Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# IP privada AWS Site-to-Site VPN con Direct Connect
Con una VPN con IP privada, puede implementar IPsec una VPN a través de ella Direct Connect, cifrando el tráfico entre su red local y AWS sin el uso de direcciones IP públicas ni equipos VPN adicionales de terceros.
Uno de los principales usos de la VPN con IP privada Direct Connect es ayudar a los clientes de los sectores financiero, sanitario y federal a cumplir sus objetivos normativos y de cumplimiento. La conexión VPN con IP privada Direct Connect garantiza que el tráfico entre las redes locales AWS y entre ellas sea seguro y privado, lo que permite a los clientes cumplir con sus requisitos normativos y de seguridad.
## Beneficios de la VPN de IP privada
+ **Administración y operaciones de red simplificadas:** sin una VPN IP privada, los clientes tienen que implementar VPN y enrutadores de terceros para implementar redes privadas a VPNs través de Direct Connect redes. Con la capacidad de VPN de IP privada, los clientes no tienen que implementar ni administrar su propia infraestructura de VPN. De este modo, se simplifican las operaciones de la red y se reducen los costos.
+ **Mejora de la seguridad:** anteriormente, los clientes tenían que utilizar una interfaz Direct Connect virtual pública (VIF) para cifrar el tráfico Direct Connect, lo que requería direcciones IP públicas para los puntos finales de la VPN. El uso del IPs sistema público aumenta la probabilidad de sufrir ataques externos (DOS), lo que a su vez obliga a los clientes a implementar equipos de seguridad adicionales para proteger la red. Además, un VIF público abre el acceso entre todos los servicios AWS públicos y las redes locales de los clientes, lo que aumenta la gravedad del riesgo. La función de VPN con IP privada permite el cifrado en Direct Connect tránsito VIFs (en lugar de hacerlo público VIFs), además de la posibilidad de configurarlo de forma privada. IPs Esto proporciona conectividad end-to-end privada además del cifrado, lo que mejora la seguridad general.
+ **Mayor escala de rutas:** las conexiones VPN IP privadas ofrecen límites de ruta más altos (5000 rutas de salida y 1000 rutas de entrada) en comparación con las conexiones individuales Direct Connect, que actualmente tienen un límite de 200 rutas de salida y 100 de entrada.
## Cómo funciona la VPN de IP privada
La Site-to-Site VPN IP privada funciona a través de una interfaz virtual de Direct Connect tránsito (VIF). Utiliza una Direct Connect puerta de enlace y una puerta de enlace de tránsito para interconectar sus redes locales.AWS VPCs Una conexión VPN IP privada tiene puntos de terminación en la pasarela de tránsito, por un AWS lado, y en el dispositivo de puerta de enlace del cliente, en el lado local. Debe asignar direcciones IP privadas a los extremos de los IPsec túneles de la pasarela de tránsito y del dispositivo de puerta de enlace del cliente. Puede usar direcciones IP privadas de uno RFC1918 o varios rangos de IPv4 direcciones RFC6598 privadas.
Adjunta una conexión de VPN de IP privada a una puerta de enlace de tránsito. A continuación, enruta el tráfico entre el adjunto de la VPN y cualquier otra red VPCs (o cualquier otra red) que también esté conectada a la puerta de enlace de tránsito. Esto se hace asociando una tabla de enrutamiento con la conexión de VPN. En la dirección contraria, puede enrutar el tráfico desde su adjunto VPCs a la VPN con IP privada mediante tablas de enrutamiento asociadas a VPCs.
La tabla de rutas asociada al adjunto de la VPN puede ser la misma o diferente de la asociada al Direct Connect adjunto subyacente. Esto le permite enrutar el tráfico cifrado y no cifrado de forma simultánea entre su red VPCs y la local.
Para obtener más información sobre la ruta de tráfico que sale de la VPN, consulte las [políticas de enrutamiento de la interfaz virtual privada y de la interfaz virtual de tránsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies) en la *Guía del usuario de Direct Connect*.
## Requisitos previos
En la siguiente tabla se describen los requisitos previos a la creación de una VPN de IP privada a través de Direct Connect.
| Elemento | Steps | Información |
| --- | --- | --- |
| Prepare la puerta de enlace de tránsito para Site-to-Site la VPN. | Cree la puerta de enlace de tránsito mediante la consola Amazon Virtual Private Cloud(VPC) o mediante la línea de comandos o la API. Consulte [Puertas de enlace de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) en la *Guía de puertas de enlace de tránsito de Amazon VPC*. | Una puerta de enlace de tránsito es un centro de tránsito de red que puede usar para interconectar sus VPCs redes con las locales. Puede crear una nueva puerta de enlace de tránsito o utilizar una ya existente para la conexión de VPN de IP privada. Al crear la puerta de enlace de tránsito, o al modificar una ya existente, se especifica un bloque de CIDR de IP privada para la conexión. Al especificar el bloque de CIDR de la puerta de enlace de tránsito que se va a asociar a su VPN de IP privada, asegúrese de que el bloque de CIDR no se solapa con ninguna dirección IP de ninguna otra conexión de red en la puerta de enlace de tránsito. Si algún bloque de CIDR de IP se solapa, puede provocar problemas de configuración con su dispositivo de puerta de enlace de cliente. |
| Cree la Direct Connect puerta de enlace para Site-to-Site la VPN. | Cree la puerta de enlace de Direct Connect mediante la consola de Direct Connect o mediante la línea de comandos o la API. Consulte [Crear una puerta de enlace AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) en la *Guía Direct Connect del usuario*. | Una puerta de enlace Direct Connect le permite conectar interfaces virtuales (VIFs) en varias AWS regiones. Esta puerta de enlace se utiliza para conectarse a VIF. |
| Cree la asociación de pasarelas de tránsito para la Site-to-Site VPN. | Cree la asociación entre la puerta de enlace de Direct Connect y la puerta de enlace de tránsito mediante la consola de Direct Connect o mediante la línea de comandos o la API. Consulte [Asociar o Direct Connect desasociar una pasarela de tránsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) en la *Guía del Direct Connect usuario*. | Después de crear la Direct Connect puerta de enlace, cree una asociación de puerta de enlace de tránsito para la Direct Connect puerta de enlace. Especifique el CIDR de IP privada para la puerta de enlace de tránsito que se identificó anteriormente en la lista de prefijos permitidos. |
**Topics**
+ [Beneficios de la VPN de IP privada](#private-ip-dx-features)
+ [Cómo funciona la VPN de IP privada](#private-ip-dx-how)
+ [Requisitos previos](#private-ip-dx-prereqs)
+ [Creación de una VPN de IP privada a través de Direct Connect](private-ip-dx-steps.md)
# Crear una IP privada a AWS Site-to-Site VPN través de Direct Connect
Para crear una VPN con IP privada, Direct Connect sigue estos pasos. Antes de crear la VPN de IP privada a través de Direct Connect, debe asegurarse de crear primero una puerta de enlace de tránsito y una puerta de enlace de Direct Connect. Después de crear las dos puertas de enlace, debe crear una asociación entre las dos. Estos requisitos previos se describen en la tabla siguiente. Una vez que haya creado y asociado las dos puertas de enlace, creará una puerta de enlace para clientes de VPN y una conexión mediante esa asociación.
## Requisitos previos
En la siguiente tabla se describen los requisitos previos a la creación de una VPN de IP privada a través de Direct Connect.
| Elemento | Steps | Información |
| --- | --- | --- |
| Prepare la puerta de enlace de tránsito para la Site-to-Site VPN. | Cree la puerta de enlace de tránsito mediante la consola Amazon Virtual Private Cloud (VPC) o mediante la línea de comandos o la API. Consulte [Puertas de enlace de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) en la *Guía de puertas de enlace de tránsito de Amazon VPC*. | Una puerta de enlace de tránsito es un centro de tránsito de red que puede usar para interconectar sus VPCs redes con las locales. Puede crear una nueva puerta de enlace de tránsito o utilizar una ya existente para la conexión de VPN de IP privada. Al crear la puerta de enlace de tránsito, o al modificar una ya existente, se especifica un bloque de CIDR de IP privada para la conexión. Al especificar el bloque de CIDR de la puerta de enlace de tránsito que se va a asociar a su VPN de IP privada, asegúrese de que el bloque de CIDR no se solapa con ninguna dirección IP de ninguna otra conexión de red en la puerta de enlace de tránsito. Si algún bloque de CIDR de IP se solapa, puede provocar problemas de configuración con su dispositivo de puerta de enlace de cliente. |
| Cree la Direct Connect puerta de enlace para Site-to-Site la VPN. | Cree la puerta de enlace de Direct Connect mediante la consola de Direct Connect o mediante la línea de comandos o la API. Consulte [Crear una puerta de enlace AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) en la *Guía Direct Connect del usuario*. | Una puerta de enlace Direct Connect le permite conectar interfaces virtuales (VIFs) en varias AWS regiones. Esta puerta de enlace se utiliza para conectarse a VIF. |
| Cree la asociación de pasarelas de tránsito para la Site-to-Site VPN. | Cree la asociación entre la puerta de enlace de Direct Connect y la puerta de enlace de tránsito mediante la consola de Direct Connect o mediante la línea de comandos o la API. Consulte [Asociar o Direct Connect desasociar una pasarela de tránsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) en la *Guía del Direct Connect usuario*. | Después de crear la Direct Connect puerta de enlace, cree una asociación de puerta de enlace de tránsito para la Direct Connect puerta de enlace. Especifique el CIDR de IP privada para la puerta de enlace de tránsito que se identificó anteriormente en la lista de prefijos permitidos. |
## Cree la puerta de enlace del cliente y la conexión para la Site-to-Site VPN
Una pasarela de clientes es un recurso que se crea en él AWS. Representa el dispositivo de puerta de enlace de cliente en las instalaciones. Cuando crea una pasarela de clientes, proporciona información sobre su dispositivo a AWS. Para obtener más información, consulte [Puerta de enlace de cliente](how_it_works.md#CustomerGateway).
**Para crear una gateway de cliente con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puertas de enlace de cliente**.
1. Elija **Crear puerta de enlace de cliente**.
1. (Opcional) En **Name tag** (Etiqueta de nombre), ingrese un nombre para la puerta de enlace de cliente. Esta acción creará una etiqueta con una clave de `Name` y el valor que especifique.
1. En **BGP ASN**, ingrese un número de sistema autónomo (ASN) para protocolo de puerta de enlace fronteriza (BGP) de la puerta de enlace de cliente.
1. En **IP address (Dirección IP)**, ingrese la dirección IP privada de su dispositivo de puerta de enlace de cliente.
**importante**
Al configurar la IP AWS privada AWS Site-to-Site VPN, debe especificar sus propias direcciones IP de punto final del túnel mediante las direcciones RFC 1918. No utilice las direcciones point-to-point IP para la interconexión eBGP entre el router de puerta de enlace del cliente y el punto final. Direct Connect AWS recomienda utilizar una interfaz LAN o de bucle invertido en el router de puerta de enlace del cliente como dirección de origen o destino en lugar de conexiones. point-to-point
Para obtener más información sobre la RFC 1918, consulte [Address Allocation for Private Internets](https://datatracker.ietf.org/doc/html/rfc1918).
1. (Opcional) En **Device** (Dispositivo), ingrese un nombre para el dispositivo que aloja esta puerta de enlace de cliente.
1. Elija **Crear puerta de enlace de cliente**.
1. En el panel de navegación, seleccione las conexiones **Site-to-Site VPN**.
1. Elija **Create VPN Connection** (Crear conexión VPN).
1. (Opcional) En la **etiqueta de nombre**, introduzca un nombre para la conexión Site-to-Site VPN. Esta acción creará una etiqueta con una clave de `Name` y el valor que especifique.
1. En **Target gateway type (Tipo de puerta de enlace de destino)**, elija **Transit gateway (Puerta de enlace de tránsito)**. A continuación, elija la puerta de enlace de tránsito que identificó anteriormente.
1. En **Customer gateway (Puerta de enlace de cliente)**, seleccione **Existing (Existente)**. A continuación, elija la puerta de enlace de cliente que creó anteriormente.
1. Seleccione una de las opciones de direccionamiento en función de si el dispositivo de gateway de cliente da soporte al protocolo de gateway fronteriza (BGP):
+ Si el dispositivo de gateway de cliente da soporte a BGP, elija **Dynamic (requires BGP) (Dinámico [requiere BGP])**.
+ Si el dispositivo de gateway de cliente no da soporte a BGP, elija **Static (Estático)**.
1. En la **versión Túnel dentro de IP**, especifique si los túneles VPN admiten IPv4 IPv6 tráfico.
1. (Opcional) Si especificó **IPv4**la **versión Túnel dentro de IP**, también puede especificar los rangos de IPv4 CIDR para la puerta de enlace del cliente y AWS los lados que pueden comunicarse a través de los túneles VPN. El valor predeterminado es `0.0.0.0/0`.
Si especificó **IPv6**la **versión Tunnel inside IP**, si lo desea, puede especificar los rangos de IPv6 CIDR para la puerta de enlace del cliente y AWS los lados que pueden comunicarse a través de los túneles VPN. El valor predeterminado para ambos rangos es `::/0`.
1. Para el **tipo de dirección IP externa**, elija **PrivateIpv4**.
1. En el **campo ID del adjunto de transporte**, elija el adjunto de la pasarela de tránsito correspondiente a la Direct Connect pasarela correspondiente.
1. Elija **Create VPN Connection** (Crear conexión VPN).
**nota**
La opción **Enable acceleration (Habilitar aceleración)** no es aplicable a las conexiones de VPN sobre Direct Connect.
**Para crear una gateway de cliente mediante la línea de comando o API**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(API de consultas de Amazon EC2)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)