Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cómo AWS Site-to-Site VPN funciona
<a name="how_it_works"></a>

Una conexión Site-to-Site VPN consta de los siguientes componentes:
+ Una [puerta de enlace privada virtual](#VPNGateway) o una [puerta de enlace de tránsito](#Transit-Gateway)
+ Un [dispositivo de puerta de enlace de cliente](#CustomerGatewayDevice)
+ Una [puerta de enlace de cliente](#CustomerGateway)

La conexión VPN ofrece dos túneles VPN entre una puerta de enlace privada virtual o una puerta de enlace de tránsito, por un AWS lado, y una puerta de enlace de cliente, por el lado local.

Para obtener más información sobre las cuotas de Site-to-Site VPN, consulte[AWS Site-to-Site VPN cuotas](vpn-limits.md).

## Gateway privada virtual
<a name="VPNGateway"></a>

Una *puerta de enlace privada virtual* es el concentrador de Site-to-Site VPN en el lado Amazon de la conexión Site-to-Site VPN. Cree una puerta de enlace privada virtual y la conecte a una nube privada virtual (VPC) con recursos que deben acceder a la Site-to-Site conexión VPN.

El siguiente diagrama muestra una conexión de VPN entre una VPC y la red en las instalaciones mediante una puerta de enlace privada virtual.

![\[Una VPC con una puerta de enlace privada virtual asociada y una conexión a su red en las instalaciones.\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)


Al crear una gateway privada virtual, puede especificar el número de sistema autónomo (ASN) privado en el lado de Amazon de la gateway. Si no especifica un ASN, la gateway privada virtual se crea con el ASN predeterminado (64 512). No se puede cambiar el ASN una vez que ha creado la gateway privada virtual. Para comprobar el ASN de su puerta de enlace privada virtual, consulte sus detalles en la página de **pasarelas privadas virtuales** de la consola de Amazon VPC o utilice el comando. [describe-vpn-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-gateways.html) AWS CLI 

**nota**  
Las pasarelas privadas virtuales no admiten IPv6 conexiones VPN. Site-to-Site Si necesitas IPv6 asistencia, usa una pasarela de tránsito o una WAN en la nube para tu conexión VPN.

## Puerta de enlace de tránsito
<a name="Transit-Gateway"></a>

Una puerta de enlace de tránsito es un centro de tránsito que puedes usar para interconectar tus VPCs redes con las locales. Para obtener más información, consulte [Gateways de tránsito de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/tgw/). Puedes crear una conexión Site-to-Site VPN como un archivo adjunto en una pasarela de tránsito.

El siguiente diagrama muestra una conexión VPN entre varias redes VPCs y la local mediante una puerta de enlace de tránsito. La puerta de enlace de tránsito tiene tres conexiones de VPC y una conexión de VPN.

![\[Una puerta de enlace de tránsito con tres conexiones de VPC y una conexión de VPN.\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)


La conexión Site-to-Site VPN en una puerta de enlace de tránsito puede soportar IPv4 el IPv6 tráfico dentro de los túneles VPN (direcciones IP internas). Además, las pasarelas de tránsito admiten IPv6 direcciones para las direcciones IP del túnel exterior. Para obtener más información, consulte [Tráfico de IPv4 e IPv6 en AWS Site-to-Site VPN](ipv4-ipv6.md).

Puede modificar la puerta de enlace de destino de una conexión Site-to-Site VPN de una puerta de enlace privada virtual a una puerta de enlace de tránsito. Para obtener más información, consulte [Modificar la puerta de enlace de destino de una AWS Site-to-Site VPN conexión](modify-vpn-target.md).

## Dispositivo de gateway de cliente
<a name="CustomerGatewayDevice"></a>

Un *dispositivo de puerta de enlace para clientes* es un dispositivo físico o una aplicación de software que se encuentra en su lado de la conexión Site-to-Site VPN. Usted configura el dispositivo para que funcione con la conexión Site-to-Site VPN. Para obtener más información, consulte [AWS Site-to-Site VPN dispositivos de puerta de enlace para clientes](your-cgw.md).

De forma predeterminada, el dispositivo de puerta de enlace del cliente debe abrir los túneles de su conexión Site-to-Site VPN generando tráfico e iniciando el proceso de negociación del intercambio de claves de Internet (IKE). Puede configurar su conexión Site-to-Site VPN para especificar que, en su lugar, AWS debe iniciar el proceso de negociación del IKE. Para obtener más información, consulte [AWS Site-to-Site VPN opciones de inicio de túnel](initiate-vpn-tunnels.md).

Si utiliza direcciones IP IPv6 para el túnel exterior, el dispositivo de puerta de enlace del cliente debe admitir el IPv6 direccionamiento y poder establecer IPsec túneles con IPv6 puntos finales.

## Puerta de enlace de cliente
<a name="CustomerGateway"></a>

Una *gateway del cliente* es un recurso que se crea en AWS y que representa el dispositivo de la gateway del cliente en la red local. Cuando crea una pasarela para clientes, proporciona información sobre su dispositivo a AWS. Para obtener más información, consulte [Opciones de gateway de cliente para su conexión de AWS Site-to-Site VPN](cgw-options.md).

![\[Una puerta de enlace de cliente y un dispositivo de puerta de enlace de cliente.\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/vpn-how-it-works-cgw.png)


Para usar Amazon VPC con una conexión Site-to-Site VPN, usted o su administrador de red también deben configurar el dispositivo o la aplicación de puerta de enlace del cliente en su red remota. Cuando crea la conexión Site-to-Site VPN, le proporcionamos la información de configuración necesaria y, por lo general, el administrador de red realiza esta configuración. Para obtener información sobre los requisitos y la configuración de la gateway de cliente, consulte [AWS Site-to-Site VPN dispositivos de puerta de enlace para clientes](your-cgw.md).

### IPv6 puerta de enlace para clientes
<a name="ipv6-customer-gateway"></a>

Al crear una pasarela de clientes para usarla con el túnel IPv6 exterior IPs, debe especificar una IPv6 dirección en lugar de una IPv4 dirección. Puede crear una pasarela de IPv6 cliente mediante la consola AWS de administración o la AWS CLI.

Para crear una pasarela de IPv6 clientes mediante la AWS CLI, utilice el siguiente comando:

```
aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```

La IPv6 dirección debe ser una IPv6 dirección válida y enrutable por Internet para su dispositivo de pasarela de clientes.

## IPv6 Conexiones VPN
<a name="ipv6-vpn-connections"></a>

Site-to-Site Las conexiones VPN VPN admiten las siguientes IPv6 configuraciones:
+ *IPv4 túnel exterior con paquetes IPv4 internos*: la capacidad IPv4 VPN básica compatible con Virtual Private Gateway (VGW), Transit Gateway (TGW) y Cloud WAN.
+ *IPv4 túnel exterior con paquetes IPv6 internos*: permite el IPv6 transporte y las aplicaciones dentro del túnel VPN. Compatible con TGW y WAN en la nube (no compatible con VGW).
+ *IPv6 túnel exterior con paquetes IPv6 internos*: permite una IPv6 migración completa con IPv6 direcciones tanto para el túnel IPs exterior como para el paquete interno. IPs Compatible con TGW y WAN en la nube.
+ *IPv6 túnel exterior con paquetes IPv4 internos*: permite el direccionamiento del túnel IPv6 exterior y, al mismo tiempo, admite IPv4 las aplicaciones antiguas dentro del túnel. Compatible con TGW y WAN en la nube.

Para crear una conexión VPN con el túnel IPv6 exterior IPs, debe `OutsideIPAddressType=Ipv6` especificarlo al crear la conexión VPN. AWS configura automáticamente las IPv6 direcciones de los túneles exteriores para el lado de AWS de los túneles de la VPN.

Ejemplo de comando CLI para crear una conexión VPN con un túnel IPv6 exterior IPs y un túnel IPv6 interior IPs:

```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```

Puede ver las IPv6 direcciones asignadas a su conexión VPN mediante el comando `describe-vpn-connection` CLI.

# Opciones de túnel para su AWS Site-to-Site VPN conexión
<a name="VPNTunnels"></a>

Utiliza una conexión Site-to-Site VPN para conectar la red remota a una VPC. Cada conexión Site-to-Site VPN tiene dos túneles, cada uno de los cuales utiliza una dirección IP pública única. Es importante configurar ambos túneles para la redundancia. Cuando un túnel deja de estar disponible (por ejemplo, está inactivo por mantenimiento), el tráfico de la red se enruta automáticamente al túnel disponible para esa conexión Site-to-Site VPN específica.

El siguiente diagrama muestra los dos túneles de la conexión de VPN. Cada túnel termina en una zona de disponibilidad diferente para aumentar la disponibilidad. El tráfico desde la red local AWS utiliza ambos túneles. El tráfico que se dirige AWS a la red local prefiere uno de los túneles, pero puede conmutar automáticamente por error al otro túnel si se produce un fallo lateral. AWS 

![\[Especifica una conexión de VPN entre una puerta de enlace privada virtual y una puerta de enlace de cliente.\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/Multiple_VPN_Tunnels_diagram.png)


Al crear una conexión Site-to-Site VPN, se descarga un archivo de configuración específico para el dispositivo de pasarela del cliente que contiene información para configurar el dispositivo, incluida la información para configurar cada túnel. Si lo desea, puede especificar algunas de las opciones del túnel usted mismo al crear la conexión Site-to-Site VPN. De lo contrario, AWS proporciona los valores predeterminados.

## Opciones de ancho de banda del túnel
<a name="tunnel-bandwidth-options"></a>

Puede configurar la capacidad de ancho de banda de sus túneles VPN:
+ **Ancho de banda estándar**: hasta 1,25 Gbps por túnel (predeterminado)
+ **Túnel de gran ancho de banda (LBT)**: hasta 5 Gbps por túnel

Los túneles de gran ancho de banda están disponibles solo para las conexiones VPN conectadas a Transit Gateway o Cloud WAN. Para obtener más información, consulte [Túneles de gran ancho de banda](#large-bandwidth-tunnels).

**nota**  
Site-to-Site Los puntos finales de los túneles VPN evalúan las propuestas de su pasarela de clientes empezando por el valor configurado más bajo de la lista que aparece a continuación, independientemente del pedido de propuestas de la pasarela de clientes. Puede usar el `modify-vpn-connection-options` comando para restringir la lista de opciones que aceptarán AWS los puntos finales. Para obtener más información, consulte [modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html)*Amazon EC2 Command Line* Reference.

## Túneles de gran ancho de banda
<a name="large-bandwidth-tunnels"></a>

Los túneles de gran ancho de banda permiten configurar túneles Site-to-Site VPN que admiten un ancho de banda de hasta 5 Gbps por túnel, en comparación con el estándar de 1,25 Gbps. Hay túneles de gran ancho de banda disponibles para las conexiones VPN conectadas a Transit Gateway o Cloud WAN. Esto elimina o reduce la necesidad de implementar protocolos complejos como el ECMP (ruta múltiple de igual costo) para lograr un mayor ancho de banda y garantiza un ancho de banda de túnel constante de 5 Gbps por túnel. Los túneles de gran ancho de banda están diseñados para usarse en los siguientes casos de uso:
+ **Conectividad de centros de datos**: Support aplicaciones híbridas con uso intensivo de ancho de banda, migraciones de macrodatos o arquitecturas de recuperación ante desastres que requieren una conectividad de alta capacidad entre las cargas de trabajo de AWS y los centros de datos locales.
+ **Respaldo de Direct Connect**: proporcione conectividad de respaldo o superpuesta para circuitos Direct Connect de alta capacidad (más de 10 Gbps\$1) a centros de datos locales o instalaciones de colocación.

### Disponibilidad por región
<a name="lbt-availability"></a>

Los túneles de gran ancho de banda están disponibles en todas las regiones, excepto en las siguientes:


**No disponible Regiones de AWS**  

| AWS Región  | Description (Descripción) | 
| --- | --- | 
| ap-southeast-4 | Asia-Pacífico (Melbourne) | 
| ca-west-1 | Oeste de Canadá (Calgary) | 
| eu-central-2 | Europa (Zúrich) | 
| il-central-1 | Israel (Tel Aviv) | 
| me-central-1 | Medio Oriente (EAU) | 

### Requisitos y limitaciones
<a name="lbt-requirements"></a>
+ Disponible solo para las conexiones VPN conectadas a una puerta de enlace de tránsito o a Cloud WAN. No es compatible con los archivos adjuntos de una puerta de enlace privada virtual.
+ Los dos túneles de una conexión VPN deben usar la misma configuración de ancho de banda (1,25 Gbps o 5 Gbps).
+ No se admite la VPN acelerada.
+ Todas las demás funciones principales de la VPN, como la VPN con IP privada, el enrutamiento y el mantenimiento de túneles, funcionan de la misma manera con Large Bandwidth Tunnel.
+ El límite de MTU sigue siendo de 1500 bytes. [ Obtenga más información](https://docs.aws.amazon.com/vpn/latest/s2svpn/cgw-best-practice.html) sobre cómo ajustar los tamaños de MTU y MSS de acuerdo con los algoritmos utilizados.
+ No puede modificar un túnel existente para usar túneles de gran ancho de banda. Primero tendrá que eliminar el túnel y, a continuación, crear uno nuevo y establecer el ancho de banda del túnel en **Grande**. 
+ Las pasarelas de cliente (CGWs) solo con una IP fija se pueden utilizar con túneles de gran ancho de banda. 
+ Las pasarelas de cliente (CGWs) sin una dirección IP no se pueden utilizar con túneles de gran ancho de banda. 
+ Los túneles de gran ancho de banda no admiten cambios en el puerto NAT-T mientras el túnel esté establecido. 
+ Los paquetes que requieren fragmentación pueden experimentar un rendimiento inferior. [ Obtenga más información](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html#vpn-quotas-mtu). 

### Precios de túneles de gran ancho de banda
<a name="lbt-pricing"></a>

Puede encontrar información sobre los precios de las conexiones VPN de gran ancho de banda en la página de [precios de las AWS VPN](https://aws.amazon.com/vpn/pricing/#AWS_Site-to-Site_VPN_and_Accelerated_Site-to-Site_VPN_Connection_Pricing). 

### Escalar más allá de los 5 Gbps
<a name="lbt-scaling"></a>

Para requisitos de ancho de banda superiores a 5 Gbps por túnel, puede utilizar el ECMP en varias conexiones VPN. Por ejemplo, puede lograr un ancho de banda de 20 Gbps si implementa dos conexiones VPN con túneles de gran ancho de banda y utiliza el ECMP en los cuatro túneles.

# Configure las opciones de túnel para AWS Site-to-Site VPN
<a name="tunnel-configure"></a>

Esta sección proporciona una guía completa sobre la configuración de las opciones de túnel para AWS Site-to-Site VPN las conexiones y abarca parámetros esenciales como la detección de puntos muertos, las versiones de IKE y la configuración de cifrado. Puede personalizar estas opciones de túnel para optimizar la seguridad, el rendimiento y la compatibilidad de su conexión VPN con la infraestructura de red local. 

A continuación, se muestran las opciones de túnel que puede configurar.

**nota**  
Algunas opciones de túnel tienen varios valores predeterminados. Por ejemplo, las **versiones de IKE** tienen dos valores de opciones de túnel predeterminados: `ikev1` y `ikev2`. Todos los valores predeterminados se asociarán a esa opción de túnel si no elige valores específicos. Haga clic para eliminar cualquier valor predeterminado que no desee asociar a la opción de túnel. Por ejemplo, si solo desea utilizar `ikev1` para la versión de IKE, haga clic en `ikev2` para eliminarla.

**Tiempo de espera de detección de pares muertos (DPD)**  
El número de segundos después del cual se produce un tiempo de espera de DPD. Un tiempo de espera de DPD de 30 segundos significa que el punto final de la VPN considerará que el par está inactivo 30 segundos después del primer intento fallido de mantenimiento activo. Puede especificar 30 o un valor superior.  
Predeterminado: 40

**Acción de tiempo de espera de DPD**  
La acción que se debe realizar después de que se agote el tiempo de espera de detección de pares muertos (DPD). Puede especificar lo siguiente:  
+ `Clear`: finalice la sesión de IKE cuando se cumpla el tiempo de espera de DPD (detenga el túnel y borre las rutas)
+ `None`: no realice ninguna acción cuando se cumpla el tiempo de espera de DPD
+ `Restart`: reinicie la sesión de IKE cuando se cumpla el tiempo de espera de DPD
Para obtener más información, consulte [AWS Site-to-Site VPN opciones de inicio de túnel](initiate-vpn-tunnels.md).  
Valor predeterminado: `Clear`

**Opciones de registro de VPN**  
Con los registros de la Site-to-Site VPN, puede acceder a los detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones sobre el intercambio de claves de Internet (IKE) y los mensajes del protocolo de detección de pares muertos (DPD).  
Para obtener más información, consulte [AWS Site-to-Site VPN registros](monitoring-logs.md).  
Formatos de registro disponibles: `json`, `text`

**Versiones de IKE**  
Las versiones de IKE permitidas para el túnel de VPN. Puede especificar uno o varios valores predeterminados.  
Valores predeterminados: `ikev1`, `ikev2`

**Túnel IPv4 interior (CIDR)**  
El rango de IPv4 direcciones internas (internas) del túnel VPN. Pude especificar un bloque de CIDR de tamaño /30 desde el rango `169.254.0.0/16`. El bloque CIDR debe ser único en todas las conexiones Site-to-Site VPN que utilizan la misma puerta de enlace privada virtual.  
El bloque de CIDR no tiene por qué ser único en todas las conexiones de una puerta de enlace de tránsito. En caso de no ser único, puede crear un conflicto en la puerta de enlace de cliente. Proceda con cuidado al reutilizar el mismo bloque CIDR en varias conexiones Site-to-Site VPN en una puerta de enlace de tránsito.
Los siguientes bloques de CIDR están reservados y no se pueden utilizar:   
+ `169.254.0.0/30`
+ `169.254.1.0/30`
+ `169.254.2.0/30`
+ `169.254.3.0/30`
+ `169.254.4.0/30`
+ `169.254.5.0/30`
+ `169.254.169.252/30`
Predeterminado: un bloque IPv4 CIDR de tamaño /30 del rango. `169.254.0.0/16`

**Almacenamiento de claves compartidas previamente**  
Tipo de almacenamiento de la clave compartida previamente:  
+ **Estándar**: la clave previamente compartida se almacena directamente en el Site-to-Site servicio VPN.
+ **Secrets Manager**: la clave previamente compartida se almacena mediante AWS Secrets Manager. Para obtener más información acerca de Secrets Manager, consulte [Características de seguridad mejoradas con Secrets Manager](enhanced-security.md).

**Ancho de banda del túnel**  
El ancho de banda compatible con el túnel.  
+ **Estándar**: el ancho de banda del túnel está establecido en un máximo de 1,25 Gbps por túnel (predeterminado).
+ **Grande**: el ancho de banda del túnel alcanza un máximo de 5 Gbps por túnel.
**nota**  
El **tamaño grande** solo está disponible para las conexiones VPN conectadas a una pasarela de tránsito o a una WAN de nube. No es compatible con las conexiones de pasarelas de enlace privadas virtuales.

**Túnel interior ( IPv6 CIDR)**  
(Solo conexiones IPv6 VPN) El rango de IPv6 direcciones internas (internas) del túnel VPN. Puede especificar un bloque CIDR de tamaño /126 desde el rango local `fd00::/8`. El bloque CIDR debe ser único en todas las conexiones Site-to-Site VPN que utilizan la misma puerta de enlace de tránsito. Si no especificas una IPv6 subred, Amazon selecciona automáticamente una subred /128 de este rango. Independientemente de si especificas la subred o si Amazon la selecciona, Amazon usa la primera IPv6 dirección utilizable de la subred para su lado de la conexión y tu lado usa la segunda dirección utilizable IPv6 .  
Predeterminado: un bloque IPv6 CIDR de tamaño /126 del rango local. `fd00::/8`

**Tipo de dirección IP de túnel externo**  
Tipo de dirección IP de las direcciones IP de túnel externo. Puede especificar uno de los siguientes valores:  
+ `PrivateIpv4`: Use una IPv4 dirección privada para implementar conexiones Site-to-Site VPN a través de Direct Connect.
+ `PublicIpv4`: (Predeterminado) Usa IPv4 direcciones para el túnel exterior IPs.
+ `Ipv6`: Utilice IPv6 direcciones para el túnel exterior IPs. Esta opción solo está disponible para conexiones de VPN en una puerta de enlace de tránsito o de WAN en la nube.
Si lo selecciona`Ipv6`, AWS configura automáticamente las IPv6 direcciones de los túneles exteriores para el lado de AWS de los túneles de la VPN. El dispositivo de puerta de enlace del cliente debe admitir el IPv6 direccionamiento y poder establecer IPsec túneles con puntos de IPv6 enlace.  
Valor predeterminado: `PublicIpv4`

** IPv4 Red local (CIDR)**  
(Solo para conexión IPv4 VPN) El rango CIDR utilizado durante la negociación de la fase 2 de IKE para el lado del cliente (local) del túnel VPN. Este rango se usa para proponer rutas, pero no impone restricciones de tráfico, ya que AWS se basa exclusivamente en rutas VPNs . No VPNs se admiten los sistemas basados en políticas, ya que limitarían la capacidad de admitir protocolos AWS de enrutamiento dinámico y arquitecturas multirregionales. Debería incluir los intervalos de IP de la red en las instalaciones que deben comunicarse a través del túnel de VPN. Se deben utilizar las configuraciones de tablas de enrutamiento y los grupos de seguridad adecuados para controlar el flujo de tráfico real. NACLs  
Valor predeterminado: 0.0.0.0/0

** IPv4 Red remota (CIDR)**  
(Solo para conexión IPv4 VPN) El rango CIDR utilizado durante la negociación de la fase 2 del IKE para el AWS lado del túnel VPN. Este rango se utiliza para proponer rutas, pero no impone restricciones de tráfico, ya que AWS utiliza exclusivamente las rutas basadas en rutas VPNs. AWS no admite los sistemas basados en políticas VPNs porque carecen de la flexibilidad necesaria para escenarios de enrutamiento complejos y son incompatibles con funciones como las pasarelas de tránsito y las VPN Equal Cost Multi-Path (ECMP). Para VPCs, este suele ser el rango CIDR de su VPC. En el caso de las puertas de enlace de tránsito, esto podría incluir varios rangos de CIDR procedentes de una red conectada VPCs o de otro tipo.  
Valor predeterminado: 0.0.0.0/0

**Red local IPv6 (CIDR)**  
(Solo para conexión IPv6 VPN) El rango de IPv6 CIDR del lado de la puerta de enlace del cliente (local) que puede comunicarse a través de los túneles de la VPN.  
Predeterminado:: :/0

**Red remota IPv6 (CIDR)**  
(Solo para conexión IPv6 VPN) El rango IPv6 CIDR del AWS lado que puede comunicarse a través de los túneles VPN.   
Predeterminado:: :/0

**Números de grupo Diffie-Hellman (DH) de fase 1**  
Los números del grupo DH permitidos para el túnel de VPN para las negociaciones IKE de la fase 1. Puede especificar uno o varios valores predeterminados.  
Valores predeterminados: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

**Números de grupo Diffie-Hellman (DH) de fase 2**  
Los números del grupo DH permitidos para el túnel de VPN para las negociaciones IKE de la fase 2. Puede especificar uno o varios valores predeterminados.  
Valores predeterminados: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

**Algoritmos de cifrado de la fase 1**  
Los algoritmos de cifrado permitidos para el túnel VPN para las negociaciones IKE de fase 1. Puede especificar uno o varios valores predeterminados.  
Valores predeterminados: AES128,, -GCM-16 AES256, AES128 -GCM-16 AES256

**Algoritmos de cifrado de la fase 2**  
Los algoritmos de cifrado permitidos para el túnel VPN para las negociaciones IKE de fase 2. Puede especificar uno o varios valores predeterminados.  
Predeterminados:, -GCM-16, -GCM-16 AES128 AES256 AES128 AES256

**Algoritmos de integridad de la fase 1**  
Los algoritmos de integridad permitidos para el túnel VPN para las negociaciones IKE de fase 1. Puede especificar uno o varios valores predeterminados.  
Predeterminados:, -256, -384, -512 SHA1 SHA2 SHA2 SHA2

**Algoritmos de integridad de la fase 2**  
Los algoritmos de integridad permitidos para el túnel VPN para las negociaciones IKE de fase 2. Puede especificar uno o varios valores predeterminados.  
Predeterminados:, -256 SHA1, -384, -512 SHA2 SHA2 SHA2

**Vida útil de la fase 1**  
AWS inicie el cambio de claves con los valores de temporización establecidos en los campos Duración de la fase 1 y Duración de la fase 2. Si tales campos de vida útil son diferentes a los valores de protocolo de enlace negociados, esto puede interrumpir la conectividad del túnel.
La duración en segundos de la fase 1 de las negociaciones IKE. Puede especificar un número comprendido entre 900 y 28 800.  
Predeterminado: 28 800 (8 horas)

**Vida útil de la fase 2**  
AWS inicie los cambios de clave con los valores de temporización establecidos en los campos Duración de la fase 1 y Duración de la fase 2. Si tales campos de vida útil son diferentes a los valores de protocolo de enlace negociados, esto puede interrumpir la conectividad del túnel.
La duración en segundos de la fase 2 de las negociaciones IKE. Puede especificar un número comprendido entre 900 y 3600. El número que especifique debe ser inferior al número de segundos para la duración de la fase 1.  
Predeterminado: 3600 (1 hora)

**Clave previamente compartida (PSK)**  
La clave previamente compartida (PSK) para establecer la asociación de seguridad de intercambio de claves de Internet (IKE) inicial entre la puerta de enlace de destino y la puerta de enlace de cliente.   
La PSK debe tener un mínimo de 8 caracteres y un máximo de 64 y no puede comenzar por cero (0). Se permiten caracteres alfanuméricos, puntos (.) y guiones bajos (\$1).  
Predeterminado: una cadena alfanumérica de 32 caracteres.

**Difusión de cambio de clave**  
El porcentaje de la ventana de cambio de clave (determinado por el tiempo del margen de cambio de clave) dentro del cual se selecciona aleatoriamente el tiempo de cambio de clave.   
Puede especificar un valor porcentual entre 0 y 100.  
Predeterminado: 100

**Tiempo de margen de cambio de clave**  
El margen de tiempo, expresado en segundos, antes de que venza la vida útil de las fases 1 y 2, durante el cual el AWS lado de la conexión VPN realiza un cambio de clave de IKE.   
Puede especificar un número comprendido entre 60 y la mitad del valor de la duración de la fase 2.  
El tiempo exacto de cambio de clave se selecciona aleatoriamente en función del valor de la difusión del cambio de clave.  
Predeterminado: 270 (4,5 minutos)

**Tamaño de paquetes del período de reproducción**  
El número de paquetes de un período de reproducción de IKE.   
Puede especificar un valor comprendido entre 64 y 2048.  
Predeterminado: 1024

**Acción de inicio**  
La acción que se debe realizar al establecer el túnel para una conexión de VPN. Puede especificar lo siguiente:   
+ `Start`: AWS inicia la negociación del IKE para abrir el túnel. Solo se admite si la gateway del cliente está configurada con una dirección IP.
+ `Add`: su dispositivo de gateway de cliente debe iniciar la negociación de IKE para mostrar el túnel.
Para obtener más información, consulte [AWS Site-to-Site VPN opciones de inicio de túnel](initiate-vpn-tunnels.md).  
Valor predeterminado: `Add`

**Control del ciclo de vida del punto de conexión del túnel**  
El control del ciclo de vida del punto de conexión del túnel permite controlar el programa de sustituciones de los puntos de conexión.  
Para obtener más información, consulte [AWS Site-to-Site VPN control del ciclo de vida de los puntos finales](tunnel-endpoint-lifecycle.md).  
Valor predeterminado: `Off`

Puede especificar las opciones de túnel al crear una conexión Site-to-Site VPN o puede modificar las opciones de túnel para una conexión VPN existente. Para obtener más información, consulte los temas siguientes:
+ [Paso 5: Crear una conexión de VPN](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ [Modificar opciones de túnel de AWS Site-to-Site VPN](modify-vpn-tunnel-options.md)

# AWS Site-to-Site VPNOpciones de autenticación de túneles de
<a name="vpn-tunnel-authentication-options"></a>

Puede utilizar claves compartidas previamente o certificados para autenticar los puntos de enlace del túnel de Site-to-Site VPN.

## Claves previamente compartidas
<a name="pre-shared-keys"></a>

Una clave compartida previamente (PSK) es la opción de autenticación predeterminada para túneles de Site-to-Site VPN. Al crear un túnel, puede especificar su propia PSK o permitir que AWS genere una automáticamente. Para almacenar la PSK, utilice uno de los siguientes métodos:
+ Directamente en el servicio Site-to-Site VPN. Para obtener más información, consulte [AWS Site-to-Site VPN dispositivos de puerta de enlace para clientes](your-cgw.md).
+ En AWS Secrets Manager para mayor seguridad. Para obtener más información acerca de cómo utilizar Secrets Manager para almacenar una PSK, consulte [Características de seguridad mejoradas con Secrets Manager](enhanced-security.md).

A continuación, la PSK se utiliza para configurar el dispositivo de puerta de enlace de cliente.

## Certificado privado de AWS Private Certificate Authority
<a name="certificate"></a>

Si no quiere utilizar claves previamente compartidas, puede utilizar un certificado privado de AWS Private Certificate Authority para autenticar la VPN. 

Tiene que crear un certificado privado de una entidad emisora de certificados subordinada que use AWS Private Certificate Authority (Autoridad de certificación privada de AWS). Para firmar la CA subordinada de ACM, puede utilizar una CA raíz de ACM o una CA externa. Para obtener información sobre cómo crear un certificado privado, consulte la sección sobre [creación y administración de una CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) en la *Guía del usuario de AWS Private Certificate Authority*.

Debe crear un rol vinculado al servicio para poder generar y utilizar el certificado en el lado de AWS del punto de conexión del túnel de Site-to-Site VPN. Para obtener más información, consulte [Funciones vinculadas al servicio para la VPN Site-to-Site](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).

**nota**  
Para facilitar las rotaciones de certificaciones sin problemas, basta con cualquier certificado que tenga la misma cadena de entidades de certificación que la especificada originalmente en la llamada a la API `CreateCustomerGateway` para establecer una conexión VPN.

Si no especifica la dirección IP de su dispositivo de gateway de cliente, no verificaremos la dirección IP. Esta operación le permite trasladar el dispositivo de gateway de cliente a otra dirección IP sin tener que volver a configurar la conexión de VPN. 

Site-to-Site VPN realiza una verificación de la cadena de certificados en el certificado de puerta de enlace de cliente al crear una VPN de certificado. Además de la entidad de certificación básica y las comprobaciones de validez, Site-to-Site VPN comprueba si las extensiones X.509 están presentes, incluidos el identificador de clave de autoridad, el identificador de clave de asunto y las restricciones básicas.

# AWS Site-to-Site VPN opciones de inicio de túnel
<a name="initiate-vpn-tunnels"></a>

De forma predeterminada, el dispositivo de puerta de enlace del cliente debe abrir los túneles de su conexión Site-to-Site VPN generando tráfico e iniciando el proceso de negociación del intercambio de claves de Internet (IKE). Puede configurar sus túneles VPN para especificar si, en su lugar, AWS deben iniciar o reiniciar el proceso de negociación del IKE.

## Opciones de iniciación de IKE de túnel de VPN
<a name="ike-initiation-options"></a>

Las siguientes opciones de iniciación de IKE están disponibles. Puede implementar una o ambas opciones para uno o ambos túneles de su conexión Site-to-Site VPN. Consulte [Opciones de túnel de VPN](VPNTunnels.md) para obtener más información sobre estas y otras opciones de configuración del túnel.
+ **Acción de inicio**: acción que se debe realizar al establecer el túnel de VPN para una conexión de VPN nueva o modificada. De forma predeterminada, el dispositivo de gateway de cliente inicia el proceso de negociación de IKE para mostrar el túnel. Puede AWS especificar que, en su lugar, se inicie el proceso de negociación de IKE.
+ **Acción de tiempo de espera de DPD**: la acción que se debe realizar después de que se cumpla el tiempo de espera de detección de pares muertos (DPD). De forma predeterminada, la sesión de IKE se detiene, el túnel se desactiva y se eliminan las rutas. Puede especificar que AWS debe reiniciarse la sesión de IKE cuando se agote el tiempo de espera de DPD, o puede especificar que no se AWS debe realizar ninguna acción cuando se agote el tiempo de espera de DPD.

## Reglas y limitaciones
<a name="ike-initiation-rules"></a>

Se aplican las siguientes reglas y limitaciones:
+ Para iniciar la negociación del IKE, AWS necesita la dirección IP pública del dispositivo de puerta de enlace del cliente. Si configuró la autenticación basada en certificados para su conexión VPN y no especificó una dirección IP al crear el recurso de puerta de enlace de cliente AWS, debe crear una nueva puerta de enlace de cliente y especificar la dirección IP. A continuación, modifique la conexión de VPN y especifique la nueva gateway de cliente. Para obtener más información, consulte [Cambio de la puerta de enlace de cliente para una conexión de AWS Site-to-Site VPN](change-vpn-cgw.md).
+ Solo se admite la iniciación mediante IKE (acción de inicio) desde el AWS lado de la conexión VPN. IKEv2 
+ Si se utiliza la iniciación IKE desde el AWS lado de la conexión VPN, no se incluye una configuración de tiempo de espera. Intentará establecer una conexión continuamente hasta que se establezca una. Además, el AWS lado de la conexión VPN reiniciará la negociación de IKE cuando reciba un mensaje de eliminación de SA desde la pasarela del cliente.
+ Si su dispositivo de pasarela de clientes está protegido por un firewall u otro dispositivo que utilice la traducción de direcciones de red (NAT), debe tener una identidad (IDr) configurada. Para obtener más información al respecto IDr, consulte el [RFC 7296](https://datatracker.ietf.org/doc/html/rfc7296).

Si no configura la iniciación de IKE desde un AWS lado para su túnel VPN y la conexión VPN pasa por un período de inactividad (normalmente 10 segundos, según la configuración), es posible que el túnel deje de funcionar. Para evitar este problema, utilice una herramienta de monitoreo de red para generar pings keepalive. 

## Uso de opciones de iniciación de túnel de VPN
<a name="working-with-ike-initiation-options"></a>

Para obtener más información sobre cómo trabajar con las opciones de iniciación de túnel de VPN, consulte los temas siguientes:
+ Para crear una nueva conexión de VPN y especificar las opciones de iniciación del túnel de VPN: [Paso 5: Crear una conexión de VPN](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ Para modificar las opciones de iniciación del túnel de VPN en una conexión de VPN existente: [Modificar opciones de túnel de AWS Site-to-Site VPN](modify-vpn-tunnel-options.md) 

# AWS Site-to-Site VPN reemplazos de puntos finales de túneles
<a name="endpoint-replacements"></a>

Su conexión Site-to-Site VPN consta de dos túneles VPN para garantizar la redundancia. A veces, uno o ambos puntos finales del túnel VPN se sustituyen al AWS realizar actualizaciones del túnel o al modificar la conexión VPN. Durante la sustitución de un punto de enlace del túnel, la conectividad a través del túnel podría verse interrumpida mientras se aprovisiona el nuevo punto de enlace.

**Topics**
+ [Sustituciones de puntos de conexión iniciadas por el cliente](#endpoint-replacements-for-vpn-modifications)
+ [Sustituciones de puntos de conexión administrados por AWS](#endpoint-replacements-for-aws-updates)
+ [AWS Site-to-Site VPN control del ciclo de vida de los puntos finales](tunnel-endpoint-lifecycle.md)

## Sustituciones de puntos de conexión iniciadas por el cliente
<a name="endpoint-replacements-for-vpn-modifications"></a>

Cuando se modifican los siguientes componentes de una conexión de VPN, se reemplazan uno o ambos puntos de enlace del túnel.


| Modificación | Acción de la API | Impacto en el túnel | 
| --- | --- | --- | 
| [Modificación de la gateway de destino de la conexión de VPN](modify-vpn-target.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | Los dos túneles dejan de estar disponibles mientras se aprovisionan los nuevos puntos de enlace del túnel. | 
| [Cambio de la gateway de cliente de la conexión de VPN](change-vpn-cgw.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | Los dos túneles dejan de estar disponibles mientras se aprovisionan los nuevos puntos de enlace del túnel. | 
| [Modificación de las opciones de la conexión de VPN](modify-vpn-connection-options.md) | [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html) | Los dos túneles dejan de estar disponibles mientras se aprovisionan los nuevos puntos de enlace del túnel. | 
| [Modificación de las opciones del túnel de VPN](modify-vpn-tunnel-options.md) | [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) | El túnel modificado no está disponible durante la actualización. | 

## Sustituciones de puntos de conexión administrados por AWS
<a name="endpoint-replacements-for-aws-updates"></a>

AWS Site-to-Site VPN es un servicio gestionado y actualiza periódicamente los puntos finales de los túneles de la VPN. Estas actualizaciones se producen por una variedad de razones, entre las que se incluyen las siguientes:
+ Al aplicar actualizaciones generales, como parches, mejoras de resiliencia y otras mejoras
+ Al retirar el hardware subyacente
+ Cuando las tareas de monitoreo automatizadas determinan que un punto de enlace del túnel de VPN no está en buen estado

AWS aplica las actualizaciones de los puntos finales del túnel a un túnel de su conexión VPN a la vez. Durante una actualización del punto de conexión del túnel, es posible que la conexión de VPN experimente una breve pérdida de redundancia. Por tanto, es importante configurar los dos túneles de la conexión de VPN para que ofrezcan una alta disponibilidad.

# AWS Site-to-Site VPN control del ciclo de vida de los puntos finales
<a name="tunnel-endpoint-lifecycle"></a>

El control del ciclo de vida de los puntos finales del túnel permite controlar el calendario de sustituciones de los puntos finales y puede ayudar a minimizar las interrupciones de conectividad durante las sustituciones AWS gestionadas de los puntos finales del túnel. Con esta función, puede optar por aceptar las actualizaciones AWS gestionadas de los puntos finales del túnel en el momento que mejor se adapte a su empresa. Utilice esta característica si tiene necesidades empresariales a corto plazo o si solo puede admitir un único túnel por conexión VPN.

**nota**  
En raras ocasiones, AWS puede aplicar las actualizaciones críticas a los puntos finales del túnel de forma inmediata, incluso si la función de control del ciclo de vida de los puntos finales del túnel está habilitada.

**Topics**
+ [Cómo funciona el control del ciclo de vida del punto de conexión del túnel](#how-elc-works)
+ [Habilitación del control del ciclo de vida del punto de conexión del túnel de](enable-elc.md)
+ [Verificación si el control del ciclo de vida del punto de conexión del túnel de está habilitado](view-elc-status.md)
+ [Comprobar si hay actualizaciones disponibles](view-elc-updates.md)
+ [Aceptar una actualización de mantenimiento](accept-update.md)
+ [Desactivación del control del ciclo de vida del punto de conexión del túnel de](turn-elc-off.md)

## Cómo funciona el control del ciclo de vida del punto de conexión del túnel
<a name="how-elc-works"></a>

Active la característica de control del ciclo de vida del punto de conexión del túnel para túneles individuales dentro de una conexión VPN. Se puede habilitar en el momento de la creación de la VPN o modificando las opciones de túnel para una conexión VPN existente.

Una vez activado el control del ciclo de vida del punto de conexión del túnel, obtendrá una visibilidad adicional de los próximos eventos de mantenimiento del túnel de dos maneras:
+ Recibirá AWS Health notificaciones sobre las próximas sustituciones de los puntos finales del túnel.
+ El estado del mantenimiento pendiente, junto con las marcas de tiempo del **mantenimiento aplicado automáticamente después** y **el último mantenimiento aplicado**, se pueden ver en el comando -status Consola de administración de AWS o mediante el comando [get-vpn-tunnel-replacement AWS CLI -status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html).

Cuando esté disponible el mantenimiento de un punto de conexión de túnel, tendrá la oportunidad de aceptar la actualización en el momento que más le convenga, antes de la marca temporal **Mantenimiento automático aplicado después** proporcionada.

Si no aplica las actualizaciones antes de la fecha de **mantenimiento aplicada automáticamente después**, se AWS realizará automáticamente la sustitución del punto final del túnel poco después, como parte del ciclo de actualizaciones de mantenimiento regular.

# Active el control AWS Site-to-Site VPN del ciclo de vida de los puntos finales
<a name="enable-elc"></a>

El control del ciclo de vida del punto de conexión se puede habilitar en una conexión de VPN nueva o existente. Esto se puede hacer usando las teclas Consola de administración de AWS o AWS CLI.

**nota**  
De forma predeterminada, al activar la característica para una conexión VPN existente, se iniciará la sustitución del punto de conexión del túnel al mismo tiempo. Si desea activar la característica, pero no iniciar inmediatamente la sustitución del punto de conexión del túnel, puede utilizar la opción **omitir la sustitución del túnel**.

------
#### [ Existing VPN connection ]

Los siguientes pasos demuestran cómo habilitar el control del ciclo de vida del punto de conexión del túnel en una conexión VPN existente.

**Para habilitar el control del ciclo de vida de los puntos finales del túnel mediante Consola de administración de AWS**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación de la izquierda, selecciona **Conexiones Site-to-Site VPN**.

1. Seleccione la conexión adecuada en **Conexiones de VPN**.

1. Elija **Acciones** y, a continuación, **Modificar opciones de túnel de VPN**.

1. Seleccione el túnel específico que desea modificar; para ello, elija la **dirección IP fuera del túnel de VPN** adecuada.

1. En **Control del ciclo de vida del punto de conexión del túnel**, seleccione la casilla **Habilitar**.

1. (Opcional) Seleccione **Omitir la sustitución del túnel**.

1. Seleccione **Save changes (Guardar cambios)**.

**Para habilitar el control del ciclo de vida de los puntos finales del túnel mediante AWS CLI**  
Usa el [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)comando para activar el control del ciclo de vida de los puntos finales del túnel.

------
#### [ New VPN connection ]

Los siguientes pasos demuestran cómo habilitar el control del ciclo de vida del punto de conexión del túnel durante la creación de una nueva conexión de VPN.

**Para habilitar el control del ciclo de vida de los puntos finales del túnel durante la creación de una nueva conexión VPN mediante Consola de administración de AWS**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Site-to-Site VPN Connections**.

1. Elija **Create VPN Connection** (Crear conex‎ión VPN).

1. En las secciones de **opciones del Túnel 1** y **opciones del Túnel 2**, en **Control del ciclo de vida del punto de conexión del túnel**, seleccione **Habilitar**.

1. Elija **Create VPN Connection (Crear conexión de VPN)**.

**Para habilitar el control del ciclo de vida de los puntos finales del túnel durante la creación de una nueva conexión VPN mediante AWS CLI**  
Usa el [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)comando para activar el control del ciclo de vida de los puntos finales del túnel.

------

# Compruebe si el control del ciclo de vida de los puntos finales del AWS Site-to-Site VPN túnel está activado
<a name="view-elc-status"></a>

Puede comprobar si el control del ciclo de vida de los puntos finales del túnel está habilitado en un túnel VPN existente mediante la CLI Consola de administración de AWS o la CLI. 
+ Si el control del ciclo de vida de los puntos de conexión del túnel está desactivado y desea habilitarlo, consulte [Habilitación del control del ciclo de vida del punto de conexión del túnel de ](enable-elc.md).
+ Si el control del ciclo de vida de los puntos de conexión del túnel está habilitado y desea desactivarlo, consulte [Desactivación del control del ciclo de vida del punto de conexión del túnel de ](turn-elc-off.md).

**Para comprobar si el control del ciclo de vida de los puntos finales del túnel está habilitado, utilice la Consola de administración de AWS**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación de la izquierda, selecciona **Conexiones Site-to-Site VPN**.

1. Seleccione la conexión adecuada en **Conexiones de VPN**.

1. Seleccione la pestaña **Detalles del túnel**.

1. En los detalles del túnel, busque **Control del ciclo de vida del punto de conexión del túnel**, que indicará si la característica está **Habilitada** o **Desactivada**. 

**Para comprobar si el control del ciclo de vida de los puntos finales del túnel está activado, utilice el AWS CLI**  
Utilice el [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)comando para comprobar si el control del ciclo de vida de los puntos finales del túnel está activado.

# Compruebe si hay actualizaciones de AWS Site-to-Site VPN túnel disponibles
<a name="view-elc-updates"></a>

Tras habilitar la característica de control del ciclo de vida del punto de conexión del túnel, puede consultar si una actualización de mantenimiento está disponible para la conexión de VPN con la Consola de administración de AWS o la CLI. Al comprobar si hay una actualización de túnel Site-to-Site VPN disponible, no se descarga ni despliega automáticamente la actualización. Puede elegir cuándo quiere implementarla. Para conocer los pasos para descargar e implementar una actualización, consulte [Aceptar una actualización de mantenimiento](accept-update.md). 

**Para comprobar si hay actualizaciones disponibles, utilice la Consola de administración de AWS**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación de la izquierda, selecciona **Conexiones Site-to-Site VPN**.

1. Seleccione la conexión adecuada en **Conexiones de VPN**.

1. Seleccione la pestaña **Detalles del túnel**.

1. Compruebe la columna **Mantenimiento pendiente**. El estado será **Disponible** o **Ninguno**.

**Para comprobar si hay actualizaciones disponibles, utilice el AWS CLI**  
Utilice el comando [get-vpn-tunnel-replacement-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) para comprobar si hay actualizaciones disponibles.

# Acepte una actualización de mantenimiento AWS Site-to-Site VPN del túnel
<a name="accept-update"></a>

Cuando haya una actualización de mantenimiento disponible, puede aceptarla mediante la Consola de administración de AWS o CLI. Puede optar por aceptar la actualización de mantenimiento del túnel Site-to-Site VPN en el momento que más le convenga. Una vez que acepte la actualización de mantenimiento, se implementará. 

**nota**  
Si no aceptas la actualización de mantenimiento, la AWS implementará automáticamente durante un ciclo de actualización de mantenimiento normal. 

**Para aceptar una actualización de mantenimiento disponible mediante el Consola de administración de AWS**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación de la izquierda, selecciona **Conexiones Site-to-Site VPN**.

1. Seleccione la conexión adecuada en **Conexiones de VPN**.

1. Elija **Acciones** y, a continuación, **Sustituir túnel de VPN**.

1. Seleccione el túnel específico que desea sustituir; para ello, elija la **dirección IP fuera del túnel de VPN** adecuada.

1. Elija **Reemplazar**.

**Para aceptar una actualización de mantenimiento disponible mediante el AWS CLI**  
Utilice el [replace-vpn-tunnel](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-vpn-tunnel.html)comando para aceptar una actualización de mantenimiento disponible.

# Desactive el control del ciclo de vida de los terminales del AWS Site-to-Site VPN túnel
<a name="turn-elc-off"></a>

Si ya no desea utilizar la función de control del ciclo de vida de los puntos finales del túnel, puede desactivarla con Consola de administración de AWS o con AWS CLI. Cuando desactive esta característica, AWS implementará automáticamente actualizaciones de mantenimiento de forma periódica y es posible que estas actualizaciones se realicen durante el horario laboral. Para evitar el impacto empresarial, le recomendamos encarecidamente que configure los túneles de la conexión de VPN para una disponibilidad alta.

**nota**  
Mientras haya un mantenimiento pendiente disponible, no puede especificar la opción **Omitir la sustitución del túnel** mientras se desactiva la característica. Siempre puede desactivar la función sin utilizar la opción de **sustitución del punto final del túnel**, pero AWS implementará automáticamente las actualizaciones de mantenimiento pendientes disponibles al iniciar la sustitución inmediata del punto final del túnel.

**Para desactivar el control del ciclo de vida de los puntos finales del túnel mediante el Consola de administración de AWS**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación de la izquierda, selecciona **Conexiones Site-to-Site VPN**.

1. Seleccione la conexión adecuada en **Conexiones de VPN**.

1. Elija **Acciones** y, a continuación, **Modificar opciones de túnel de VPN**.

1. Seleccione el túnel específico que desea modificar; para ello, elija la **dirección IP fuera del túnel de VPN** adecuada.

1. Para desactivar el control del ciclo de vida del punto de conexión del túnel, en **Control del ciclo de vida del punto de conexión del túnel**, desactive la casilla **Habilitar**.

1. (Opcional) Seleccione **Omitir la sustitución del túnel**.

1. Seleccione **Save changes (Guardar cambios)**.

**Para desactivar el control del ciclo de vida de los puntos finales del túnel mediante AWS CLI**  
Utilice el [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)comando para desactivar el control del ciclo de vida de los puntos finales del túnel.

# Opciones de gateway de cliente para su conexión de AWS Site-to-Site VPN
<a name="cgw-options"></a>

La siguiente tabla describe la información que necesitará para crear un recurso de gateway de cliente en AWS.


| Elemento | Descripción | 
| --- | --- | 
|  (Opcional) Etiqueta de nombre.  | Crea una etiqueta con una clave de "Nombre" y un valor que especifique. | 
|  (Solo direccionamiento dinámico) Número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP) de la gateway de cliente.  |  El ASN en el rango comprendido entre 1 y 4 294 967 295 es compatible. Puede utilizar un ASN público existente asignado a su red, con excepción de lo siguiente: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/cgw-options.html) Si no tiene ningún ASN público, puede utilizar un ASN privado en el rango comprendido entre 64 512 y 65 534 o 4 200 000 000 y 4 294 967 294. El ASN predeterminado es 64512. Para obtener más información sobre el enrutamiento, consulte [AWS Site-to-Site VPN opciones de enrutamiento](VPNRoutingTypes.md).  | 
|  La dirección IP de la interfaz externa del dispositivo de puerta de enlace de cliente.  |  La dirección IP debe ser estática y puede ser IPv4 o IPv6. Para direcciones IPv4: si su dispositivo de puerta de enlace de cliente está detrás de un dispositivo de traducción de direcciones de red (NAT), utilice la dirección IP de su dispositivo NAT. Además, asegúrese de que los paquetes UDP en el puerto 500 (y en el puerto 4500, si se utiliza NAT transversal) tienen permiso para pasar entre la red y los puntos de conexión de AWS Site-to-Site VPN. Consulte [Reglas de firewall](FirewallRules.md) para obtener más información. Para direcciones IPv6: la dirección debe ser una dirección IPv6 válida y enrutable por Internet. Las direcciones IPv6 solo son compatibles con conexiones de VPN en una puerta de enlace de tránsito o una WAN en la nube. No se requiere una dirección IP cuando se utiliza un certificado privado de AWS Private Certificate Authority y una VPN pública.  | 
| (Opcional) Certificado privado de una entidad emisora de certificados subordinada que use AWS Certificate Manager (ACM). | Si quiere utilizar la autenticación basada en certificados, proporcione el ARN de un certificado privado ACM para usarlo en el dispositivo de gateway de cliente. Cuando crea una gateway de cliente, puede configurarla para que utilice certificados privados de AWS Private Certificate Authority para autenticar Site-to-Site VPN. Cuando elige utilizar esta opción, crea un private certificate authority (CA) totalmente alojado en AWS para que la organización la utilice internamente. almacena y administra tanto el certificado de entidad de certificación raíz como la entidad de certificación subordinada Autoridad de certificación privada de AWS. Antes de crear la gateway de cliente, tiene que crear un certificado privado a partir de una CA subordinada mediante AWS Private Certificate Authority y luego especifica el certificado al configurar la gateway de cliente. Para obtener información sobre la creación de un certificado privado, consulte la sección de [creación y administración de una CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) en la *Guía del usuario de AWS Private Certificate Authority*. | 
|  (Opcional) Dispositivo.  | Un nombre para el dispositivo de puerta de enlace de cliente asociado con esta puerta de enlace de cliente. | 

## Opciones de puerta de enlace de cliente IPv6
<a name="ipv6-customer-gateway-options"></a>

Al crear una puerta de enlace de cliente con una dirección IPv6, tenga en cuenta lo siguiente:
+ Las puertas de enlace de cliente IPv6 solo son compatibles con conexiones de VPN en una puerta de enlace de tránsito o en una WAN en la nube.
+ La dirección IPv6 debe ser válida y enrutable por Internet.
+ El dispositivo de puerta de enlace de cliente debe admitir el direccionamiento IPv6 y poder establecer túneles de IPsec con puntos de conexión IPv6.
+ Para crear una puerta de enlace de cliente IPv6 mediante la CLI de AWS, utilice una dirección IPv6 para el parámetro `--ip-address`:

  ```
  aws ec2 create-customer-gateway --ip-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
  ```

# AWS Site-to-Site VPN Conexiones aceleradas
<a name="accelerated-vpn"></a>

Si lo desea, puede activar la aceleración de su conexión Site-to-Site VPN. Una conexión Site-to-Site VPN acelerada (conexión VPN acelerada) se utiliza AWS Global Accelerator para enrutar el tráfico desde la red local a la ubicación AWS perimetral más cercana al dispositivo de puerta de enlace del cliente.AWS Global Accelerator optimiza la ruta de la red y utiliza la red AWS global libre de congestión para dirigir el tráfico al punto final que proporciona el mejor rendimiento de las aplicaciones (para obtener más información, consulte). [AWS Global Accelerator](https://aws.amazon.com/global-accelerator/) Puede utilizar una conexión de VPN acelerada para evitar las interrupciones en la red que podrían producirse cuando el tráfico se direcciona a través del Internet público.

Cuando usted crea una conexión de VPN acelerada, nosotros creamos y administramos dos aceleradores en su nombre, uno para cada túnel de VPN. No puede ver ni administrar estos aceleradores usted mismo mediante la consola o.AWS Global Accelerator APIs

Para obtener información sobre las AWS regiones que admiten conexiones VPN aceleradas, consulte la [ Site-to-SiteVPN AWS FAQs acelerada](https://aws.amazon.com/vpn/faqs/).

## Habilitación de la aceleración
<a name="accelerated-vpn-enabling"></a>

De forma predeterminada, al crear una conexión Site-to-Site VPN, la aceleración está deshabilitada. Si lo desea, puede activar la aceleración al crear un nuevo adjunto de Site-to-Site VPN en una pasarela de tránsito. Para obtener más información y ver los pasos, consulte [Crear una AWS Site-to-Site VPN conexión](create-vpn-connection.md).

Las conexiones de VPN aceleradas utilizan un grupo independiente de direcciones IP para las direcciones IP del punto de enlace del túnel. Las direcciones IP de los dos túneles de VPN se seleccionan en dos [zonas de red](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-components.html) distintas.

## Reglas y restricciones
<a name="accelerated-vpn-rules"></a>

Para utilizar una conexión de VPN acelerada, se aplican las siguientes reglas:
+ La aceleración solo se admite para las conexiones Site-to-Site VPN que están conectadas a una pasarela de tránsito. Las gateway privadas virtuales no admiten conexiones de VPN aceleradas.
+ No se puede usar una conexión Site-to-Site VPN acelerada con una interfaz virtual AWS Direct Connect pública.
+ No puede activar ni desactivar la aceleración de una conexión Site-to-Site VPN existente. En su lugar, puedes crear una nueva conexión Site-to-Site VPN con la aceleración activada o desactivada según sea necesario. A continuación, configure el dispositivo de puerta de enlace del cliente para que utilice la nueva conexión Site-to-Site Site-to-Site VPN y elimine la antigua. 
+ Se requiere NAT-Traversal (NAT-T) para una conexión de VPN acelerada y está habilitado de forma predeterminada. Si ha descargado un [archivo de configuración](SetUpVPNConnections.md#vpn-download-config) de la consola de Amazon VPC, compruebe la configuración de NAT-T y ajústela si es necesario.
+ La negociación de IKE para los túneles de VPN acelerados se debe iniciar desde el dispositivo de puerta de enlace de cliente. Las dos opciones de túnel que afectan a este comportamiento son `Startup Action` y `DPD Timeout Action`. Para obtener más información, consulte [Opciones de túnel de VPN](VPNTunnels.md) y [Opciones de iniciación de túnel de VPN](initiate-vpn-tunnels.md).
+ Site-to-Site Es posible que las conexiones VPN que utilizan la autenticación basada en certificados no sean compatibles AWS Global Accelerator, debido a la limitada compatibilidad con la fragmentación de paquetes en Global Accelerator. Para obtener más información, consulte [Funcionamiento de AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html). Si necesita una conexión de VPN acelerada que utilice autenticación basada en certificados, el dispositivo de la gateway del cliente debe admitir la fragmentación de IKE. De lo contrario, no habilite su VPN para la aceleración.

# AWS Site-to-Site VPN opciones de enrutamiento
<a name="VPNRoutingTypes"></a>

AWS recomienda anunciar rutas BGP específicas para influir en las decisiones de enrutamiento en la pasarela privada virtual. Compruebe la documentación de su proveedor acerca de los comandos específicos de su dispositivo.

Al crear varias conexiones de VPN, la gateway privada virtual envía el tráfico de red a la conexión de VPN apropiada utilizando las rutas asignadas estáticamente o anuncios de ruta de BGP, La ruta depende de cómo se haya configurado la conexión de VPN. Las rutas asignadas estáticamente son preferibles frente a las rutas anunciadas de BGP en los casos en los que existen rutas idénticas en la gateway privada virtual. Si selecciona la opción de utilizar el anuncio de BGP, no podrá especificar rutas estáticas.

Para obtener más información sobre la prioridad de una ruta, consulte [Tablas de enrutamiento y prioridad de rutas](vpn-route-priority.md).

Al crear una conexión Site-to-Site VPN, debe hacer lo siguiente:
+ Especifique el tipo de direccionamiento que va a usar (estático o dinámico)
+ Actualice la [tabla de enrutamiento](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) de la subred

No hay ninguna cuota en el número de rutas que puede agregar a una tabla de enrutamiento. Para obtener más información, consulte la sección Tablas de ruteo del artículo [Cuotas de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) en la *Guía del usuario de Amazon VPC*.

**Topics**
+ [Direccionamiento estático y dinámico](vpn-static-dynamic.md)
+ [Tablas de enrutamiento y prioridad de rutas](vpn-route-priority.md)
+ [Enrutamiento durante las actualizaciones de punto de enlace del túnel de VPN](routing-vpn-tunnel-updates.md)
+ [Tráfico IPv4 e IPv6](ipv4-ipv6.md)

# Enrutamiento estático y dinámico en AWS Site-to-Site VPN
<a name="vpn-static-dynamic"></a>

El tipo de enrutamiento seleccionado puede depender del fabricante y el modelo de su dispositivo de gateway de cliente. Si el dispositivo de puerta de enlace de su cliente es compatible con el protocolo Border Gateway (BGP), especifique el enrutamiento dinámico al configurar la conexión Site-to-Site VPN. Si el dispositivo de gateway de cliente no admite BGP, especifique un enrutamiento estático.

**nota**  
Site-to-Site Los concentradores VPN solo admiten el enrutamiento BGP. El enrutamiento estático no es compatible con las conexiones VPN que utilizan un concentrador Site-to-Site VPN.

Si utiliza un dispositivo que admite la publicidad de BGP, no especifique las rutas estáticas a la conexión Site-to-Site VPN, ya que el dispositivo utiliza BGP para anunciar sus rutas a la puerta de enlace privada virtual. Si utiliza un dispositivo que no admite publicidad BGP, debe seleccionar el enrutamiento estático y escribir las rutas (prefijos IP) de su red que deben comunicarse a la gateway privada virtual. 

Se recomienda utilizar dispositivos que admitan BGP, siempre que estén disponibles, ya que el protocolo BGP ofrece comprobaciones de detección de conexión que pueden ayudar en la conmutación por error al segundo túnel de VPN en caso de error en el primero. Los dispositivos que no admiten BGP también pueden realizar comprobaciones de estado para ayudar en la conmutación por error al segundo túnel siempre que sea necesario.

Debe configurar el dispositivo de puerta de enlace del cliente para que dirija el tráfico de su red local a la Site-to-Site conexión VPN. La configuración depende del fabricante y el modelo del dispositivo. Para obtener más información, consulte [AWS Site-to-Site VPN dispositivos de puerta de enlace para clientes](your-cgw.md).

# Tablas de enrutamiento y prioridad de AWS Site-to-Site VPN enrutamiento
<a name="vpn-route-priority"></a>

Las [tablas de enrutamiento](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) determinan dónde se dirige el tráfico de red de la VPC. En la tabla de enrutamiento de la VPC, tiene que agregar una ruta para su red remota y especificar la gateway privada virtual como destino. Esto permite que el tráfico desde su VPC que está dirigido a su red remota se enrute a través de la gateway privada virtual y a través de uno de los túneles de VPN. Puede habilitar la propagación de rutas para que su tabla de ruteo propague automáticamente las rutas de red a la tabla. 

Para determinar cómo dirigir tráfico, se utiliza la ruta más específica de su tabla de ruteo que coincida con el tráfico en cuestión (coincidencia del prefijo más largo). Si la tabla de enrutamiento tiene rutas superpuestas o coincidentes, se aplican las siguientes reglas:
+ Si las rutas propagadas desde una conexión Site-to-Site VPN o una Direct Connect conexión se superponen con la ruta local de su VPC, la ruta local es la más preferida, incluso si las rutas propagadas son más específicas. 
+ Si las rutas propagadas desde una conexión Site-to-Site VPN o una Direct Connect conexión tienen el mismo bloque CIDR de destino que otras rutas estáticas existentes (no se puede aplicar la coincidencia de prefijo más larga), priorizamos las rutas estáticas cuyos destinos son una puerta de enlace de Internet, una puerta de enlace privada virtual, una interfaz de red, un ID de instancia, una conexión de emparejamiento de VPC, una puerta de enlace de NAT, una puerta de enlace de tránsito o un punto final de VPC de puerta de enlace.

Por ejemplo, la siguiente tabla de enrutamiento tiene una ruta estática a una gateway de Internet y una ruta propagada a una gateway privada virtual. Ambas rutas tienen el destino `172.31.0.0/24`. En este caso, todo el tráfico con destino `172.31.0.0/24` se dirige a la gateway de Internet, ya que se trata de una ruta estática con prioridad sobre la ruta propagada.


| Destino | Objetivo | 
| --- | --- | 
| 10.0.0.0/16 | Local | 
| 172.31.0.0/24 | vgw-11223344556677889 (propagada) | 
| 172.31.0.0/24 | igw-12345678901234567 (estática) | 

Solo los prefijos IP que la gateway privada virtual conozca, ya sea mediante anuncios de BGP o por introducción de una ruta estática, podrán recibir tráfico de su VPC. La gateway privada virtual no direcciona el tráfico cuyo destino no sea el mencionado en los anuncios de BGP recibidos, las entradas de ruta estática o los CIDR de VPC asociados. Las puertas de enlace privadas virtuales no admiten tráfico. IPv6 

Cuando una gateway privada virtual recibe información de direccionamiento, usa la selección de rutas para determinar cómo debe dirigir el tráfico de las rutas. Se aplica la coincidencia de prefijos más larga si todos los puntos de conexión están en buen estado. El estado de un punto de conexión de túnel tiene prioridad sobre otros atributos de enrutamiento. Esta prioridad se aplica a las pasarelas privadas virtuales y a VPNs las pasarelas de tránsito. Si los prefijos son los mismos, la gateway privada virtual da prioridad a las rutas de la siguiente manera, desde la más preferida a la menos preferida: 
+ Rutas propagadas por BGP desde una conexión Direct Connect 

  Las rutas de Blackhole no se propagan a la pasarela de un cliente de Site-to-Site VPN a través de BGP. 
+ Rutas estáticas añadidas manualmente para una conexión VPN Site-to-Site
+ Rutas propagadas por BGP desde una conexión VPN Site-to-Site
+ Para los prefijos coincidentes en los que cada conexión Site-to-Site VPN usa BGP, se compara la RUTA AS y se prefiere el prefijo con la RUTA AS más corta.
**nota**  
AWS recomienda encarecidamente utilizar dispositivos de puerta de enlace para clientes que admitan el enrutamiento asimétrico.  
Para los dispositivos de puerta de enlace de clientes que admiten enrutamiento asimétrico, *no* recomiendamos usar la ruta AS PATH prepending para asegurar que ambos túneles tengan la misma ruta AS PATH. De esta forma, podrá asegurarse de que el valor multi-exit discriminator (MED) que establecemos en un túnel durante las [actualizaciones de puntos de enlace del túnel VPN](routing-vpn-tunnel-updates.md) se utilice para determinar la prioridad del túnel.  
En el caso de los dispositivos de puerta de enlace de cliente que no admiten enrutamiento asimétrico, puede utilizar AS PATH antepuesto y la preferencia local para dar prioridad a un túnel sobre el otro. Sin embargo, cuando la ruta de salida cambia, esto puede provocar una caída del tráfico.
+ Cuando los AS PATHs tienen la misma longitud y si el primer AS de la AS\$1SEQUENCE es el mismo en varias rutas, se comparan multi-exit discriminators (MEDs). Se prefiere la ruta con el valor de MED más bajo.

La prioridad de ruta se ve afectada durante las [actualizaciones del punto de enlace del túnel de la VPN](routing-vpn-tunnel-updates.md).

En una conexión Site-to-Site VPN, AWS selecciona uno de los dos túneles redundantes como ruta de salida principal. Esta selección puede cambiar en algún momento, por lo que le recomendamos que configure ambos túneles para una alta disponibilidad y que permita el enrutamiento asimétrico. El estado de un punto de conexión de túnel tiene prioridad sobre otros atributos de enrutamiento. Esta prioridad se aplica a las pasarelas privadas virtuales y a VPNs las pasarelas de tránsito.

En el caso de una puerta de enlace privada virtual, se seleccionará un túnel que atraviese todas las conexiones Site-to-Site VPN de la puerta de enlace. Para usar más de un túnel, le recomendamos que explore la opción de rutas múltiples de igual costo (ECMP), que es compatible con las conexiones Site-to-Site VPN en una puerta de enlace de tránsito. Para obtener más información, consulte [Gateways de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) en *Gateways de tránsito de Amazon VPC*. El ECMP no es compatible con las conexiones Site-to-Site VPN en una puerta de enlace privada virtual.

En el Site-to-Site caso de las conexiones VPN que utilizan BGP, el túnel principal se puede identificar mediante el valor multi-exit discriminator (MED). Recomendamos anunciar rutas ASN más específicas para influir en las decisiones de enrutamiento. 

En el Site-to-Site caso de las conexiones VPN que utilizan enrutamiento estático, el túnel principal se puede identificar mediante estadísticas o métricas de tráfico. 

# Enrutamiento durante las actualizaciones de punto de enlace del túnel de VPN
<a name="routing-vpn-tunnel-updates"></a>

Una conexión Site-to-Site VPN consta de dos túneles VPN entre un dispositivo de puerta de enlace del cliente y una puerta de enlace privada virtual o una puerta de enlace de tránsito. Recomendamos configurar ambos túneles para la redundancia. De vez en cuando, AWS también realiza un mantenimiento rutinario de la conexión VPN, lo que podría deshabilitar brevemente uno de los dos túneles de la conexión VPN. Para obtener más información, consulte [Notificaciones de sustitución de puntos de enlace de un túnel](monitoring-vpn-health-events.md#tunnel-replacement-notifications).

Cuando realizamos actualizaciones en un túnel de VPN, establecemos un valor más bajo de multi-exit discriminator (MED) saliente en el otro túnel. Si ha configurado su dispositivo de gateway de cliente para que utilice ambos túneles, la conexión de VPN utilizará el otro túnel (activo) durante el proceso de actualización del punto de enlace del túnel.

**nota**  
 Para asegurarse de que se prefiere el túnel activo con el MED inferior, asegúrese de que su dispositivo de gateway de cliente utilice los mismos valores de peso y preferencia local para ambos túneles (el peso y la preferencia local tienen mayor prioridad que el MED).

# Tráfico de IPv4 e IPv6 en AWS Site-to-Site VPN
<a name="ipv4-ipv6"></a>

La conexión de Site-to-Site VPN de una gateway de tránsito puede admitir el tráfico IPv4 o IPv6 dentro de los túneles de VPN. De forma predeterminada, las conexiones de Site-to-Site VPN permiten el tráfico IPv4 dentro de los túneles de VPN. Puede configurar una nueva conexión de Site-to-Site VPN para admitir el tráfico IPv6 dentro de los túneles de VPN. A continuación, si la VPC y la red local están configuradas para el direccionamiento IPv6, puede enviar tráfico IPv6 a través de la conexión VPN.

Si activa IPv6 en los túneles de VPN de la conexión de Site-to-Site VPN, cada túnel tendrá dos bloques de CIDR. Uno es un bloque CIDR IPv4 de tamaño /30 y el otro es un bloque CIDR IPv6 de tamaño /126.

## Compatibilidad con IPv4 e IPv6
<a name="ipv6-tunnel-options"></a>

Las conexiones de VPN de Site-to-Site VPN admiten las siguientes configuraciones de IP:
+ **Túnel externo IPv4 con paquetes internos de IPv4**: capacidad básica de VPN IPv4 compatible con puertas de enlace privadas virtuales, puertas de enlace de tránsito y WAN en la nube.
+ **Túnel externo de IPv4 con paquetes internos de IPv6**: permite transporte y aplicaciones de IPv6 en el túnel de VPN. Compatible con las puertas de enlace de tránsito y WAN en la nube. No es compatible con las puertas de enlace privadas virtuales.
+ **Túnel externo de IPv6 con paquetes internos de IPv6**: permite la migración completa de IPv6 con direcciones IPv6 tanto para las IP de túnel externo como para las IP de los paquetes internos. Compatible tanto con las puertas de enlace de tránsito como con WAN en la nube.
+ **Túnel externo IPv6 con paquetes internos de IPv4**: permite el direccionamiento del túnel externo de IPv6 y, al mismo tiempo, admite aplicaciones IPv4 antiguas en el túnel. Compatible tanto con las puertas de enlace de tránsito como con WAN en la nube.

Se aplican las siguientes reglas:
+ Las direcciones IPv6 de las IP de túnel externo solo se admiten en las conexiones de Site-to-Site VPN que terminan en una puerta de enlace de tránsito o en WAN en la nube. Las conexiones de Site-to-Site VPN en una puerta de enlace privada virtual no admiten IPv6 para IP de túnel externo.
+ Cuando utilice IPv6 para IP de túneles externos, debe asignar direcciones IPv6 tanto en el extremo de AWS de la conexión de VPN como en la puerta de enlace de cliente para ambos túneles de VPN.
+ La compatibilidad con IPv6 no se puede activar en una conexión de Site-to-Site VPN existente. Debe eliminar la conexión existente y crear una nueva.
+ Una conexión de Site-to-Site VPN no admite el tráfico de IPv4 e IPv6 simultáneamente. Los paquetes encapsulados internos pueden ser IPv6 o IPv4, pero no ambos. Necesita conexiones de Site-to-Site VPN independientes para transportar los paquetes IPv4 e IPv6.
+ Las VPN IP privadas no admiten direcciones IPv6 para IP de túnel externo. Utilizan direcciones RFC 1918 o CGNAT. Para obtener más información sobre RFC 1918, consulte [RFC 1918: asignación de direcciones para internets privadas](https://datatracker.ietf.org/doc/html/rfc1918).
+ Las VPN IPv6 admiten el mismo rendimiento (Gbps y PPS), MTU y límites de ruta que las VPN IPv4.
+ El cifrado IPsec y el intercambio de claves funcionan de la misma manera para VPN IPv4 e IPv6.

Para obtener más información sobre la creación de una conexión de VPN que admita IPv6, consulte [Creación de una conexión de VPN](SetUpVPNConnections.md#vpn-create-vpn-connection) en Introducción a Site-to-Site VPN.

# AWS Site-to-Site VPN Concentradores
<a name="vpn-concentrator"></a>

AWS Site-to-Site VPN Concentrator es una nueva característica que simplifica la conectividad multisitio para empresas distribuidas. VPN Concentrator es adecuado para clientes que necesitan conectar más de 25 sitios remotos a AWS, y cada sitio necesita poco ancho de banda (menos de 100 Mbps). 

## Características y servicios de puerta de enlace compatibles
<a name="vpn-concentrator-supported-gateways"></a>

Los concentradores VPN solo son compatibles con Transit Gateway. Esta función no es compatible con Cloud WAN ni con Virtual Private Gateway.

En la siguiente tabla se describen las funciones compatibles con Site-to-Site VPN Concentrator:


| Característica | ¿Se admite? | 
| --- | --- | 
| IPv6 | Sí | 
| Conexiones VPN privadas de Direct Connect | No | 
| VPN acelerada | Sí | 
| Varios dispositivos de puerta de enlace para clientes desde el mismo sitio | Sí. Sin embargo, cada dispositivo de puerta de enlace del cliente debe tener una dirección IP única. | 
| Restricciones geográficas | No. Puede adjuntar un sitio ubicado en cualquier región a un concentrador en cualquier AWS región. | 
| Site-to-Site Registros de VPN | Sí. Puede generar registros de VPN para todos los sitios conectados al Concentrator o de forma individual. | 
| Soporte de cifrado de Transit Gateway | No | 

## Ancho de banda
<a name="vpn-concentrator-bandwidth"></a>

Actualmente, los concentradores Site-to-Site VPN admiten un ancho de banda total de 5 Gbps. Cada sitio puede admitir un ancho de banda máximo de 100 Mbps. Sin embargo, si necesita un ancho de banda superior, póngase en contacto con AWS Support.

## Enrutamiento
<a name="vpn-concentrator-routing"></a>

Site-to-Site Los concentradores VPN solo admiten el enrutamiento BGP (Border Gateway Protocol). No se admite el enrutamiento estático.

Todas las pasarelas de los clientes conectadas a ella Site-to-Site VPNConcentrator utilizan el mismo conector Site-to-Site VPN Concentrator a la pasarela de tránsito para el enrutamiento. Cada sitio que se conecte al concentrador Site-to-Site VPN puede enviar un máximo de 5000 rutas desde la pasarela de tránsito a la pasarela del cliente y 1000 rutas desde la pasarela del cliente a la pasarela de tránsito.

## Asignación de direcciones IP
<a name="vpn-concentrator-ip-addressing"></a>

Cada conexión VPN a través del concentrador de Site-to-Site VPN seguirá teniendo una dirección IP de AWS única (una por túnel).

## Supervisión
<a name="vpn-concentrator-monitoring"></a>

Las conexiones Site-to-Site VPN a través de concentradores de VPN admiten las mismas métricas que las conexiones VPN normales.

Si habilitas los registros de flujo de Transit Gateway en el dispositivo adjunto al concentrador VPN, verás los registros de flujo de todo el tráfico que entra y sale de todos los sitios remotos conectados al concentrador.

## Mantenimiento de túneles
<a name="vpn-concentrator-maintenance"></a>

El mantenimiento del túnel funciona de la misma manera que los túneles Site-to-Site VPN estándar existentes para ambos puntos finales cuando se utiliza un concentrador de Site-to-Site VPN. Para obtener más información, consulte [Sustitución de los puntos de enlace](endpoint-replacements.md).

## Precios
<a name="vpn-concentrator-pricing"></a>

Puede encontrar información sobre los precios de Site-to-Site VPN Concentrator en la página de [precios de VPN de AWS](https://aws.amazon.com/vpn/pricing/).