lista de prefijos mediante la AWS CLI (AWS CLI)**
Utilice el comando [create-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-prefix-list-reference.html).
# Modificar una referencia de lista de prefijos en AWS Transit Gateway
Puede modificar una referencia de lista de prefijos cambiando la vinculación a la que se dirige el tráfico o indicando si desea eliminar el tráfico que coincide con la ruta.
No se pueden modificar las rutas individuales de una lista de prefijos en la pestaña **Routes (Rutas)**. Para modificar las entradas de la lista de prefijos, utilice la pantalla **Managed Prefix Lists (Listas de prefijos administradas)**. Para obtener más información, consulte [Modificación de una lista de prefijos](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html#modify-managed-prefix-list) en la *Guía del usuario de Amazon VPC*.
**Para modificar una referencia de lista de prefijos mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables** (Tablas de enrutamiento de gateway de tránsito).
1. Seleccione la tabla de enrutamiento de la gateway de tránsito.
1. En el panel inferior, elija **Prefix list references (Referencias de lista de prefijos)**.
1. Elija la referencia de la lista de prefijos, y luego **Modify references** (Modificar referencias).
1. En **Type** (Tipo), elija si el tráfico dirigido a esta lista de prefijos se debe permitir (**Active** (Activo)) o descartar (**Blackhole** (Agujero negro)).
1. En **Transit gateway attachment ID** (ID de conexión de gateway de tránsito), elija el ID de la conexión a la que se debe dirigir el tráfico.
1. Elija **Modify prefix list reference (Modificar referencia de lista de prefijos)**.
**Para modificar una referencia de lista de prefijos mediante la AWS CLI (AWS CLI)**
Utilice el comando [modify-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-prefix-list-reference.html).
# Eliminar una referencia de lista de prefijos en AWS Transit Gateway
Si ya no necesita una referencia de lista de prefijos, puede eliminarla de la tabla de enrutamiento de la gateway de tránsito. La eliminación de la referencia no elimina la lista de prefijos.
**Para eliminar una referencia de lista de prefijos mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables** (Tablas de enrutamiento de gateway de tránsito).
1. Seleccione la tabla de enrutamiento de la gateway de tránsito.
1. Elija la referencia de la lista de prefijos, y luego **Delete references** (Eliminar referencias).
1. Elija **Delete references** (Eliminar referencias).
**Para modificar una referencia de lista de prefijos mediante la AWS CLI (AWS CLI)**
Utilice el comando [delete-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-prefix-list-reference.html).
# Tablas de políticas de la puerta de enlace de tránsito en AWS Transit Gateway
El enrutamiento dinámico de puerta de enlace de tránsito utiliza tablas de políticas para enrutar el tráfico de red para AWS Cloud WAN. La tabla contiene reglas de políticas para hacer coincidir el tráfico de red por atributos de política y, a continuación, asigna el tráfico que coincide con la regla a una tabla de enrutamiento de destino.
Puede utilizar el enrutamiento dinámico para puertas de enlace de tránsito para intercambiar automáticamente información de enrutamiento y accesibilidad con tipos de puertas de enlace de tránsito interconectadas. A diferencia de una ruta estática, el tráfico se puede enrutar a lo largo de una ruta diferente según las condiciones de la red, como fallas de ruta o congestión. El enrutamiento dinámico también agrega una capa adicional de seguridad, ya que es más fácil redirigir el tráfico en caso de una violación o incursión en la red.
**nota**
Las tablas de políticas de puerta de enlace de tránsito actualmente solo se admiten en Cloud WAN al crear una vinculación de interconexión de la puerta de enlace de tránsito. Al crear una vinculación de interconexión, puede asociar esa tabla a la conexión. A continuación, la asociación rellena la tabla automáticamente con las reglas de la política.
Para obtener más información sobre Cloud WAN, consulte [Peerings](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-peerings.html) (Interconexiones) en la *Guía del usuario de Cloud WAN de AWS*.
**Topics**
+ [Cree una tabla de enrutamiento de la puerta de enlace de tránsito](tgw-policy-tables-create.md)
+ [Elimine una tabla de enrutamiento de la puerta de enlace de tránsito](tgw-policy-tables-disable.md)
# Cree una tabla de políticas de Transit Gateway en AWS Transit Gateway
**Para crear una tabla de política de puerta de enlace de tránsito mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Table** (Tabla de enrutamiento de puerta de enlace de tránsito).
1. Elija **Create transit puerta de enlace route table** (Crear tabla de políticas de puerta de enlace de tránsito).
1. (Opcional) En **Name tag** (Etiqueta de nombre), ingrese un nombre para la tabla de políticas de puerta de enlace de tránsito. Esto crea una etiqueta, donde el valor de la etiqueta es el nombre que usted especifique.
1. Para el ID de puerta de enlace de tránsito, seleccione la puerta de enlace de tránsito de la tabla de enrutamiento.
1. Elija **Create transit puerta de enlace route table** (Crear tabla de políticas de puerta de enlace de tránsito).
**Para crear una tabla de políticas de pasarelas de tránsito mediante el AWS CLI**
Utilice el comando [create-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-policy-table.html).
# Eliminar una tabla de políticas de Transit Gateway en AWS Transit Gateway
Elimine una tabla de enrutamiento de la puerta de enlace de tránsito. Cuando se elimina una tabla, se eliminan todas las reglas de política de esa tabla.
**Para eliminar una tabla de política de puerta de enlace de tránsito mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Transit Gateway Route Tables** (Tablas de ruteo de puerta de enlace de tránsito).
1. Elija la tabla de políticas de puerta de enlace de tránsito que desea eliminar.
1. Seleccione **Actions** (Acciones) y **Delete policy table** (Eliminar tabla de políticas).
1. Confirme que desea eliminar la tabla.
**Para eliminar una tabla de políticas de pasarelas de tránsito mediante el AWS CLI**
Utilice el comando [delete-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-policy-table.html).
# Multidifusión en AWS Transit Gateway
La multidifusión es un protocolo de comunicación empleado para el envío de un solo flujo de datos a varios equipos receptores de forma simultánea Transit Gateway admite el enrutamiento del tráfico de multidifusión entre subredes de VPC asociadas y sirve como enrutador de multidifusión para instancias que envían tráfico destinado a varias instancias receptoras.
**Topics**
+ [Conceptos de la multidifusión](#concepts)
+ [Consideraciones](#limits)
+ [Enrutar multidifusión](#how-multicast-works)
+ [Dominios de multidifusión](multicast-domains-about.md)
+ [Dominios de multidifusión compartidos](multicast-share-domain.md)
+ [Registrar orígenes con un grupo de multidifusión](add-source-multicast-group.md)
+ [Registrar miembros con un grupo de multidifusión](add-members-multicast-group.md)
+ [Anular el registro de los orígenes de un grupo de multidifusión](remove-source-multicast-group.md)
+ [Anular el registro de los miembros de un grupo de multidifusión](remove-members-multicast-group.md)
+ [Consultar grupos de multidifusión](view-multicast-group.md)
+ [Configurar la multidifusión para Windows Server](multicastwin.md)
+ [Ejemplo: administración de configuraciones de IGMP](multicast-configurations-igmp.md)
+ [Ejemplo: administración de configuraciones de origen estático](multicast-configurations-no-igmp.md)
+ [Ejemplo: Administración de las configuraciones de miembros de grupos estáticos](multicast-configurations-no-igmp-source.md)
## Conceptos de la multidifusión
A continuación se enumeran los conceptos clave de la multidifusión:
+ **Dominio de multidifusión**: permite la segmentación de una red de multidifusión en distintos dominios y hace que la puerta de enlace de tránsito actúe como varios enrutadores de multidifusión. Defina la pertenencia al dominio de multidifusión en el nivel de subred.
+ **Grupo de multidifusión**: identifica un conjunto de hosts que enviarán y recibirán el mismo tráfico de multidifusión. Un grupo de multidifusión se identifica por una dirección IP de grupo. La pertenencia a un grupo de multidifusión se define como una interfaz de red elástica asociada a instancias EC2
+ **Protocolo de administración de grupos de Internet (IGMP)**: protocolo de Internet que permite a los hosts y enrutadores administrar dinámicamente la pertenencia a grupos de multidifusión. Un dominio de multidifusión IGMP contiene hosts que utilizan el protocolo IGMP para unirse, salir y enviar mensajes. AWS admite el protocolo IGMPv2 y dominios de multidifusión de pertenencia a grupos estáticos (basados en API) y IGMP.
+ **Origen de multidifusión**: interfaz de red elástica asociada a una instancia EC2 compatible que está configurada estáticamente para enviar tráfico de multidifusión. Un origen de multidifusión solo se aplica a las configuraciones de origen estático.
Un dominio de multidifusión de origen estático contiene hosts que no utilizan el protocolo IGMP para unirse, salir y enviar mensajes. Utilice la AWS CLI para agregar un origen y miembros de grupo. El origen agregado estáticamente envía tráfico de multidifusión y los miembros reciben tráfico de multidifusión.
+ **Miembro de grupo de multidifusión**: una interfaz de red elástica asociada con una instancia EC2 compatible que recibe tráfico de multidifusión. Un grupo de multidifusión cuenta con varios miembros en el grupo. En una configuración de pertenencia a un grupo de origen estático, los miembros del grupo de multidifusión solo pueden recibir tráfico. En una configuración de grupo de IGMP, los miembros pueden enviar y recibir tráfico.
## Consideraciones
+ La multidifusión de la puerta de enlace puede no ser adecuada para operaciones de alta frecuencia o aplicaciones sensibles al rendimiento. Le aconsejamos encarecidamente que revise las [cuotas de multidifusión](transit-gateway-quotas.md#multicast-quotas) para conocer los límites. Póngase en contacto con el equipo de su cuenta o de arquitectos de soluciones para obtener una revisión detallada de sus requisitos de rendimiento.
+ Para obtener información acerca de las regiones admitidas, consulte las [Preguntas frecuentes de AWS Transit Gateway](https://aws.amazon.com/transit-gateway/faqs/).
+ Debe crear una nueva puerta de enlace de tránsito para admitir la multidifusión.
+ La pertenencia a un grupo de multidifusión se administra mediante el uso de la Amazon Virtual Private Cloud Console, la AWS CLI o el IGMP.
+ Una subred solo puede estar en un dominio de multidifusión.
+ Si utiliza una instancia que no sea Nitro, debe desmarcar la casilla de verificación **Origen/Destino**. Para obtener información sobre cómo desactivar la comprobación, consulte [Cambio de comprobación de origen o destino](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check) en la *Guía del usuario de Amazon EC2*.
+ Una instancia que no sea Nitro no puede ser remitente de multidifusión.
+ El enrutamiento de multidifusión no se admite a través de Direct Connect, VPN de sitio a sitio, vinculaciones de interconexiones o vinculaciones de Transit Gateway Connect.
+ Una puerta de enlace de tránsito no admite la fragmentación de paquetes de multidifusión. Los paquetes de multidifusión fragmentados se eliminan. Para obtener más información, consulte [Unidad de transmisión máxima (MTU).](transit-gateway-quotas.md#mtu-quotas).
+ Cuando se inicia, un host de IGMP envía varios mensajes de IGMP JOIN para unirse a un grupo de multidifusión (normalmente de 2 a 3 reintentos). En el caso improbable de que se pierdan todos los mensajes de IGMP JOIN, el host no pasará a formar parte del grupo de multidifusión de puerta de enlace de tránsito. En tal escenario, deberá volver a activar el mensaje de IGMP JOIN desde el host mediante métodos específicos de la aplicación.
+ La pertenencia a un grupo comienza con la recepción del mensaje JOIN de IGMPv2 por parte de la puerta de enlace de tránsito y finaliza con la recepción del mensaje LEAVE de IGMPv2. La puerta de enlace de tránsito realiza un seguimiento de los hosts que se unieron correctamente al grupo. Como enrutador de multidifusión en la nube, la puerta de enlace de tránsito emite un mensaje QUERY de IGMPv2 a todos los miembros cada dos minutos. Cada miembro envía un mensaje JOIN de IGMPv2 como respuesta, que es la forma en que los miembros renuevan su pertenencia. Si un miembro no responde a tres consultas consecutivas, la puerta de enlace de tránsito elimina esta pertenencia de todos los grupos a los que se unió. Sin embargo, continúa enviando consultas a este miembro durante 12 horas antes de eliminarlo permanentemente de la lista a consultar. Un mensaje LEAVE explícito de IGMPv2 elimina de forma inmediata y permanente el host de cualquier otro procesamiento de multidifusión.
+ La puerta de enlace de tránsito realiza un seguimiento de los hosts que se unieron correctamente al grupo. En caso de interrupción de la puerta de enlace de tránsito, esta continúa enviando datos de multidifusión al host durante siete minutos (420 segundos) después del último mensaje JOIN de IGMP correcto. La puerta de enlace de tránsito continúa enviando consultas de pertenencia al host durante un máximo de 12 horas o hasta que reciba un mensaje IGMP LEAVE del host.
+ La puerta de enlace de tránsito envía paquetes de consulta de pertenencia a todos los miembros de IGMP para que pueda realizar un seguimiento de la pertenencia a grupos de multidifusión. La IP de origen de estos paquetes de consulta de IGMP es 0.0.0.0/32 y la IP de destino es 224.0.0.1/32 y el protocolo es 2. La configuración del grupo de seguridad en los host de IGMP (instancias) y cualquier configuración de ACL en las subredes de host deben permitir estos mensajes de protocolo IGMP.
+ Cuando la fuente y el destino de multidifusión se encuentran en la misma VPC, no se puede utilizar la referencia del grupo de seguridad para establecer el grupo de seguridad de destino con objeto de aceptar tráfico procedente del grupo de seguridad de la fuente.
+ En el caso de los grupos y fuentes de multidifusión estáticos, AWS Transit Gateway elimina automáticamente los grupos y fuentes estáticos de las ENI que ya no existen. Esto se realiza asumiendo periódicamente la [función de enlace al servicio Transit Gateway](service-linked-roles.md#tgw-service-linked-roles) para describir los ENI de la cuenta.
+ Solo la multidifusión estática es compatible con IPv6. La multidifusión dinámica no lo es.
## Enrutar multidifusión
Cuando habilita la multidifusión en una gateway de tránsito, actúa como enrutador de multidifusión. Cuando agrega una subred a un dominio de multidifusión, enviamos todo el tráfico de multidifusión a la gateway de tránsito que se asocia con un dominio de multidifusión.
### ACL de red
Las reglas de ACL de red funcionan en el nivel de subred. Se aplican al tráfico de multidifusión, ya que las puertas de enlace de tránsito residen fuera de la subred. Para obtener más información, consulte [ACL de puntos de enlace](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) en la *Guía del usuario de Amazon VPC.*
Para el tráfico de multidifusión de Protocolo de administración de grupo de Internet (IGMP), las siguientes son las reglas de entrada mínimas. El host remoto es el host que envía el tráfico de multidifusión.
| Tipo | Protocolo | Fuente | Descripción |
| --- | --- | --- | --- |
| Protocolo personalizado | IGMP(2) | 0.0.0.0/32 | Consulta de IGMP |
| Protocolo UDP personalizado | UDP | Dirección IP del host remoto | Tráfico de multidifusión entrante |
Las siguientes son las reglas mínimas de salida para IGMP.
| Tipo | Protocolo | Destino | Descripción |
| --- | --- | --- | --- |
| Protocolo personalizado | IGMP(2) | 224.0.0.2/32 | Ausencia de IGMP |
| Protocolo personalizado | IGMP(2) | Dirección IP del grupo de multidifusión | Combinación de IGMP |
| Protocolo UDP personalizado | UDP | Dirección IP del grupo de multidifusión | Tráfico de multidifusión saliente |
### Grupos de seguridad
Las reglas de grupos de seguridad funcionan en el nivel de la instancia. Se pueden aplicar al tráfico de multidifusión entrante y saliente. El comportamiento es igual que en el tráfico de unidifusión. Para todos las instancias de miembros del grupo, debe permitir el tráfico saliente desde la fuente del grupo. Para obtener más información, consulte [Grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) en la *Guía del usuario de Amazon VPC*.
Debe tener las siguientes reglas de entrada como mínimo para el tráfico de multidifusión de IGMP. El host remoto es el host que envía el tráfico de multidifusión. No se puede especificar un grupo de seguridad como origen de la regla de entrada UDP.
| Tipo | Protocolo | Fuente | Descripción |
| --- | --- | --- | --- |
| Protocolo personalizado | 2 | 0.0.0.0/32 | Consulta de IGMP |
| Protocolo UDP personalizado | UDP | Dirección IP del host remoto | Tráfico de multidifusión entrante |
Debe tener las siguientes reglas de salida como mínimo para el tráfico de multidifusión de IGMP.
| Tipo | Protocolo | Destino | Descripción |
| --- | --- | --- | --- |
| Protocolo personalizado | 2 | 224.0.0.2/32 | Ausencia de IGMP |
| Protocolo personalizado | 2 | Dirección IP del grupo de multidifusión | Combinación de IGMP |
| Protocolo UDP personalizado | UDP | Dirección IP del grupo de multidifusión | Tráfico de multidifusión saliente |
# Dominios de multidifusión en AWS Transit Gateway
Un dominio de multidifusión permite la segmentación de una red de multidifusión en distintos dominios. Para comenzar a utilizar la multidifusión con una gateway de tránsito, cree un dominio de multidifusión y, a continuación, asocie subredes con el dominio.
## Atributos de dominio de multidifusión
En la siguiente tabla se detallan los atributos de dominio de multidifusión. No se pueden habilitar ambos atributos al mismo tiempo.
| Atributo | Descripción |
| --- | --- |
| Igmpv2Support (AWS CLI) **IGMPv2 support** (Compatibilidad con IGMPv2) (consola) | Este atributo determina cómo los miembros del grupo se unen o abandonan un grupo de multidifusión. Cuando este atributo está desactivado, se deben agregar manualmente los miembros del grupo al dominio. Habilite este atributo si al menos un miembro utiliza el protocolo IGMP. Los miembros se unen al grupo de multidifusión de una de las siguientes maneras: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/tgw/multicast-domains-about.html) Si registra miembros del grupo de multidifusión, también debe anular su registro. La puerta de enlace de tránsito ignora un mensaje de IGMP `LEAVE` enviado por un miembro del grupo agregado manualmente. |
| StaticSourcesSupport (AWS CLI) **Static sources support** (Compatibilidad con fuentes estáticas) (consola) | Este atributo determina si hay orígenes de multidifusión estáticos para el grupo. Cuando este atributo está activado, se deben agregar las fuentes de un dominio de multidifusión mediante [register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html). Solo los orígenes de multidifusión pueden enviar tráfico de multidifusión. Cuando este atributo está deshabilitado, no hay fuentes de multidifusión designadas. Cualquier instancia que se encuentre en subredes asociadas al dominio de multidifusión puede enviar tráfico de multidifusión y los miembros del grupo reciben el tráfico de multidifusión. |
# Cree un dominio de multidifusión IGMP en AWS Transit Gateway
Si aún no lo ha hecho, revise los atributos de dominio de multidifusión disponibles. Para obtener más información, consulte [Dominios de multidifusión en AWS Transit Gateway](multicast-domains-about.md).
**Para crear un dominio de multidifusión de IGMP mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Transit Gateway Multicast** (Multidifusión de puerta de enlace de tránsito).
1. Elija **Create transit gateway multicast domain** (Crear dominio de multidifusión de puerta de enlace de tránsito).
1. En **Name tag** (Etiqueta de nombre), ingrese un nombre para el dominio.
1. En **Transit gateway ID** (ID de puerta de enlace de tránsito), elija la gateway de tránsito que procesa el tráfico de multidifusión.
1. Para obtener **IGMPv2 asistencia**, selecciona la casilla de verificación.
1. En **Compatibilidad con orígenes estáticos**, desmarque la casilla de verificación.
1. Para aceptar automáticamente asociaciones de subred entre cuentas para este dominio de multidifusión, seleccione **Auto accept shared associations** (Aceptar asociaciones compartidas automáticamente).
1. Elija **Create transit gateway multicast domain** (Crear dominio de multidifusión de gateway de tránsito).
**Para crear un dominio de multidifusión IGMP mediante AWS CLI**
Utilice el comando [create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html).
```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=disable,Igmpv2Support=enable
```
# Creación de un dominio de multidifusión de origen estático con AWS Transit Gateway
Si aún no lo ha hecho, revise los atributos de dominio de multidifusión disponibles. Para obtener más información, consulte [Dominios de multidifusión en AWS Transit Gateway](multicast-domains-about.md).
**Para crear un dominio de multidifusión estática mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Transit Gateway Multicast** (Multidifusión de puerta de enlace de tránsito).
1. Elija **Create transit gateway multicast domain** (Crear dominio de multidifusión de gateway de tránsito).
1. En **Name tag** (Etiqueta de nombre), escriba un nombre para identificar el dominio.
1. En **Transit gateway ID** (ID de gateway de tránsito), elija la gateway de tránsito que procesa el tráfico de multidifusión.
1. En **Compatibilidad con IGMPv2**, desmarque la casilla de verificación.
1. En **Compatibilidad con orígenes estáticos**, marque la casilla de verificación.
1. Para aceptar automáticamente asociaciones de subred entre cuentas para este dominio de multidifusión, seleccione **Auto accept shared associations** (Aceptar asociaciones compartidas automáticamente).
1. Elija **Create transit gateway multicast domain** (Crear dominio de multidifusión de gateway de tránsito).
**Para crear un dominio de multidifusión estática mediante la AWS CLI (AWS CLI)**
Utilice el comando [create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html).
```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=enable,Igmpv2Support=disable
```
# Asociación de subredes y adjuntos de VPC a un dominio de multidifusión en Transit Gateway AWS
Utilice el siguiente procedimiento para asociar una vinculación de VPC a un dominio de multidifusión. Al crear una asociación, puede seleccionar las subredes para incluirlas en el dominio de multidifusión.
Antes de comenzar, debe crear una vinculación de la VPC en la puerta de enlace de tránsito. Para obtener más información, consulte [Archivos adjuntos de Amazon VPC en AWS Transit Gateway](tgw-vpc-attachments.md).
**Para asociar conexiones de VPC a un dominio de multidifusión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Transit Gateway Multicast** (Multidifusión de puerta de enlace de tránsito).
1. Seleccione el dominio de multidifusión y, a continuación, elija **Actions** (Acciones), **Create association** (Crear asociación).
1. En **Choose attachment to associate** (Elegir la conexión que asociar), seleccione la conexión de puerta de enlace de tránsito.
1. En **Choose subnets to associate** (Seleccionar las subredes que desea asociar), seleccione las subredes para incluirlas en el dominio de multidifusión.
1. Elija **Create association** (Crear asociación).
**Para asociar los adjuntos de la VPC a un dominio de multidifusión mediante AWS CLI**
Utilice el comando [associate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-multicast-domain.html).
# Disociar una subred de un dominio de multidifusión en AWS Transit Gateway
Utilice el siguiente procedimiento para desasociar subredes de un dominio de multidifusión.
**Para desasociar las subredes mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Transit Gateway Multicast (Multidifusión de gateway de tránsito)**.
1. Seleccione el dominio de multidifusión.
1. Seleccione la pestaña **Associations** (Asociaciones).
1. Seleccione la subred y luego elija **Actions** (Acciones), **Delete association** (Eliminar asociación).
**Para desasociar las subredes mediante la AWS CLI**
Utilice el comando [disassociate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-multicast-domain.html).
# Ver asociaciones de dominios de multidifusión en AWS Transit Gateway
Consulte sus dominios de multidifusión para verificar que estén disponibles y que contengan las subredes y las conexiones apropiadas.
**Para visualizar un dominio de multidifusión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Transit Gateway Multicast** (Multidifusión de puerta de enlace de tránsito).
1. Seleccione el dominio de multidifusión.
1. Seleccione la pestaña **Associations** (Asociaciones).
**Para ver un dominio de multidifusión mediante AWS CLI**
Utilice el comando [describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html).
# Agregar etiquetas a un dominio de multidifusión en AWS Transit Gateway
Agregue etiquetas a sus recursos para organizarlos e identificarlos mejor, por ejemplo, por objetivo, propietario o entorno. Puede agregar varias etiquetas a cada dominio de multidifusión. Las claves de etiqueta deben ser únicas para cada dominio de multidifusión. Si agrega una etiqueta con una clave que ya está asociada al dominio de multidifusión, actualizará el valor de esa etiqueta. Para obtener más información, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).
**Para agregar etiquetas a un dominio de multidifusión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Transit Gateway Multicast (Multidifusión de gateway de tránsito)**.
1. Seleccione el dominio de multidifusión.
1. Elija **Actions** (Acciones) y, a continuación, **Manage tags** (Administrar etiquetas).
1. (Opcional) Para cada etiqueta, elija **Add new tag** (Agregar nueva etiqueta) e ingrese la **Key** (Clave) y el **Value** (Valor) de la etiqueta.
1. Seleccione **Save** (Guardar).
**Para agregar etiquetas a un dominio de multidifusión mediante la AWS CLI**
Utilice el comando [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html).
# Eliminar un dominio de multidifusión en AWS Transit Gateway
Utilice el siguiente procedimiento para eliminar un dominio de multidifusión.
**Para eliminar un dominio de multidifusión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Transit Gateway Multicast (Multidifusión de gateway de tránsito)**.
1. Seleccione el dominio de multidifusión y, a continuación, seleccione **Actions** (Acciones), **Delete multicast domain** (Eliminar dominio de multidifusión).
1. Cuando se le pida confirmación, ingrese **delete** y elija **Delete** (Eliminar).
**Para eliminar un dominio de multidifusión mediante la AWS CLI (AWS CLI)**
Utilice el comando [delete-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-multicast-domain.html).
# Dominios de multidifusión compartidos en AWS Transit Gateway
Con el uso compartido de dominios de multidifusión, los propietarios de dominios de multidifusión pueden compartir el dominio con otras cuentas de AWS dentro de su organización o entre organizaciones en AWS Organizations. Como propietario del dominio de multidifusión, puede crear y administrar el dominio de multidifusión de forma centralizada. Una vez compartidos, esos usuarios pueden realizar las siguientes operaciones en un dominio de multidifusión compartido:
+ Registrar y anular el registro de miembros del grupo u orígenes de grupo en el dominio de multidifusión
+ Asociar una subred con el dominio de multidifusión y desasociar subredes del dominio de multidifusión
Un propietario de dominio de multidifusión puede compartir un dominio de multidifusión con:
+ AWS cuentas dentro de su organización o entre organizaciones en AWS Organizations
+ Una unidad organizativa dentro de su organización en AWS Organizations
+ Toda su organización en AWS Organizations
+ AWS cuentas fuera de AWS Organizations.
Para compartir un dominio de multidifusión con una AWS cuenta ajena a su organización, debe crear un recurso compartido utilizando y AWS Resource Access Manager, a continuación, elegir **Permitir compartir con cualquier persona** al seleccionar los principales con los que compartir el dominio de multidifusión. Para obtener más información acerca de la creación de un recurso compartido, consulte [Creación de un recurso compartido con AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) en la *Guía del usuario de AWS RAM *
**Topics**
+ [Requisitos previos para compartir un dominio de multidifusión](#sharing-prereqs)
+ [Servicios relacionados](#sharing-related)
+ [Permisos de dominio de multidifusión compartidos](#sharing-perms)
+ [Facturación y medición](#sharing-billing)
+ [Cuotas](#sharing-quotas)
+ [Compartir recursos entre zonas de disponibilidad](sharing-azs.md)
+ [Compartir un dominio de multidifusión](sharing-share.md)
+ [Detener el uso compartido de dominios de multidifusión](sharing-unshare.md)
+ [Identificar un dominio de multidifusión compartido](sharing-identify.md)
## Requisitos previos para compartir un dominio de multidifusión
+ Para compartir un dominio de multidifusión, debes tenerlo en tu cuenta. AWS No puede compartir un dominio de multidifusión que se haya compartido con usted.
+ Para compartir un dominio de multidifusión con tu organización o unidad organizativa AWS Organizations, debes habilitar el uso compartido con. AWS Organizations Para obtener más información, consulte [Habilitar el uso compartido con AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) en la *Guía del usuario de AWS RAM *.
## Servicios relacionados
El uso compartido de dominios de multidifusión se integra con AWS Resource Access Manager ()AWS RAM. AWS RAM es un servicio que le permite compartir sus AWS recursos con cualquier AWS cuenta o a través AWS Organizations de. Con AWS RAM, puede compartir recursos de su propiedad creando un *recurso compartido*. Un uso compartido de recursos especifica los recursos que se compartirán y los usuarios con quienes compartirlos. Los consumidores pueden ser AWS cuentas individuales, unidades organizativas o toda una organización AWS Organizations.
Para obtener más información al respecto AWS RAM, consulte la *[Guía AWS RAM del usuario](https://docs.aws.amazon.com/ram/latest/userguide/)*.
## Permisos de dominio de multidifusión compartidos
### Permisos de los propietarios
Los propietarios son responsables de administrar el dominio de multidifusión y los miembros y conexiones que registran o asocian con el dominio. Los propietarios pueden cambiar o revocar el acceso compartido en cualquier momento. Pueden usar AWS Organizations para ver, modificar y eliminar los recursos que los consumidores crean en dominios de multidifusión compartidos.
### Permisos de los consumidores
Los usuarios del dominio de multidifusión compartido pueden realizar las siguientes operaciones en dominios de multidifusión compartidos al igual que en los dominios de multidifusión que crearon:
+ Registrar y anular el registro de miembros del grupo u orígenes de grupo en el dominio de multidifusión
+ Asociar una subred con el dominio de multidifusión y desasociar subredes del dominio de multidifusión
Los consumidores son responsables de administrar los recursos que crean en el dominio de multidifusión compartido.
Los clientes no pueden ver ni modificar recursos propiedad de otros consumidores o del propietario del dominio de multidifusión y no pueden modificar los dominios de multidifusión que se comparten con ellos.
## Facturación y medición
No hay cargos adicionales por compartir dominios de multidifusión tanto para el propietario como para los consumidores.
## Cuotas
Un dominio de multidifusión compartido cuenta para las cuotas de dominio de multidifusión tanto del propietario como del usuario con quien se compartió el dominio.
# Comparta recursos entre zonas de disponibilidad en AWS Transit Gateway
Para garantizar que los recursos se distribuyan entre las zonas de disponibilidad de una región, AWS Transit Gateway asigna de forma independiente las zonas de disponibilidad a los nombres de cada cuenta. Esto podría dar lugar a diferencias de nomenclatura de zona de disponibilidad entre cuentas. Por ejemplo, es posible que la zona `us-east-1a` de disponibilidad de su AWS cuenta no tenga la misma ubicación que la `us-east-1a` de otra AWS cuenta.
Para identificar la ubicación de su dominio de multidifusión en relación con sus cuentas, debe usar el *ID de zona de disponibilidad* (ID de AZ). El ID de zona de disponibilidad es un identificador único y coherente de una zona de disponibilidad en todas AWS las cuentas. Por ejemplo, `use1-az1` es un ID de zona geográfica para la `us-east-1` región y se encuentra en la misma ubicación en todas las AWS cuentas.
**Para ver la zona de disponibilidad IDs de las zonas de disponibilidad de su cuenta**
1. Abre la AWS RAM consola en [https://console.aws.amazon.com/ram/casa](https://console.aws.amazon.com/ram/home).
1. Las AZ IDs de la región actual se muestran en el panel **Tu ID de AZ**, en la parte derecha de la pantalla.
# Compartir un dominio de multidifusión en AWS Transit Gateway
Cuando un propietario le comparte un dominio de multidifusión, usted puede hacer lo siguiente:
+ Registrar y anular el registro de miembros del grupo u orígenes de grupo
+ Asociar y desasociar subredes
**nota**
Para compartir un dominio de multidifusión, debe agregarlo a un recurso compartido. Un recurso compartido es un AWS RAM recurso que te permite compartir tus recursos entre AWS cuentas. Un recurso compartido especifica los recursos que compartir y los consumidores con quienes se comparten. Cuando compartes un dominio de multidifusión mediante el Amazon Virtual Private Cloud Console, lo agregas a un recurso compartido existente. Para agregar el dominio de multidifusión a un nuevo recurso compartido, primero debe crear el recurso compartido mediante la [consola de AWS RAM](https://console.aws.amazon.com/ram).
Si forma parte de una organización AWS Organizations y está habilitado el uso compartido dentro de su organización, los consumidores de su organización tienen acceso automático al dominio de multidifusión compartido. De lo contrario, los consumidores reciben una invitación para unirse al recurso compartido y se les concede acceso al dominio de multidifusión compartido después de aceptar la invitación.
Puede compartir un dominio de multidifusión de su propiedad mediante la Amazon Virtual Private Cloud consola, la AWS RAM consola o el. AWS CLI
**Para compartir un dominio de multidifusión de su propiedad mediante la \$1Amazon Virtual Private Cloud Console**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Multicast Domains** (Dominios de multidifusión).
1. Seleccione el dominio de multidifusión y, a continuación, elija**Actions** (Acciones), **Share multicast domain** (Compartir dominio de multidifusión).
1. Seleccione su recurso compartido y elija **Share multicast domain** (Compartir dominio de multidifusión).
**Para compartir un dominio de multidifusión de su propiedad mediante la consola AWS RAM**
Consulte [Crear un recurso compartido](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create) en la *Guía del usuario de AWS RAM *.
**Para compartir un dominio de multidifusión de su propiedad mediante el AWS CLI**
Utilice el comando [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html).
# Dejar de compartir un dominio de multidifusión compartido en AWS Transit Gateway
Cuando un dominio de multidifusión compartido no se comparte, sucede lo siguiente a los recursos de dominio de multidifusión del consumidor:
+ Las subredes de consumidores se desasocian del dominio de multidifusión. Las subredes permanecen en la cuenta del consumidor.
+ Los orígenes del grupo del consumidor y los miembros del grupo se desasocian del dominio de multidifusión y, a continuación, se eliminan de la cuenta del consumidor.
Para dejar de compartir un dominio de multidifusión, debe quitarlo del recurso compartido. Puede hacerlo desde la AWS RAM consola o desde AWS CLI.
Para dejar de compartir un dominio de multidifusión compartido de su propiedad, debe quitarlo del recurso compartido. Puede hacerlo mediante la AWS RAM consola Amazon Virtual Private Cloud, o la AWS CLI.
**Para anular el uso compartido de un dominio de multidifusión compartido de su propiedad mediante la \$1Amazon Virtual Private Cloud Console**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Multicast Domains** (Dominios de multidifusión).
1. Seleccione el dominio de multidifusión y, a continuación, elija **Actions** (Acciones), **Stop sharing** (Dejar de compartir).
**Para dejar de compartir un dominio de multidifusión compartido de su propiedad mediante la consola AWS RAM**
Consulte [Actualización de un recurso compartido](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update) en la *Guía del usuario de AWS RAM *.
**Para dejar de compartir un dominio de multidifusión compartido de tu propiedad mediante el AWS CLI**
Utilice el comando [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).
# Identifique un dominio de multidifusión compartido en AWS Transit Gateway
Los propietarios y los consumidores pueden identificar los dominios de multidifusión compartidos mediante y Amazon Virtual Private Cloud AWS CLI
**Para identificar un dominio de multidifusión compartido mediante la \$1Amazon Virtual Private Cloud Console**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Multicast Domains** (Dominios de multidifusión).
1. Seleccione su dominio de multidifusión.
1. En la página de **detalles del dominio de multidifusión de tránsito**, consulte el **ID de propietario** para identificar el ID de AWS cuenta del dominio de multidifusión.
**Para identificar un dominio de multidifusión compartido mediante el AWS CLI**
Utilice el comando [describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html). El comando devuelve los dominios de multidifusión de los que es propietario y los dominios de multidifusión que comparte con usted. `OwnerId`muestra el ID de AWS cuenta del propietario del dominio de multidifusión.
# Registrar fuentes con un grupo de multidifusión en AWS Transit Gateway
**nota**
Este procedimiento solo es necesario cuando se ha establecido el atributo de **Static sources support** (Soporte de orígenes estáticos) en **enable** (habilitar).
Utilice el siguiente procedimiento para registrar orígenes con un grupo de multidifusión. El origen es la interfaz de red que envía el tráfico de multidifusión.
Necesita la siguiente información antes de añadir un origen:
+ El ID del dominio de multidifusión
+ La IDs de las interfaces de red de las fuentes
+ La dirección IP del grupo de multidifusión
**Para registrar orígenes mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Transit Gateway Multicast** (Multidifusión de puerta de enlace de tránsito).
1. Seleccione el dominio de multidifusión y, a continuación, elija **Actions** (Acciones), **Add group sources** (Agregar orígenes de grupo).
1. Para la **dirección IP del grupo**, introduzca el bloque IPv4 CIDR o el bloque IPv6 CIDR para asignarlo al dominio de multidifusión.
1. En **Choose network interfaces** (Seleccionar interfaces de red), seleccione las interfaces de red de los remitentes de la multidifusión.
1. Seleccione **Add sources** (Agregar orígenes).
**Para registrar las fuentes mediante el AWS CLI**
Utilice el comando [register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html).
# Registrar miembros con un grupo de multidifusión en AWS Transit Gateway
Utilice el siguiente procedimiento para registrar miembros de grupos con un grupo de multidifusión.
Necesita la siguiente información antes de añadir miembros:
+ El ID del dominio de multidifusión
+ Las interfaces IDs de red de los miembros del grupo
+ La dirección IP del grupo de multidifusión
**Para registrar miembros mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Transit Gateway Multicast** (Multidifusión de puerta de enlace de tránsito).
1. Seleccione el dominio de multidifusión y, a continuación, elija **Actions** (Acciones), **Add group members** (Agregar miembros de grupo).
1. Para la **dirección IP del grupo**, introduzca el bloque IPv4 CIDR o el bloque IPv6 CIDR para asignarlo al dominio de multidifusión.
1. En **Choose network interfaces** (Seleccionar interfaces de red), seleccione las interfaces de red de los receptores de la multidifusión.
1. Seleccione **Add members** (Agregar miembros).
**Para registrar miembros mediante el AWS CLI**
Utilice el comando [register-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-members.html).
# Anulación del registro de orígenes del grupo de multidifusión de AWS Transit Gateway
No es necesario seguir este procedimiento a menos que haya agregado manualmente un origen al grupo de multidifusión.
**Para eliminar un origen mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Transit Gateway Multicast (Multidifusión de gateway de tránsito)**.
1. Seleccione el dominio de multidifusión.
1. Seleccione la pestaña **Groups** (Grupos).
1. Seleccione los orígenes y, a continuación, elija **Remove source** (Eliminar origen).
**Para eliminar un origen mediante la AWS CLI**
Utilice el comando [deregister-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-sources.html).
# Anular el registro de miembros de un grupo de multidifusión en Transit Gateway AWS
No es necesario seguir este procedimiento a menos que haya agregado manualmente un miembro al grupo de multidifusión.
**Para anular el registro de los miembros mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Transit Gateway Multicast** (Multidifusión de puerta de enlace de tránsito).
1. Seleccione el dominio de multidifusión.
1. Seleccione la pestaña **Groups** (Grupos).
1. Seleccione los miembros y, a continuación, elija **Remove member** (Eliminar miembro).
**Para anular el registro de miembros mediante el AWS CLI**
Utilice el comando [deregister-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-members.html).
# Ver grupos de multidifusión en AWS Transit Gateway
Puede ver información sobre sus grupos de multidifusión para comprobar que los miembros fueron detectados mediante el IGMPv2 protocolo. El **tipo de miembro** (en la consola) o `MemberType` (en la AWS CLI) muestra IGMP cuando AWS descubre miembros con el protocolo.
**Para visualizar los grupos de multidifusión mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Transit Gateway Multicast** (Multidifusión de puerta de enlace de tránsito).
1. Seleccione el dominio de multidifusión.
1. Seleccione la pestaña **Groups** (Grupos).
**Para ver los grupos de multidifusión mediante el AWS CLI**
Utilice el comando [search-transit-gateway-multicast-groups.](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-multicast-groups.html)
En el ejemplo siguiente se muestra que el protocolo IGMP detectó miembros del grupo de multidifusión.
```
aws ec2 search-transit-gateway-multicast-groups --transit-gateway-multicast-domain tgw-mcast-domain-000fb24d04EXAMPLE
{
"MulticastGroups": [
{
"GroupIpAddress": "224.0.1.0",
"TransitGatewayAttachmentId": "tgw-attach-0372e72386EXAMPLE",
"SubnetId": "subnet-0187aff814EXAMPLE",
"ResourceId": "vpc-0065acced4EXAMPLE",
"ResourceType": "vpc",
"NetworkInterfaceId": "eni-03847706f6EXAMPLE",
"MemberType": "igmp"
}
]
}
```
# Configuración de la multidifusión para Windows Server en AWS Transit Gateway
Deberá realizar pasos adicionales al configurar la multidifusión para que funcione con las puertas de enlace de tránsito en Windows Server 2019 o 2022. Para la configuración, necesitará usar PowerShell y ejecutar los siguientes comandos:
**Para configurar la multidifusión para Windows Server con PowerShell**
1. Cambie Windows Server para usar IGMPv2 en lugar de IGMPv3 para la pila de TCP/IP:
`PS C:\> New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IGMPVersion -PropertyType DWord -Value 3 `
**nota**
`New-ItemProperty` es un índice de propiedad que especifica la versión de IGMP. Como IGMP v2 es la versión compatible con la multidifusión, la propiedad `Value` debe ser `3`. En lugar de editar el registro de Windows, puede ejecutar el siguiente comando para establecer la versión de IGMP en 2:
`Set-NetIPv4Protocol -IGMPVersion Version2`
1. El firewall de Windows elimina la mayor parte del tráfico UDP de forma predeterminada. Primero tendrá que comprobar qué perfil de conexión se utiliza para la multidifusión:
```
PS C:\> Get-NetConnectionProfile | Select-Object NetworkCategory
NetworkCategory
---------------
Public
```
1. Actualice el perfil de conexión del paso anterior para permitir el acceso a los puertos UDP necesarios:
`PS C:\> Set-NetFirewallProfile -Profile Public -Enabled False`
1. Reinicie la instancia EC2.
1. Pruebe su aplicación de multidifusión para asegurarse de que el tráfico fluya según lo esperado.
# Ejemplo: administrar las configuraciones IGMP mediante AWS Transit Gateway
En este ejemplo, se muestra que al menos un host utiliza el protocolo IGMP para el tráfico de multidifusión. AWS crea automáticamente el grupo de multidifusión cuando recibe un mensaje `JOIN` de IGMP desde una instancia y, a continuación, agrega la instancia como miembro de este grupo. También puede añadir de forma estática hosts que no sean IGMP como miembros de un grupo mediante el. AWS CLI Cualquier instancia que se encuentre en subredes asociadas con el dominio de multidifusión puede enviar tráfico y los miembros del grupo reciben el tráfico de multidifusión.
Siga los pasos siguientes para completar la configuración:
1. Cree una VPC. Para obtener más información, consulte [Crear una VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) en la *Guía del usuario de Amazon VPC*.
1. Cree una subred en la VPC. Para obtener más información, consulte [Crear una subred](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) en la *Guía del usuario de Amazon VPC*.
1. Cree una puerta de enlace de tránsito configurada para el tráfico de multidifusión. Para obtener más información, consulte [Cree una pasarela de tránsito en AWS Transit Gateway](create-tgw.md).
1. Cree una conexión de VPC. Para obtener más información, consulte [Crear una vinculación de de VPC en AWS Transit Gateway](create-vpc-attachment.md).
1. Cree un dominio de multidifusión configurado con compatibilidad con IGMP. Para obtener más información, consulte [Cree un dominio de multidifusión IGMP en AWS Transit Gateway](create-tgw-igmp-domain.md).
Utilice los siguientes valores:
+ **Habilite el soporte. IGMPv2 **
+ Desactive **Static sources support** (Compatibilidad con fuentes estáticas).
1. Cree una asociación entre subredes en la conexión de VPC de la puerta de enlace de tránsito y el dominio de multidifusión. Para obtener más información, consulte [Asociación de subredes y adjuntos de VPC a un dominio de multidifusión en Transit Gateway AWS](associate-attachment-to-domain.md).
1. La versión IGMP predeterminada para EC2 es. IGMPv3 Debe cambiar la versión para todos los miembros del grupo IGMP. Puede ejecutar el siguiente comando:
```
sudo sysctl net.ipv4.conf.eth0.force_igmp_version=2
```
1. Agregue los miembros que no utilizan el protocolo IGMP al grupo de multidifusión. Para obtener más información, consulte [Registrar miembros con un grupo de multidifusión en AWS Transit Gateway](add-members-multicast-group.md).
# Ejemplo: administrar configuraciones de fuentes estáticas en AWS Transit Gateway
En este ejemplo, se agregan orígenes de multidifusión de manera estática a un grupo. Los alojamientos no utilizan el protocolo IGMP para unirse o dejar grupos de multidifusión. Debe agregar estáticamente los miembros del grupo que reciben el tráfico de multidifusión.
Siga los pasos siguientes para completar la configuración:
1. Cree una VPC. Para obtener más información, consulte [Crear una VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) en la *Guía del usuario de Amazon VPC*.
1. Cree una subred en la VPC. Para obtener más información, consulte [Crear una subred](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) en la *Guía del usuario de Amazon VPC*.
1. Cree una puerta de enlace de tránsito configurada para el tráfico de multidifusión. Para obtener más información, consulte [Cree una pasarela de tránsito en AWS Transit Gateway](create-tgw.md).
1. Cree una conexión de VPC. Para obtener más información, consulte [Crear una vinculación de de VPC en AWS Transit Gateway](create-vpc-attachment.md).
1. Cree un dominio de multidifusión configurado para que no admita IGMP y soporte para agregar orígenes estáticamente. Para obtener más información, consulte [Creación de un dominio de multidifusión de origen estático con AWS Transit Gateway](create-tgw-domain.md).
Utilice los siguientes valores:
+ Deshabilita **IGMPv2 el soporte**.
+ Para agregar fuentes manualmente, habilite **Static sources support** (Compatibilidad con fuentes estáticas).
Las fuentes son los únicos recursos que pueden enviar tráfico de multidifusión cuando el atributo está habilitado. De lo contrario, cualquier instancia que esté en subredes asociadas con el dominio de multidifusión puede enviar tráfico de multidifusión y los miembros del grupo recibirán el tráfico de multidifusión.
1. Cree una asociación entre subredes en la conexión de VPC de la gateway de tránsito y el dominio de multidifusión. Para obtener más información, consulte [Asociación de subredes y adjuntos de VPC a un dominio de multidifusión en Transit Gateway AWS](associate-attachment-to-domain.md).
1. Si habilita **Static sources support** (Compatibilidad con fuentes estáticas), agregue la fuente al grupo de multidifusión. Para obtener más información, consulte [Registrar fuentes con un grupo de multidifusión en AWS Transit Gateway](add-source-multicast-group.md).
1. Agregue los miembros al grupo de multidifusión. Para obtener más información, consulte [Registrar miembros con un grupo de multidifusión en AWS Transit Gateway](add-members-multicast-group.md).
# Ejemplo: administrar las configuraciones estáticas de los miembros de un grupo en AWS Transit Gateway
En este ejemplo, se muestra cómo agregar miembros de multidifusión a un grupo de manera estática. Los alojamientos no pueden utilizar el protocolo IGMP para unirse o dejar grupos de multidifusión. Cualquier instancia que se encuentre en subredes asociadas al dominio de multidifusión puede enviar tráfico de multidifusión y los miembros del grupo reciben el tráfico de multidifusión.
Siga los pasos siguientes para completar la configuración:
1. Cree una VPC. Para obtener más información, consulte [Crear una VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) en la *Guía del usuario de Amazon VPC*.
1. Cree una subred en la VPC. Para obtener más información, consulte [Crear una subred](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) en la *Guía del usuario de Amazon VPC*.
1. Cree una puerta de enlace de tránsito configurada para el tráfico de multidifusión. Para obtener más información, consulte [Cree una pasarela de tránsito en AWS Transit Gateway](create-tgw.md).
1. Cree una conexión de VPC. Para obtener más información, consulte [Crear una vinculación de de VPC en AWS Transit Gateway](create-vpc-attachment.md).
1. Cree un dominio de multidifusión configurado para que no admita IGMP y soporte para agregar orígenes estáticamente. Para obtener más información, consulte [Creación de un dominio de multidifusión de origen estático con AWS Transit Gateway](create-tgw-domain.md).
Utilice los siguientes valores:
+ Desactivar **IGMPv2 el soporte**.
+ Desactive **Static sources support** (Compatibilidad con fuentes estáticas).
1. Cree una asociación entre subredes en la conexión de VPC de la puerta de enlace de tránsito y el dominio de multidifusión. Para obtener más información, consulte [Asociación de subredes y adjuntos de VPC a un dominio de multidifusión en Transit Gateway AWS](associate-attachment-to-domain.md).
1. Agregue los miembros al grupo de multidifusión. Para obtener más información, consulte [Registrar miembros con un grupo de multidifusión en AWS Transit Gateway](add-members-multicast-group.md).
# Asignación flexible de costes
De forma predeterminada, Transit Gateway utiliza un modelo de asignación de costes basado en el remitente, en el que los gastos de procesamiento de datos se asignan a la cuenta propietaria del archivo adjunto de origen. Puede crear políticas de medición personalizadas que definan qué cuentas se deben cobrar en función de las propiedades del flujo de tráfico, como los tipos de archivos adjuntos, los archivos adjuntos específicos o las IDs direcciones de red.
Las políticas de medición consisten en reglas ordenadas que se evalúan desde el número de regla más bajo hasta el más alto. Cuando el tráfico coincide con una regla, se cobra a la cuenta especificada de acuerdo con la configuración de la regla. Puede especificar el propietario de la cuenta para asignar los costes entre las siguientes opciones:
+ **Propietario del archivo adjunto de origen**: los cargos se asignan a la cuenta propietaria del archivo adjunto de origen (comportamiento predeterminado)
+ **Propietario del archivo adjunto de destino**: los cargos se asignan a la cuenta propietaria del archivo adjunto de destino
+ **Propietario de Transit Gateway**: los cargos se asignan a la cuenta propietaria de la pasarela de tránsito
La asignación flexible de costos permite una mejor administración de costos para las organizaciones que utilizan arquitecturas de red centralizadas, lo que permite asignar los costos a las unidades de negocio o propietarios de aplicaciones apropiados, independientemente de la topología de la red.
**nota**
La asignación flexible de costos permite asignar de manera flexible el uso de los contadores y, a su vez, los costos a los titulares de cuentas que usted elija. Sin embargo, las implicaciones fiscales para AWS las cuentas pueden variar considerablemente en función de la ubicación geográfica, los patrones de uso y otros factores. Revise las implicaciones de facturación, impuestos y administración de costos para las cuentas de su AWS organización antes de habilitar esta función. Referencia: [¿Qué es AWS Billing and Cost Management?](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)
## Políticas de medición
Las políticas de medición te permiten configurar las reglas de asignación de costes para tu pasarela de tránsito a fin de controlar a qué cuentas se les cobran los costes de procesamiento y transferencia de datos en función de las propiedades del flujo de tráfico. Esta función permite mejorar las capacidades de gestión de costes y devolución de cargos para las organizaciones que utilizan arquitecturas de red centralizadas.
Una política de medición se compone de lo siguiente:
+ **Política de medición**: el contenedor de configuración general que contiene las reglas de la política de medición. Cuando se crea, contiene una única entrada de política de medición predeterminada que está configurada para cobrar todo el tráfico al propietario del archivo adjunto de origen. Cada pasarela de tránsito solo puede tener una política de medición.
+ Introducción a la **política de medición**: reglas individuales dentro de una política de medición que definen los criterios de coincidencia específicos y el uso de la cuenta al contador. Cada entrada incluye un número de regla para el orden de evaluación, las condiciones de coincidencia del tráfico (como los tipos de adjuntos de origen y destino, los adjuntos IDs, los bloques de CIDR, los puertos y los protocolos) y a qué propietario de la cuenta se debe cobrar por el tráfico coincidente. Una política puede contener hasta 50 entradas, evaluadas en orden del número de regla más bajo al más alto.
Puede asignar el uso de los contadores a cualquiera de las siguientes opciones:
+ **Propietario del archivo adjunto de origen**: asigna el uso de la medición a la cuenta propietaria del archivo adjunto donde se origina el tráfico (comportamiento predeterminado)
+ **Propietario del archivo adjunto de destino**: asigna el uso de la medición a la cuenta propietaria del archivo adjunto donde termina el tráfico, y
+ **propietario de la pasarela de tránsito**: asigna el uso de la medición a la cuenta propietaria de la pasarela de tránsito.
+ **Archivos adjuntos Middlebox: accesorios** de pasarela de tránsito designados (opcionales) que enrutan el tráfico a través de los dispositivos de red para la inspección de seguridad, el equilibrio de carga u otras funciones de la red. El uso de datos del tráfico que pasa por los archivos adjuntos de middlebox se mide en función del propietario de la cuenta especificado en la política de medición. Puede especificar un máximo de 10 archivos adjuntos en el cuadro intermedio. Los tipos de adjuntos de middlebox admitidos son los adjuntos de función de AWS red (Network Firewall), VPC y VPN.
### Cómo funcionan las políticas de medición
De forma predeterminada, Transit Gateway utiliza un modelo de asignación de costes basado en el remitente, en el que los gastos de procesamiento de datos se repercuten en la cuenta propietaria del archivo adjunto de origen. Con las políticas de medición, puedes crear reglas personalizadas para medir el uso de manera flexible en función de las siguientes propiedades del flujo de tráfico:
+ Tipos de adjuntos de origen y destino (VPC, VPN, Direct Connect Gateway, emparejamiento, función de red y concentrador de VPN)
+ Datos adjuntos de origen y destino IDs
+ Direcciones IP de origen y destino, intervalos de puertos y protocolos
Las políticas de medición consisten en reglas ordenadas que se evalúan del número de regla más bajo al más alto. Cuando el tráfico coincide con una regla, se cobra a la cuenta especificada de acuerdo con la configuración de la cuenta medida de la regla. Las políticas de medición abordan varios escenarios organizativos comunes:
+ **Asignación de costos en entornos híbridos**: asigne los costos AWS de ingreso de datos desde las instalaciones a través de Direct Connect Gateway al propietario de la cuenta de VPC de destino, en lugar de al propietario de la cuenta del administrador de TI central.
+ **Arquitectura de inspección centralizada**: asigne los costos a los propietarios de aplicaciones individuales o cuentas de VPC en lugar de al equipo de seguridad central para el tráfico que pasa por la inspección. VPCs
+ **Contracargo basado en aplicaciones**: asigne todos los costos de uso de datos de una carga de trabajo al propietario de la VPC, independientemente de la dirección del tráfico.
+ **Asignación de costes a los clientes**: asigne los costes de los datos a las cuentas de los clientes cuando creen archivos adjuntos a su pasarela de transporte.
### Adjuntos de Middlebox
Las políticas de medición de Transit Gateway admiten los archivos adjuntos de Middlebox, lo que le permite asignar de manera flexible los cargos de procesamiento de datos al tráfico de red enrutado a través de dispositivos Middlebox, como firewalls de red y balanceadores de carga. Algunos ejemplos de adjuntos middlebox son los adjuntos de función de red a AWS Network Firewall o los adjuntos de VPC que redirigen el tráfico a dispositivos de seguridad de terceros en una VPC. El tráfico entre los adjuntos de las pasarelas de tránsito de origen y destino pasa por estos adjuntos intermedios para los casos de uso típicos de las inspecciones de seguridad. Puede definir políticas de medición para asignar de manera flexible el uso del procesamiento de datos en los archivos adjuntos intermedios al archivo adjunto de origen, al archivo adjunto de destino final o al propietario de la cuenta de Transit Gateway. En el caso de los archivos adjuntos de AWS Network Function, los gastos de procesamiento de datos del Network Firewall también se asignan a la cuenta de pago.
### Asignación flexible de costos: medición de los tipos de uso
La asignación flexible de costos mediante políticas de medición se aplica a los siguientes tipos de uso de datos:
+ Uso del procesamiento de datos de Transit Gateway en archivos adjuntos de VPC, VPN, VPN Concentrator y Direct Connect
+ Site-to-site Uso de transferencia de datos de VPN y salida en archivos adjuntos de VPN
+ Uso de transferencia de datos de Direct Connect en los archivos adjuntos de Direct Connect.
+ Uso de la transferencia de datos en los archivos adjuntos de emparejamiento de TGW
+ Transit Gateway: uso del procesamiento de datos en los archivos adjuntos con funciones de red
+ AWS Uso del procesamiento de datos del firewall de red (NFW) en los archivos adjuntos de la función de red.
La asignación flexible de costos no se aplica al uso por hora de los archivos adjuntos ni al uso del procesamiento de datos de multidifusión. En el caso de los adjuntos de Transit Gateway Connect, se puede definir una política de medición para la VPC de transporte subyacente o el adjunto de Direct Connect. En el caso de los adjuntos de VPN con IP privada, se puede definir una política de medición para el adjunto Direct Connect de transporte subyacente.
### Consideraciones y limitaciones
Tenga en cuenta lo siguiente al implementar políticas de medición para su pasarela de tránsito.
#### Permisos
+ Solo el propietario de la pasarela de transporte público puede crear, modificar o eliminar las políticas de medición.
+ La configuración de asignación de costos se aplica a nivel de pasarela de tránsito.
+ Los propietarios de los archivos adjuntos no pueden anular los ajustes de asignación de costes configurados por el propietario de la pasarela de transporte.
#### Interconexión Transit Gateway
Cuando el tráfico atraviesa las conexiones de interconexión de Transit Gateway:
+ Cada pasarela de tránsito aplica su propia política de medición de forma independiente.
+ Cada pasarela de tránsito asigna los cargos por datos por separado en función de su política local.
+ El tráfico se puede considerar como dos flujos separados: el enlace de origen al enlace de interconexión y el enlace de interconexión al destino.
#### Integración de WAN en la nube
Cuando una puerta de enlace de tránsito está conectada a una red principal de Cloud WAN:
+ Los cargos de transferencia de datos de las pasarelas de tránsito en las conexiones entre pares se asignan de acuerdo con la política de medición de las pasarelas de tránsito.
+ Las políticas de medición no son compatibles con las redes principales de Cloud WAN.
#### Impacto en el rendimiento
+ Las políticas de medición no introducen ninguna latencia adicional en las rutas de datos.
+ Las políticas de medición no afectan al ancho de banda máximo por archivo adjunto.
+ No hay cambios en las capacidades de intercambio de recursos de Transit Gateway.
#### Integración de facturación
+ Las etiquetas de asignación de costos siguen funcionando con las políticas de medición para organizar los costos por unidad de negocio.
+ Las políticas de medición definen qué cuentas incurren en costos, mientras que las etiquetas de asignación de costos ayudan a categorizar esos costos.
+ Los cambios en las políticas de medición entran en vigor al final de la siguiente hora de facturación.
#### IPv6 soporte
Se admiten políticas de medición tanto para el tráfico como para IPv4 el IPv6 tráfico. La coincidencia de bloques CIDR en las entradas de políticas funciona con ambas familias de direcciones.
#### Soporte para archivos adjuntos de Middlebox
+ La política de medición de Middlebox asume que el tráfico entre el archivo adjunto de origen y el de destino se controla mediante el archivo adjunto especificado en el medio (por ejemplo, una inspección de tráfico de este a oeste). VPC-to-VPC Por lo tanto, las cinco tuplas de la red (source/destination IPs, source/destinationpuertos y protocolo) para los flujos que entran y salen de los archivos adjuntos del cuadro central deben coincidir. Los flujos con 5 tuplas que no coinciden en los archivos adjuntos del cuadro central (por ejemplo, la transformación de NAT en la VPC de inspección) se tratan como flujos de archivos adjuntos de origen y destino normales (a diferencia de los flujos de archivos adjuntos del cuadro central).
+ Todos los flujos de solo salida del adjunto de la caja intermedia (por ejemplo, el tráfico norte-sur a Internet a través de la IGW en una VPC de inspección) se tratan como flujos de origen y destino normales (a diferencia de los flujos de adjuntos de la caja intermedia).
+ En el caso de los archivos adjuntos a las funciones de red, cuando el firewall AWS de red descarta paquetes, todo el uso de procesamiento de datos se carga a la cuenta del remitente, independientemente de la configuración de la política de medición.
# Cree una política de medición de AWS Transit Gateway
Para habilitar las políticas de medición, debe crear una política de medición para su pasarela de transporte y configurar las entradas de política que definan cómo se asigna el uso de los contadores. La política de medición establece el marco y la configuración predeterminada, mientras que las entradas de la política contienen las reglas específicas que determinan qué cuentas se miden en función de las características del tráfico.
Las entradas de la política de contadores funcionan como reglas ordenadas que se aplican secuencialmente desde el número de reglas más bajo al más alto para el tráfico que circula por su pasarela de transporte. Cada entrada define los criterios de coincidencia, como los tipos de adjuntos de origen y destino, los bloques de CIDR, los protocolos y los rangos de puertos, además de la cuenta que debe medirse para determinar el tráfico coincidente. Cuando un flujo de tráfico coincide con varias entradas, prevalece la entrada con el número de regla más bajo. Si ninguna entrada coincide con un flujo concreto, se cobrará a la cuenta contabilizada predeterminada especificada en la política.
Tras crear una política, tendrá que añadir entradas de política para implementar la lógica de asignación de costes. Para conocer los pasos para crear una entrada de política de medición, consulte[Cree una entrada de política de medición](create-metering-policy-entry.md).
## Cree una política de medición mediante la consola
Cree una política para definir reglas flexibles de asignación de costos para el uso de datos de las pasarelas de tránsito. De forma predeterminada, todos los flujos se miden en función del propietario del archivo adjunto de origen. Cree entradas para facturar flujos de red específicos a diferentes cuentas.
**Para crear una política de medición**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija Políticas de **medición.**
1. Seleccione **Crear política de medición.**
1. En el **campo ID de la pasarela** de transporte, elige la pasarela de transporte para la que quieres crear la política de medición.
1. (Opcional) Para el **accesorio Middlebox IDs**, elige uno o más accesorios Middlebox. De forma predeterminada, el uso de datos se mide en función del propietario del middlebox. La compatibilidad con los archivos adjuntos de Middlebox permite aplicar una política de medición al tráfico que atraviesa los archivos adjuntos de Middlebox. Se pueden añadir archivos adjuntos adicionales más adelante.
1. (Opcional) En la sección **Etiquetas**, añada etiquetas para ayudarle a identificar y organizar su política de medición:
1. Elija **Añadir nueva etiqueta**.
1. Introduzca una **clave** de etiqueta y, si lo desea, un **valor** de etiqueta.
1. Seleccione **Agregar nueva etiqueta** para agregar etiquetas adicionales o avance al siguiente paso. Puede añadir hasta 50 etiquetas.
1. Selecciona **Crear una política de medición de Transit Gateway**.
**nota**
La cuenta de medición predeterminada es la propietaria del archivo adjunto de origen y, tras crear una política de medición, puede añadir entradas que definan qué cuenta se cobrará en función de las propiedades del flujo de tráfico, teniendo en cuenta que la entrada de política predeterminada (que es la última entrada) no se puede modificar ni eliminar como otras entradas de política.
## Cree una política de medición mediante el AWS CLI
Una política de medición define el comportamiento de asignación de costes y la configuración global predeterminados de tu pasarela de transporte público. [Usa la políticacreate-transit-gateway-metering.](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-transit-gateway-metering-policy.html)
Parámetros requeridos:
+ `--transit-gateway-id`- El ID de la pasarela de tránsito para la que se va a crear la política
Parámetros opcionales:
+ `--middle-box-attachment-ids`- Se admiten los identificadores adjuntos de la pasarela de tránsito para añadirlos a la política como servidor intermedio
+ `--tag-specifications`- etiquetas para la política de medición
**Para crear una política de medición utilizando el AWS CLI**
1. Ejecute el **create-transit-gateway-metering-policy** comando para crear una nueva política de medición con adjuntos opcionales en el cuadro intermedio.
```
aws ec2 create-transit-gateway-metering-policy \
--transit-gateway-id tgw-07a5946195a67dc47 \
--middle-box-attachment-ids \
tgw-attach-0123456789abcdef0 \
tgw-attach-0abc123def456789a \
--tag-specifications \
'[{ "ResourceType": "transit-gateway-metering-policy", \
"Tags": [ { "Key": "Env", "Value": "Prod" } ] }]'
```
Este comando crea una política de medición para la pasarela de tránsito especificada con las etiquetas y los archivos adjuntos incluidos en el cuadro intermedio.
1. El comando devuelve el siguiente resultado cuando la política se ha creado correctamente:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0abc123def456789a"],
"State": "pending",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z",
"Tags": [{"Key": "Env","Value": "Prod"}]
}
}
```
Anote el ID de la política de medición devuelto en la respuesta para usarlo en comandos posteriores. **describe-transit-gateway-metering-policies**El comando se puede utilizar para obtener la política de medición asociada a la pasarela de tránsito.
# Gestione las AWS políticas de medición de Transit Gateway
Después de crear una política de medición, puede administrarla consultando la configuración actual, modificando las opciones de configuración o eliminando la política cuando ya no sea necesaria. Las operaciones de administración le permiten añadir o eliminar adjuntos intermedios a medida que cambien los requisitos de la red. Solo puede crear o eliminar una entrada de política. Si necesita modificar una regla existente, puede eliminar la entrada y crear una nueva con la configuración modificada. Todas las operaciones de administración requieren los permisos del propietario de la pasarela de tránsito y entran en vigor después de dos horas de facturación.
La administración eficaz de las políticas de medición es crucial para mantener una asignación de costos precisa a medida que la arquitectura de la red evoluciona. A menudo, las organizaciones necesitan ajustar sus políticas cuando las unidades de negocio cambian, se implementan nuevas aplicaciones o se modifican las topologías de red. Por ejemplo, es posible que la configuración de compatibilidad con la medición intermedia requiera actualizaciones cuando cambien las arquitecturas de seguridad de los firewalls o cuando se introduzcan nuevos servicios de inspección en la ruta de tráfico.
Las modificaciones de las políticas son compatibles con varios escenarios operativos, como los cambios estacionales en los patrones de tráfico, las actividades de fusiones y adquisiciones y las actualizaciones de los requisitos de conformidad. Al gestionar las políticas, tenga en cuenta el impacto en los acuerdos de facturación existentes y comunique los cambios a las partes interesadas afectadas antes de su implementación.
Las revisiones periódicas de las políticas ayudan a garantizar que la asignación de costos se mantenga alineada con los objetivos empresariales y las estructuras organizativas. Las mejores prácticas incluyen documentar los cambios en las políticas, probar las modificaciones en entornos no productivos siempre que sea posible y coordinarse con los equipos financieros para comprender las implicaciones de la facturación. Además, tenga en cuenta el calendario de los cambios en las políticas para minimizar las interrupciones en los ciclos de facturación mensuales y los procesos de presentación de informes financieros.
**Topics**
+ [Edita una política de contadores](metering-policy-edit.md)
+ [Eliminar una política de contadores](metering-policy-delete.md)
# Editar una política de medición de AWS Transit Gateway
Edite las políticas de medición existentes para modificar las configuraciones de los accesorios de la cámara intermedia. Las modificaciones de la política entrarán en vigor a la siguiente hora de facturación y se aplicarán a todos los flujos de tráfico futuros a través de tu pasarela de transporte público.
## Edita una política de medición mediante la consola
Usa la consola para modificar la configuración de la política de medición existente en tu pasarela de transporte público.
**Para editar una política de medición existente mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija Políticas de **medición.**
1. Seleccione la política de medición que desee modificar eligiendo su ID de política
1. Modifique la configuración de política disponible en **Acciones**. La consola solo permite añadir y eliminar archivos adjuntos del cuadro central.
1. **Adjuntos de tipo middlebox**: añada o elimine los archivos adjuntos de Transit Gateway, que deberían considerarse cajas intermedias para la facturación especializada.
## Edite una política de medición mediante el AWS CLI
Utilice el **modify-transit-gateway-metering-policy** comando para ver y modificar las políticas de medición.
Parámetros necesarios para modificar las operaciones:
+ `--transit-gateway-metering-policy-id`- El ID de la política de medición que se va a modificar
+ `--add-middle-box-attachment-ids`o `--remove-middle-box-attachment-ids` - Se admiten los identificadores adjuntos de las pasarelas de tránsito para añadirlos o eliminarlos de la política como intermediario
**Para ver y editar las políticas de medición mediante la CLI AWS**
1. (Opcional) Vea las políticas de medición existentes mediante el **describe-transit-gateway-metering-policies** comando para ver los ajustes de configuración actuales:
```
aws ec2 describe-transit-gateway-metering-policies
```
Este comando devuelve todas las políticas de medición de su cuenta, muestra su estado actual y los archivos adjuntos están habilitados como intermediario para cada una de las políticas de medición.
1. Modifique una política de medición mediante el **modify-transit-gateway-metering-policy** comando para actualizar las opciones de configuración:
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
--add-middle-box-attachment-ids tgw-attach-0123456789abcdef1 \
--remove-middle-box-attachment-ids tgw-attach-0abc123def456789a
```
Este comando modifica una política de medición añadiendo y and/or eliminando los adjuntos del cuadro intermedio.
1. El comando devuelve el siguiente resultado cuando la política se modifica correctamente:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0123456789abcdef1"],
"State": "modifying",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
}
}
```
Los cambios pueden tardar hasta dos horas de facturación en surtir efecto.
# Eliminar una política de medición de AWS Transit Gateway
Elimine las políticas de medición cuando ya no sean necesarias para su estrategia de asignación de costos de Transit Gateway. Al eliminar una política, se restablece la asignación de costos al modelo predeterminado basado en el remitente, en el que los cargos por procesamiento y transferencia de datos se asignan a la cuenta propietaria del archivo adjunto de origen. También se eliminan todas las entradas de política asociadas a la política de medición eliminada.
## Elimine una política de medición mediante la consola
Utilice la consola para eliminar las políticas de medición que ya no sean necesarias.
**Para eliminar una política de medición mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija Políticas de **medición.**
1. Seleccione la política que desee eliminar eligiendo su ID de política.
1. Elija **Actions** (Acciones) y, a continuación, elija **Delete** (Eliminar).
1. Confirme la eliminación escribiendo **delete** en el cuadro de diálogo de confirmación.
1. Elija **Eliminar**.
**importante**
La eliminación de una política de medición es irreversible. Todas las entradas de la política y los ajustes de configuración se eliminarán permanentemente y la asignación de costes volverá al modelo predeterminado basado en el remitente.
## Elimine una política de medición mediante el AWS CLI
Utilice el **delete-transit-gateway-metering-policy** comando para eliminar las políticas de medición mediante programación.
Requisitos:
+ Permisos de propietario de la pasarela de tránsito
Parámetros requeridos:
+ `--transit-gateway-metering-policy-id`- El ID de la política de medición que se va a eliminar
**Para ver y eliminar las políticas de medición mediante la CLI AWS**
1. (Opcional) Vea las políticas de medición existentes mediante el **describe-transit-gateway-metering-policies** comando para ver los ajustes de configuración actuales:
```
aws ec2 describe-transit-gateway-metering-policies
```
Este comando devuelve todas las políticas de medición de su cuenta y muestra su estado y configuración actuales.
1. Elimine una política de medición mediante el **delete-transit-gateway-metering-policy** comando para eliminarla permanentemente:
```
aws ec2 delete-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7
```
Este comando elimina permanentemente la política de medición especificada y todas las entradas asociadas. La asignación de costos volverá al modelo predeterminado basado en el remitente para todos los flujos de tráfico futuros. Este cambio también tarda 2 horas en aplicarse a la facturación.
1. El comando devuelve el siguiente resultado cuando la política se elimina correctamente:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0123456789abcdef1"],
"State": "deleting",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
}
}
```
La respuesta confirma que la política se está eliminando con un `deleting` estado mientras la eliminación se procesa en la infraestructura de Transit Gateway.
# Crear una entrada en la política de medición de AWS Transit Gateway
De forma predeterminada, todos los flujos se miden en función del propietario del archivo adjunto de origen. Para medir flujos específicos a diferentes cuentas, cree entradas de política individuales que definan a qué cuenta se le cobrará en función de las propiedades del flujo de tráfico.
Las entradas de las políticas de medición funcionan como reglas condicionales que se evalúan en orden secuencial en función de sus números de regla cuando el tráfico pasa por la pasarela de transporte público. Cada entrada actúa como una afirmación «si, entonces»: si el tráfico coincide con los criterios especificados (como el tipo de archivo adjunto de origen, el bloque CIDR de destino o el protocolo), cargue el importe a la cuenta designada. El sistema evalúa las entradas desde el número de regla más bajo hasta el más alto, y la primera entrada coincidente determina la cuenta de facturación de ese flujo de tráfico.
Las entradas admiten una amplia gama de criterios de coincidencia, incluidos los tipos de adjuntos (VPC, VPN, Direct Connect Gateway), los adjuntos IDs específicos, los bloques CIDR de origen y destino, los tipos de protocolos y los rangos de puertos. Puede combinar varios criterios en una sola entrada para crear reglas de segmentación precisas. Por ejemplo, puedes crear una entrada que coincida con todo el tráfico HTTPS (puerto 443) de los archivos adjuntos de la VPC a un rango de CIDR de destino específico y que cargue esos flujos a la cuenta de un equipo de seguridad. Si ninguna entrada coincide con un flujo de tráfico concreto, se cobrará a la cuenta de contador predeterminada especificada en la política de medición principal, para garantizar que todo el tráfico se facture correctamente. La creación de una entrada tarda 2 horas en surtir efecto.
**importante**
Planifique los números de las reglas con cuidado: deje espacios vacíos (por ejemplo, 10, 20, 30) para permitir inserciones futuras
Pruebe primero las entradas con condiciones menos específicas antes de añadir reglas más restrictivas
Utilice condiciones de coincidencia específicas para evitar la facturación no intencionada
## Cree una entrada de política de medición mediante la consola
Una política de medición define el comportamiento de asignación de costes y la configuración global predeterminados de tu pasarela de transporte público.
**Para crear una entrada de política de medición mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija Políticas de **medición.**
1. Seleccione el enlace del identificador de la política de medición para ver sus detalles.
1. Seleccione la pestaña de **entradas de la política de medición**.
1. Seleccione **Crear entrada de política de medición**.
1. **Número de regla de política**: debe ser un número único (1- 32.766) que determine el orden de evaluación. Los números más bajos tienen mayor prioridad.
1. **Cuenta con taxímetro**: elige uno de los siguientes tipos de cuentas para que se te cobre por los flujos de tráfico coincidentes:
1. **Fuente: propietario del archivo adjunto**
1. **Propietario del archivo adjunto de destino**
1. **Propietario del archivo adjunto de Transit Gateway**
1. (Opcional) Elija **las condiciones de la regla**: estas condiciones opcionales definen los criterios que se ajustan al tráfico específico:
+ **ID o tipo de archivo adjunto de origen**: filtre por tipo de archivo adjunto (VPC, VPN, Direct Connect Gateway, peering) o ID.
+ **Tipo o ID de archivo adjunto de destino: filtre por tipo o ID** de archivo adjunto de destino
+ **Bloqueo CIDR de origen**: haga coincidir el tráfico de rangos de IP específicos
+ **Bloque CIDR de destino**: relaciona el tráfico con rangos de IP específicos
+ **Rango de puertos de origen**: coincide con puertos de origen específicos
+ **Rango de puertos de destino**: coincide con puertos de destino específicos
+ **Protocolo**: filtra por protocolo para la regla (1, 6, 17, etc.)
1. Seleccione **Crear entrada de política de medición** para guardar la configuración.
## Cree una entrada de política de medición mediante el AWS CLI
Las entradas de políticas definen reglas específicas para la asignación de costos en función de las características del tráfico. Las reglas se evalúan en orden del número de regla más bajo al más alto.
Parámetros requeridos:
+ `--transit-gateway-metering-policy-id`- El ID de la política de medición a la que se va a añadir la entrada
+ `--policy-rule-number`- Un número único (del 1 al 32 766) que determina el orden de evaluación
+ `--metered-account`- tipo de jugador (//) source-attachment-owner destination-attachment-owner transit-gateway-owner
Parámetros opcionales:
Estos parámetros opcionales que definen los criterios para que coincidan con un tráfico específico:
+ `--source-transit-gateway-attachment-id`- El ID del adjunto de la pasarela de tránsito de origen.
+ `--source-transit-gateway-attachment-type`- El tipo de archivo adjunto a la pasarela de tránsito de origen.
+ `--source-cidr-block`- El bloque CIDR de origen de la regla.
+ `--source-port-range`- El rango de puertos de origen de la regla.
+ `--destination-transit-gateway-attachment-id`- El ID del adjunto a la pasarela de tránsito de destino.
+ `--destination-transit-gateway-attachment-type`- El tipo de adjunto a la pasarela de tránsito de destino.
+ `--destination-cidr-block`- El bloque CIDR de destino de la regla.
+ `--destination-port-range`- El rango de puertos de destino de la regla.
+ `--protocol`- El número de protocolo de la regla
**Para crear una entrada de política de medición mediante el AWS CLI**
1. Usa el **create-transit-gateway-metering-policy-entry** comando para crear una nueva entrada de política que enrute el tráfico de VPC a una cuenta medida específica:
```
aws ec2 create-transit-gateway-metering-policy-entry \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
--policy-rule-number 100 \
--destination-transit-gateway-attachment-type vpc \
--metered-account destination-attachment-owner
```
Este comando crea una entrada de política con la regla número 100 que coincide con el tráfico destinado a los adjuntos de VPC y cobra al propietario del adjunto de destino por esos flujos.
1. El comando devuelve el siguiente resultado cuando la entrada se crea correctamente:
```
{
"TransitGatewayMeteringPolicyEntry": {
"MeteredAccount": "destination-attachment-owner",
"MeteringPolicyRule": {
"DestinationTransitGatewayAttachmentType": "vpc"
},
"PolicyRuleNumber": 100,
"State": "available",
"UpdateEffectiveAt": "2025-11-06T02:00:00.000Z"
}
}
```
La respuesta confirma que la entrada se creó con un estado «disponible» mientras se activaba en la infraestructura de Transit Gateway.
# Eliminar una entrada de la política de medición de AWS Transit Gateway
Elimine las entradas de la política de medición cuando ya no se requieran reglas específicas de asignación de costos para los flujos de tráfico de su red. La eliminación de entradas ayuda a simplificar la administración de políticas al eliminar las reglas obsoletas o innecesarias y, al mismo tiempo, mantener la estructura general de las políticas. Al eliminar una entrada, el tráfico que anteriormente coincidía con la regla eliminada se evaluará comparándolo con las entradas restantes en orden numérico de regla, o volverá al comportamiento predeterminado de la política si ninguna otra entrada coincide.
Antes de eliminar las entradas, tenga en cuenta el impacto en los acuerdos de facturación y los flujos de tráfico actuales. Una vez eliminado, el cambio tarda hasta 2 horas en hacerse efectivo y no se puede deshacer, así que coordine los cambios con los propietarios de las cuentas y los equipos financieros afectados. Revisa las entradas restantes para asegurarte de que la cobertura del tráfico y la asignación de la facturación sean adecuadas tras la eliminación. El orden de evaluación de las reglas para las entradas restantes permanece sin cambios, lo que permite mantener un comportamiento predecible de asignación de costos para los flujos de tráfico continuos.
**importante**
La eliminación es irreversible
El tráfico que anteriormente coincidiera con esta entrada se volverá a evaluar comparándolo con las entradas restantes
Revise las entradas restantes para garantizar una cobertura de tráfico adecuada
## Elimine una entrada de la política de medición mediante la consola
Utilice la consola para eliminar entradas de políticas a través de una interfaz intuitiva que proporciona cuadros de diálogo de confirmación para evitar eliminaciones accidentales.
**Para eliminar una entrada de política mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Políticas de medición**.
1. Seleccione la política de medición que contiene la entrada que desea eliminar.
1. Seleccione la entrada que desee eliminar y elija **Eliminar**.
1. En el cuadro de diálogo de confirmación, revise los detalles de la entrada y escriba **delete** para confirmar la eliminación.
1. Seleccione **Eliminar** para eliminar permanentemente la entrada.
## Elimine una entrada de política de medición mediante el AWS CLI
Utilice el **delete-transit-gateway-metering-policy-entry** comando para eliminar las entradas de la política mediante programación.
Requisitos:
+ Permisos de propietario de Transit Gateway
+ ID de política de medición válido y número de regla de entrada
Parámetros requeridos:
+ `--transit-gateway-metering-policy-id`- El ID de la política de medición
+ `--policy-rule-number`- El número de regla de la entrada que se va a eliminar
**Para ver y eliminar entradas de políticas mediante la AWS CLI**
1. (Opcional) Vea las entradas de políticas existentes mediante el **get-transit-gateway-metering-policy-entries** comando para ver los ajustes de configuración actuales:
```
aws ec2 get-transit-gateway-metering-policy-entries \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg
```
Este comando devuelve todas las entradas de la política especificada y muestra los números de regla, los criterios coincidentes y las cuentas contabilizadas.
1. Elimine una entrada de política mediante el **delete-transit-gateway-metering-policy-entry** comando para eliminarla permanentemente:
```
aws ec2 delete-transit-gateway-metering-policy-entry \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--policy-rule-number 100
```
Este comando elimina permanentemente la entrada especificada de la política. El tráfico que anteriormente coincidía con esta entrada se reevaluará inmediatamente comparándolo con las entradas restantes o volverá al comportamiento predeterminado de la política.
1. El comando devuelve el siguiente resultado cuando la entrada se elimina correctamente:
```
{
"TransitGatewayMeteringPolicyEntry": [
{
"PolicyRuleNumber": 100,
"MeteredAccount": "destination-attachment-owner",
"UpdateEffectiveAt": "2024-01-01T01:00:00+00:00",
"state": "deleted",
"MeteringPolicyRule": {
"DestinationTransitGatewayAttachmentType": "vpc"
}
}
}
```
La respuesta confirma que la entrada se está eliminando con el estado «eliminada» mientras la eliminación se procesa en la infraestructura de Transit Gateway.
# Administre los AWS archivos adjuntos de middlebox de la política de medición de Transit Gateway
Las políticas de medición de Transit Gateway son compatibles con los archivos adjuntos de Middlebox, lo que le permite asignar de manera flexible los cargos de procesamiento de datos al tráfico de red enrutado a través de dispositivos Middlebox, como firewalls de red y balanceadores de carga. Algunos ejemplos de adjuntos de middlebox son los adjuntos de función de red a AWS Network Firewall o los adjuntos de VPC que redirigen el tráfico a dispositivos de seguridad de terceros en una VPC. El tráfico entre los adjuntos de las pasarelas de tránsito de origen y destino pasa por estos adjuntos intermedios para los casos de uso típicos de las inspecciones de seguridad. Puede definir políticas de medición para asignar de manera flexible el uso del procesamiento de datos en los archivos adjuntos intermedios al archivo adjunto de origen, al archivo adjunto de destino final o al propietario de la cuenta de Transit Gateway. En el caso de los archivos adjuntos de AWS Network Function, los gastos de procesamiento de datos del Network Firewall también se asignan a la cuenta de pago.
Adjuntos de pasarela de tránsito designados que enrutan el tráfico a través de los dispositivos de red para la inspección de seguridad, el equilibrio de carga u otras funciones de la red. El uso de datos del tráfico que atraviesa los archivos adjuntos de la cámara intermedia se mide en función del propietario de la cuenta especificado en la política de medición. Puede especificar un máximo de 10 archivos adjuntos en el cuadro intermedio. Los tipos de adjuntos de middlebox admitidos son los adjuntos de función de AWS red (Network Firewall), VPC y VPN.
**Topics**
+ [Añada archivos adjuntos tipo middlebox](create-middlebox-attachment.md)
+ [Elimine los archivos adjuntos de la caja intermedia](edit-middlebox-attachment.md)
# Agregue archivos adjuntos en el cuadro intermedio de la política de medición de AWS Transit Gateway
Puede añadir accesorios middlebox para integrar los dispositivos de red en su política de medición de Transit Gateway. Esto te permite enrutar tráfico específico a través de dispositivos de seguridad, balanceadores de carga u otras funciones de la red y, al mismo tiempo, mantener un control detallado de la asignación de costos.
**importante**
Asegúrese de que los dispositivos middlebox estén correctamente configurados y sean accesibles
Pruebe el enrutamiento del tráfico antes de aplicarlo a las cargas de trabajo de producción
Supervise el rendimiento de la cámara intermedia para evitar introducir latencia
Configure el comportamiento de conmutación por error adecuado para una alta disponibilidad
## Añada los accesorios de middlebox mediante la consola
**Para añadir una entrada de archivos adjuntos de middlebox**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija Políticas de **medición.**
1. Seleccione el enlace del identificador de la política de medición para ver sus detalles.
1. Seleccione la pestaña de **adjuntos de Middlebox**.
1. Elija **Agregar**.
1. Cuando se le solicite, seleccione el adjunto de la caja intermedia IDs que debe tratarse como una caja intermedia para la facturación especializada. Puede seleccionar hasta 10 archivos adjuntos de tipo middlebox.
1. Seleccione **Añadir archivos adjuntos en el cuadro intermedio** para guardar la configuración.
## Añada los adjuntos de middlebox mediante el AWS CLI
Utilice el **modify-transit-gateway-metering-policy** comando para añadir archivos adjuntos.
Antes de empezar, asegúrese de tener los siguientes parámetros obligatorios:
+ `--transit-gateway-metering-policy-id`- El identificador de la política de medición existente
+ `--add-middle-box-attachment-ids`- Uno o más archivos adjuntos IDs para añadir a la política (para añadir archivos adjuntos)
**Para agregar adjuntos de middlebox a una política existente mediante la CLI AWS**
1. En el siguiente ejemplo, **modify-transit-gateway-metering-policy** se usa para agregar cuatro adjuntos intermedios a una política de medición existente. El comando añade el adjunto especificado IDs a la lista existente sin eliminar los adjuntos actuales:
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--add-middle-box-attachment-ids tgw-attach-0bdc681c211bf71f3 tgw-attach-0987654321fedcba0 tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
```
1. En el siguiente ejemplo de respuesta, el resultado de JSON muestra la configuración de política actualizada con los cuatro archivos adjuntos del cuadro intermedio ahora incluidos:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
"TransitGatewayId": "tgw-0ecec6433f4bfe55a",
"MiddleBoxAttachmentIds": [
"tgw-attach-0bdc681c211bf71f3",
"tgw-attach-0987654321fedcba0",
"tgw-attach-0456789012345abcd",
"tgw-attach-0fedcba0987654321"
],
"State": "available",
"UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
}
}
```
# Elimine los AWS archivos adjuntos del cuadro intermedio de la política de medición de Transit Gateway
De forma predeterminada, los costos de medición se atribuyen al propietario del accesorio de la caja intermedia. Sin embargo, puede modificar estas asignaciones para garantizar que los costos se asignen correctamente al origen o destino real del tráfico. Puede añadir o eliminar hasta un total de 10 adjuntos intermedios para una política de medición.
## Quite los accesorios de la caja intermedia con la consola
Utilice la consola de Amazon VPC para eliminar los adjuntos de middlebox de la configuración de su política de medición.
**Para eliminar los archivos adjuntos de la caja intermedia**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, selecciona **Transit Gateways**, **Metering** policies.
1. Seleccione la política de medición que desee modificar.
1. Seleccione la pestaña de **adjuntos de Middlebox**.
1. Seleccione un máximo de 10 adjuntos de tipo middlebox para eliminarlos de la política de medición.
1. Elija **Eliminar **.
1. Cuando se le solicite, puede actualizar los archivos adjuntos del cuadro intermedio que haya elegido para eliminarlos. El tráfico que pase por los archivos adjuntos retirados se medirá al propietario del adjunto de la caja intermedia.
1. Selecciona **Eliminar los archivos adjuntos de la caja intermedia**.
## Quite los accesorios de la caja intermedia utilizando el AWS CLI
Utilice el **modify-transit-gateway-metering-policy** comando para eliminar los archivos adjuntos.
Antes de empezar, asegúrese de que dispone de los siguientes parámetros obligatorios:
+ `--transit-gateway-metering-policy-id`- El identificador de la política de medición existente
+ `--remove-middle-box-attachment-ids`- Uno o más archivos adjuntos IDs para eliminarlos de la política (para eliminar archivos adjuntos)
**Para eliminar los adjuntos de middlebox de una política existente mediante la CLI AWS**
1. En el siguiente ejemplo, **modify-transit-gateway-metering-policy** se utiliza para eliminar dos adjuntos específicos de una política de medición existente. El comando elimina solo el adjunto especificado y IDs conserva los adjuntos restantes:
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--remove-middle-box-attachment-ids tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
```
1. En el siguiente ejemplo de respuesta, el resultado de JSON muestra la configuración de política actualizada con los adjuntos especificados eliminados y los adjuntos restantes aún activos:
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
"TransitGatewayId": "tgw-0ecec6433f4bfe55a",
"MiddleBoxAttachmentIds": [
"tgw-attach-0bdc681c211bf71f3",
"tgw-attach-0987654321fedcba0"
],
"State": "available",
"UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
}
}
```
**Topics**
+ [Políticas de medición](#metering-policies-main)
+ [Crea una política de medición](metering-policy-create-policy.md)
+ [Administre las políticas de medición](metering-policy-manage-policy.md)
+ [Cree una entrada de política de medición](create-metering-policy-entry.md)
+ [Eliminar una entrada de política de medición](metering-policy-entry-delete.md)
+ [Administre los archivos adjuntos de la caja intermedia de la política de medición](metering-policy-middlebox.md)