Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS Site-to-Site VPN escenarios arquitectónicos
A continuación, presentamos varios escenarios en los que puede crear varias conexiones de VPN con uno o varios dispositivos de gateway de cliente.
**Varias conexiones de VPN que utilizan el mismo dispositivo de gateway de cliente**
Puede crear conexiones VPN adicionales desde su ubicación local a otra VPCs mediante el mismo dispositivo de puerta de enlace del cliente. Puede reutilizar la misma dirección IP de gateway de cliente para cada una de estas conexiones de VPN.
**Varios dispositivos de puerta de enlace del cliente a una única puerta de enlace privada virtual ()Site-to-Site VPN CloudHub**
Puede establecer varias conexiones de VPN a una única gateway privada virtual desde varios dispositivos de gateway de cliente. Esto le permite tener varias ubicaciones conectadas a la AWS VPN CloudHub. Para obtener más información, consulte [Comunicación segura entre AWS Site-to-Site VPN conexiones mediante VPN CloudHub](VPN_CloudHub.md). Si tiene dispositivos de gateway de cliente en distintas ubicaciones geográficas, cada dispositivo debería anunciar un único conjunto de rangos IP específicos de la ubicación.
**Conexión de VPN redundante que usa otro dispositivo de gateway de cliente**
Para protegerse contra la pérdida de conectividad en caso de que el dispositivo de gateway de cliente deje de estar disponible, puede configurar otra conexión de VPN que use otro dispositivo de gateway de cliente. Para obtener más información, consulte [Conexiones de AWS Site-to-Site VPN redundantes para conmutación por error](vpn-redundant-connection.md). Al establecer dispositivos de gateway de cliente redundantes en una única ubicación, ambos dispositivos deberían anunciar los mismos rangos IP.
Las siguientes son arquitecturas de Site-to-Site VPN comunes:
+ [Conexiones de VPN únicas y múltiples](Examples.md)
+ [Conexiones de AWS Site-to-Site VPN redundantes para conmutación por error](vpn-redundant-connection.md)
+ [Comunicaciones seguras entre conexiones VPN mediante VPN CloudHub](VPN_CloudHub.md)
# Ejemplos de conexión de VPN única y múltiple de AWS Site-to-Site VPN
En los diagramas siguientes, se muestra una conexión única de Site-to-Site VPN y otra múltiple.
**Topics**
+ [Conexión única de Site-to-Site VPN](#SingleVPN)
+ [Conexión de Site-to-Site VPN con una gateway de tránsito](#SingleVPN-transit-gateway)
+ [Conexiones múltiples de Site-to-Site VPN](#MultipleVPN)
+ [Conexiones múltiples de Site-to-Site VPN con una gateway de tránsito](#MultipleVPN-transit-gateway)
+ [Conexión de Site-to-Site VPN con Direct Connect](#vpn-direct-connect)
+ [Conexión de Site-to-Site VPN de IP privada con Direct Connect](#private-ip-direct-connect)
## Conexión única de Site-to-Site VPN
La VPC dispone de una puerta de enlace privada virtual asociada y su red en las instalaciones (remota) incluye un dispositivo de puerta de enlace de cliente que deberá configurar para habilitar la conexión VPN. Debe configurar tablas de enrutamiento de VPC para que el tráfico procedente de la VPC vinculada a su red vaya a la puerta de enlace privada virtual.
![\[Una VPC con una puerta de enlace privada virtual asociada y una conexión a su red en las instalaciones.\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)
Si desea ver los pasos necesarios para configurar este escenario, consulte [Comience con AWS Site-to-Site VPN](SetUpVPNConnections.md).
## Conexión de Site-to-Site VPN con una gateway de tránsito
La VPC dispone de una puerta de enlace de tránsito asociada y la red en las instalaciones (remota) contiene un dispositivo de puerta de enlace de cliente que deberá configurar para habilitar la conexión de VPN. Debe configurar tablas de enrutamiento de VPC para que el tráfico procedente de la VPC vinculada a su red vaya a la puerta de enlace de tránsito.
![\[Conexión de Site-to-Site VPN única con una puerta de enlace de tránsito.\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)
Si desea ver los pasos necesarios para configurar este escenario, consulte [Comience con AWS Site-to-Site VPN](SetUpVPNConnections.md).
## Conexiones múltiples de Site-to-Site VPN
La VPC tiene asociada una gateway privada virtual y hay varias conexiones de Site-to-Site VPN con distintas ubicaciones locales. Configure el direccionamiento para que el tráfico procedente de la VPC vinculada a su red se dirija a la gateway privada virtual.
![\[Diseño de conexiones múltiples de Site-to-Site VPN\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/branch-offices-vgw.png)
Si crea varias conexiones de Site-to-Site VPN con una única VPC, puede configurar una segunda gateway de cliente para crear una conexión redundante con la misma ubicación externa. Para obtener más información, consulte [Conexiones de AWS Site-to-Site VPN redundantes para conmutación por error](vpn-redundant-connection.md).
También puede utilizar esta situación para crear conexiones de Site-to-Site VPN con varias ubicaciones geográficas y proporcionar una comunicación segura entre sitios. Para obtener más información, consulte [Comunicación segura entre AWS Site-to-Site VPN conexiones mediante VPN CloudHub](VPN_CloudHub.md).
## Conexiones múltiples de Site-to-Site VPN con una gateway de tránsito
La VPC tiene una gateway de tránsito conectada y hay varias conexiones de Site-to-Site VPN con diversas ubicaciones locales. Tiene que configurar el direccionamiento para que el tráfico procedente de la VPC vinculada a la red se direccione a la gateway de tránsito.
![\[Conexiones múltiples de Site-to-Site VPN con una gateway de tránsito\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/branch-offices-tgw.png)
Si crea varias conexiones de Site-to-Site VPN con una única gateway de tránsito, puede configurar una segunda gateway de cliente para crear una conexión redundante con la misma ubicación externa.
También puede utilizar esta situación para crear conexiones de Site-to-Site VPN con varias ubicaciones geográficas y proporcionar una comunicación segura entre sitios.
## Conexión de Site-to-Site VPN con Direct Connect
La VPC tiene una gateway privada virtual conectada y se conecta a su red en las instalaciones (remota) a través de AWS Direct Connect. Puede configurar una interfaz virtual pública de Direct Connect para establecer una conexión de red dedicada entre la red y los recursos públicos de AWS a través de una puerta de enlace privada virtual. Configure el enrutamiento para que cualquier tráfico de la VPC vinculada a la red se dirija a la puerta de enlace privada virtual y a la conexión de Direct Connect.
![\[Conexión de Site-to-Site VPN con Direct Connect\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/vpn-direct-connect.png)
Cuando tanto Direct Connect como la conexión de VPN están configurados en la misma puerta de enlace privada virtual, agregar o quitar objetos podría provocar que la puerta de enlace privada virtual entre en el estado "conectando". Esto indica que se está realizando un cambio en el enrutamiento interno que cambiará entre Direct Connect y la conexión de VPN para minimizar las interrupciones y la pérdida de paquetes. Cuando esto se completa, la gateway privada virtual vuelve al estado “adjunto”.
## Conexión de Site-to-Site VPN de IP privada con Direct Connect
Con una VPN de sitio a sitio de IP privada puede cifrar el tráfico de Direct Connect entre su red en las instalaciones y AWS sin usar direcciones IP públicas. La VPN de IP privada a través de Direct Connect garantiza que el tráfico entre AWS y las redes en las instalaciones es seguro y privado, lo que permite a los clientes cumplir los mandatos normativos y de seguridad.
![\[Conexión de Site-to-Site VPN de IP privada con Direct Connect\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/private-ip-dx.png)
Para obtener más información, consulte la siguiente entrada de blog: [Introducing AWS Site-to-Site VPN Private IP VPNs](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-private-ip-vpns/) (Introducción a las VPN con IP privadas de AWS Site-to-Site VPN VPN).
# Comunicación segura entre AWS Site-to-Site VPN conexiones mediante VPN CloudHub
Si tiene varias AWS Site-to-Site VPN conexiones, puede proporcionar una comunicación segura entre sitios mediante la AWS VPN CloudHub. Esto permite que los sitios puedan comunicarse entre sí y no solo con los recursos de la VPC. La VPN CloudHub funciona con un hub-and-spoke modelo simple que puede usar con o sin una VPC. Este diseño es adecuado si tiene varias sucursales y conexiones a Internet existentes y desea implementar un hub-and-spoke modelo práctico y potencialmente económico para la conectividad principal o de respaldo entre estos sitios.
## Descripción general de
El siguiente diagrama muestra la CloudHub arquitectura de la VPN. Las líneas discontinuas muestran el tráfico de red entre sitios remotos que se enruta a través de las conexiones VPN. Los sitios no pueden tener rangos de IP solapados.
![\[CloudHub diagrama de arquitectura\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/AWS_VPN_CloudHub-diagram.png)
En esta situación, haga lo siguiente:
1. Cree una única gateway privada virtual.
1. Cree varias gateway de cliente, cada una con la dirección IP pública de la gateway. Debe utilizar un Número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP) único para cada gateway de cliente.
1. Cree una conexión Site-to-Site VPN enrutada dinámicamente desde la puerta de enlace de cada cliente a la puerta de enlace privada virtual común.
1. Configure los dispositivos de gateway de cliente para que indiquen un prefijo específico del sitio (como 10.0.0.0/24, 10.0.1.0/24) a la gateway privada virtual. Estos anuncios de direccionamiento se reciben y se vuelven a anunciar a cada parte de BGP, lo que permite que cada sitio pueda enviar y recibir datos de otros sitios. Esto se hace mediante las instrucciones de red de los archivos de configuración de la VPN para la conexión Site-to-Site VPN. Las instrucciones de red varían en función del tipo de router que utilice.
1. Configure las rutas en las tablas de enrutamiento de subred para permitir que las instancias de la VPC se comuniquen con los sitios. Para obtener más información, consulte [(Gateway privada virtual) Habilitar la propagación de rutas en la tabla de enrutamiento](SetUpVPNConnections.md#vpn-configure-routing). Puede configurar una ruta agregada en la tabla de enrutamiento (por ejemplo, 10.0.0.0/16). Utilice prefijos más específicos entre los dispositivos de gateway de cliente y la gateway privada virtual.
Los sitios que utilizan Direct Connect conexiones a la puerta de enlace privada virtual también pueden formar parte de la AWS VPN CloudHub. Por ejemplo, su sede corporativa en Nueva York puede tener una Direct Connect conexión a la VPC y sus sucursales pueden usar conexiones Site-to-Site VPN a la VPC. Las sucursales de Los Ángeles y Miami pueden enviar y recibir datos entre sí y con su sede corporativa, todo ello mediante la AWS VPN. CloudHub
## Precios
Para usar AWS una VPN CloudHub, paga las tarifas de conexión típicas de Amazon VPC Site-to-Site VPN. De este modo, se le facturará las tasas de conexión por cada hora que cada VPN permanezca conectada a la gateway privada virtual. Cuando envía datos de un sitio a otro mediante la AWS VPN CloudHub, el envío de datos desde su sitio a la puerta de enlace privada virtual no conlleva ningún coste. Solo pagará tasas de transferencia de datos de AWS estándar de los datos que se reenvíen desde la puerta de enlace privada virtual al punto de conexión.
Por ejemplo, si tiene un sitio en Los Ángeles y un segundo sitio en Nueva York y ambos sitios tienen una conexión Site-to-Site VPN a la puerta de enlace privada virtual, paga la tarifa por hora por cada conexión Site-to-Site VPN (por lo que si la tarifa fuera de 0,05\$1 por hora, sería un total de 0,10\$1 por hora). También pagas las tarifas de transferencia de AWS datos estándar por todos los datos que envíes de Los Ángeles a Nueva York (y viceversa) que atraviesen cada conexión Site-to-Site VPN. El tráfico de red enviado a través de la conexión Site-to-Site VPN a la puerta de enlace privada virtual es gratuito, pero el tráfico de red enviado a través de la conexión Site-to-Site VPN desde la puerta de enlace privada virtual al punto final se factura según la tarifa de transferencia de AWS datos estándar.
Para obtener más información, consulte [Site-to-Site Precios de las conexiones de VPN](https://aws.amazon.com/vpn/pricing/).
# Conexiones de AWS Site-to-Site VPN redundantes para conmutación por error
Para protegerse frente a la pérdida de conectividad que se produciría si su dispositivo de puerta de enlace de cliente dejara de estar disponible, puede configurar una segunda conexión de Site-to-Site VPN con la VPC y la puerta de enlace privada virtual utilizando otro dispositivo de puerta de enlace de cliente. El uso de dispositivos de puerta de enlace de cliente y conexiones de VPN redundantes permite realizar tareas de mantenimiento en uno de los dispositivos y, a la vez, mantener el flujo de tráfico a través de la segunda conexión de VPN.
En el siguiente diagrama se muestran dos conexiones de VPN. Cada conexión de VPN tiene sus propios túneles y su propia puerta de enlace de cliente.
![\[Conexiones de VPN redudantes a dos puertas de enlace de cliente para la misma red en las instalaciones.\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/Multiple_Gateways_diagram.png)
En esta situación, haga lo siguiente:
+ Configure otra conexión de Site-to-Site VPN utilizando la misma gateway privada virtual y creando una nueva gateway de cliente. La dirección IP de la gateway de cliente de la segunda conexión de Site-to-Site VPN debe estar disponible públicamente.
+ Configure el otro dispositivo de gateway de cliente. Ambos dispositivos deben anunciar los mismos rangos de IP a la gateway privada virtual. Utilizamos el direccionamiento de BGP para determinar la ruta del tráfico. Si se produce un error en un dispositivo de gateway de cliente, la gateway privada virtual dirigirá todo el tráfico al dispositivo de gateway de cliente que sí funciona.
Las conexiones de Site-to-Site VPN de direccionamiento dinámico utilizan el protocolo de Número de sistema autónomo (ASN) para intercambiar la información de direccionamiento entre las gateways de cliente y las gateways privadas virtuales. En las conexiones de Site-to-Site VPN con direccionamiento estático, es necesario que las rutas estáticas de la red remota se escriban en su lado de la gateway de cliente. La información acerca de las rutas que se especifica manualmente y que anuncia mediante BGP permite a las gateways de ambos extremos determinar qué túneles están disponibles para, de este modo, redireccionar el tráfico en caso de error. Por lo tanto, se recomienda configurar su red para que utilice la información de direccionamiento que proporciona BGP (si está disponible) y seleccionar una ruta alternativa. La configuración exacta dependerá de la arquitectura de su red.
Para obtener más información acerca de cómo crear y configurar una gateway de cliente y una conexión de Site-to-Site VPN, consulte [Comience con AWS Site-to-Site VPN](SetUpVPNConnections.md).