Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création d'une AWS Site-to-Site VPN connexion
Vous pouvez créer des connexions Site-to-Site VPN qui se connectent à des passerelles de transit ou à des réseaux mondiaux Cloud WAN. Les deux types de pièces jointes prennent en charge les IPv6 protocoles IPv4 et peuvent éventuellement utiliser des concentrateurs Site-to-Site VPN pour connecter plusieurs sites distants de manière rentable.
## Création d'une connexion VPN à l'aide de la console
**Pour créer une connexion VPN à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.
1. Choisissez **Create VPN connection** (Créer une connexion VPN).
1. (Facultatif) Pour **Identification de nom**, saisissez un nom pour la connexion. Une identification est alors créée avec la clé `Name` et la valeur que vous spécifiez.
1. Pour le **type de passerelle cible**, choisissez l'une des options suivantes :
+ **Passerelle privée virtuelle** : créez une nouvelle connexion VPN de passerelle privée virtuelle en choisissant une **passerelle privée virtuelle** existante.
+ **Passerelle de transit** : créez une nouvelle connexion VPN de passerelle de transit en choisissant une **passerelle de transit** existante. Pour plus d'informations sur la création d'une passerelle de transit, consultez [Passerelles de transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) dans *Passerelles de transit Amazon VPC*.
+ **Site-to-Site Concentrateur VPN** - Créez une nouvelle connexion au concentrateur Site-to-Site VPN en utilisant un concentrateur Site-to-Site VPN existant ou en créant un nouveau. Sélectionnez l’une des méthodes suivantes :
+ **Existant** : créez une nouvelle connexion Site-to-Site VPN au concentrateur VPN à l'aide d'un concentrateur existant.
+ **Nouveau** - Entrez un nom facultatif pour le concentrateur Site-to-Site VPN, puis choisissez la passerelle de transit à associer à celui-ci.
+ **Non associée** : créez une connexion VPN indépendante qui pourra ensuite être associée à Cloud WAN via la console ou l'API Network Manager. Pour plus d'informations sur les pièces jointes VPN et le Cloud WAN, consultez la section [Pièces jointes Site-to-site VPN dans le AWS Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html) dans le *Guide de l'utilisateur du AWS Cloud WAN*.
1. Pour **Passerelle client**, effectuez l'une des actions suivantes :
+ Pour utiliser une passerelle client existante, choisissez **Existing**, puis choisissez l'**ID de passerelle client**.
+ Pour créer une nouvelle passerelle client, choisissez **Nouveau**, puis procédez comme suit :
+ Pour l'**adresse IP**, entrez une adresse statique **IPv4**ou une **IPv6**adresse.
+ (Facultatif) Pour l'**ARN du certificat**, choisissez l'ARN de votre certificat privé (si vous utilisez l'authentification basée sur les certificats).
+ Dans **Version du moteur de cache**, saisissez le numéro d'ASN (Autonomous System Number) BGP (Border Gateway Protocol) de votre passerelle client. Pour de plus amples informations, veuillez consulter [Options de passerelle client](cgw-options.md).
1. Pour les **options de routage**, choisissez **Dynamic (nécessite BGP)** ou **Static**.
**Note**
Les connexions VPN Cloud WAN et les connexions VPN utilisant des concentrateurs ne prennent en charge que le routage BGP. Le routage statique n'est pas pris en charge pour ces types de connexion.
1. Pour le **stockage de clés pré-partagé**, choisissez **Standard** ou **Secrets Manager**. La sélection par défaut est **Standard**. Pour plus d'informations sur l'utilisation de AWS Secrets Manager, consultez [Sécurité](security.md).
1. Pour la **version Tunnel inside IP**, choisissez **IPv4**ou **IPv6**.
1. (Facultatif) Pour **Activer l'accélération**, cochez la case pour activer l'accélération. Pour de plus amples informations, veuillez consulter [Connexions VPN accélérées](accelerated-vpn.md).
Si vous activez l'accélération, nous créons deux accélérateurs qui sont utilisés par votre connexion VPN. Des frais supplémentaires s’appliquent.
1. (Facultatif) En fonction de la version de tunnel IP que vous avez choisie, effectuez l'une des opérations suivantes :
+ IPv4 — Pour le **CIDR IPv4 du réseau local**, spécifiez la plage d'adresses IPv4 CIDR du côté de la passerelle client (sur site) autorisée à communiquer via les tunnels VPN. Pour le ** IPv4 réseau distant CIDR**, choisissez la plage d'adresses CIDR du AWS côté autorisé à communiquer via des tunnels VPN. La valeur par défaut pour les deux champs est`0.0.0.0/0`.
+ IPv6 — Pour le **CIDR IPv6 du réseau local**, spécifiez la plage d'adresses IPv6 CIDR du côté de la passerelle client (sur site) autorisée à communiquer via les tunnels VPN. Pour le ** IPv6 réseau distant CIDR**, choisissez la plage d'adresses CIDR du AWS côté autorisé à communiquer via des tunnels VPN. La valeur par défaut pour les deux champs est `::/0`
1. Pour le **type d'adresse IP externe**, choisissez l'une des options suivantes :
+ **Public IPv4** - (par défaut) Utilise les IPv4 adresses du tunnel extérieur IPs.
+ **Privé IPv4** - Utilisez une IPv4 adresse privée pour une utilisation sur des réseaux privés.
+ **IPv6**- Utilisez IPv6 les adresses du tunnel extérieur IPs. Cette option nécessite que votre dispositif de passerelle client prenne en charge l' IPv6adressage.
**Note**
Si vous sélectionnez **IPv6**le type d'adresse IP externe, vous devez créer une passerelle client avec une IPv6 adresse
1. (Facultatif) Pour les **options du tunnel 1**, vous pouvez spécifier les informations suivantes pour chaque tunnel :
+ Un bloc IPv4 CIDR de taille /30 issu de la `169.254.0.0/16` plage des adresses du tunnel IPv4 intérieur.
+ Si vous avez spécifié **IPv6**pour la **version IP du tunnel intérieur**, un bloc d'adresse IPv6 CIDR /126 dans la `fd00::/8` plage des adresses du tunnel IPv6 intérieur.
+ La clé pré-partagée (PSK) IKE. Les versions suivantes sont prises en charge : IKEv1 ou IKEv2.
+ Pour modifier les options avancées de votre tunnel, choisissez **Modifier les options du tunnel**. Pour de plus amples informations, veuillez consulter [Options de tunnel VPN](VPNTunnels.md).
+ (Facultatif) Choisissez **Activer** pour que le **journal d'activité du tunnel** capture les messages du journal d' IPsec activité et les messages du protocole DDP.
+ (Facultatif) Choisissez **Activer pour le** **cycle de vie des terminaux du tunnel** afin de contrôler le calendrier des remplacements des terminaux. Pour plus d'informations sur le cycle de vie des points de terminaison du tunnel, consultez[Cycle de vie des points de terminaison de tunnel](tunnel-endpoint-lifecycle.md).
1. (Facultatif) Choisissez **les options du tunnel 2** et suivez les étapes précédentes pour configurer un deuxième tunnel.
1. Choisissez **Create VPN connection** (Créer une connexion VPN).
# Création d'une connexion à une passerelle de AWS Site-to-Site VPN transit à l'aide de la CLI ou de l'API
## Créez une connexion VPN à Transit Gateway à l'aide de la CLI
Utilisez la [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)commande et spécifiez l'ID de passerelle de transit pour l'`--transit-gateway-id`option.
L'exemple suivant illustre la création d'une connexion VPN avec un tunnel IPv6 externe IPs et un tunnel IPv6 interne IPs :
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--transit-gateway-id tgw-12312312312312312 \
--customer-gateway-id cgw-001122334455aabbc \
--options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
Exemple de réponse :
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-001122334455aabbc",
"Type": "ipsec.1",
"TransitGatewayId": "tgw-12312312312312312",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false,
"OutsideIPAddressType": "Ipv6",
"TunnelInsideIpVersion": "ipv6"
}
}
}
```
## Créez une connexion VPN à Transit Gateway à l'aide de l'API
Vous pouvez créer une connexion VPN à l'aide de l'API Amazon EC2. Cette section fournit des exemples de messages de demande et de réponse pour créer une connexion VPN de passerelle de transit à l'aide de l'API.
### Conditions préalables
Avant de créer une connexion VPN à l'aide de l'API, assurez-vous d'avoir :
+ Une passerelle de transport en commun créée et disponible
+ Une passerelle client configurée avec les détails de votre appareil sur site
L'exemple suivant montre comment créer une connexion VPN à l'aide de l'action `CreateVpnConnection` API :
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&TransitGatewayId=tgw-12345678901234567
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
Cet exemple crée une connexion VPN avec routage dynamique (BGP) entre la passerelle de transit spécifiée et la passerelle client.
Une réponse API réussie renvoie les détails de la connexion VPN :
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vpn-1a2b3c4d5e6f78901
pending
cgw-12345678901234567
ipsec.1
tgw-12345678901234567
VPN
false
```
La réponse inclut l'ID de connexion VPN, l'état actuel et les détails de configuration. La connexion sera initialement dans un état « en attente » pendant qu'AWS approvisionne les tunnels VPN.
# Créez une connexion AWS Site-to-Site VPN Cloud WAN à l'aide de la CLI ou de l'API
Vous pouvez créer des connexions Site-to-Site VPN entre votre réseau local et votre réseau WAN dans AWS le cloud en suivant la procédure ci-dessous. Pour plus d'informations, consultez la section [Pièces jointes Site-to-site VPN dans AWS le Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html) dans le *Guide de l'utilisateur du AWS Cloud WAN*.
## Créez une connexion VPN au Cloud WAN à l'aide de la CLI
Utilisez la [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)commande pour créer une connexion VPN qui sera ultérieurement connectée à un réseau mondial Cloud WAN. Cela crée une connexion VPN indépendante qui peut ensuite être associée au Cloud WAN via la console ou l'API Network Manager.
**Conditions préalables**
Avant de créer une connexion VPN Cloud WAN, assurez-vous de disposer des éléments suivants :
+ `customer-gateway-id`- Une ressource de passerelle client existante (`cgw-xxxxxxxxx`) qui représente votre appareil VPN sur site.
+ **Réseau mondial Cloud WAN - Un réseau** mondial Cloud WAN doit être créé et configuré avec des segments de réseau appropriés.
+ **Configuration BGP** - Les connexions VPN Cloud WAN nécessitent un routage BGP ; le routage statique n'est pas pris en charge. Vous devez définir `StaticRoutesOnly=false` dans le paramètre options
Cette commande crée une connexion VPN sans spécifier de passerelle cible. La connexion sera isolée et pourra ensuite être associée à votre réseau mondial Cloud WAN via la console ou l'API Network Manager. L'`StaticRoutesOnly=false`option active le routage BGP, qui est obligatoire pour les pièces jointes au VPN Cloud WAN, car le routage statique n'est pas pris en charge.
L'exemple suivant crée une connexion VPN indépendante pour Cloud WAN :
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-0123456789abcdef0 \
--options StaticRoutesOnly=false
```
La réponse renvoie ce qui suit :
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-0123456789abcdef0",
"Type": "ipsec.1",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
Après avoir créé la connexion VPN, vous pouvez l'associer à votre réseau mondial Cloud WAN à l'aide de la console Network Manager ou de l'appel `create-site-to-site-vpn-attachment` d'API.
## Créez une connexion VPN Cloud WAN à l'aide de l'API
Vous pouvez utiliser l'API EC2 pour créer une connexion VPN pour l'intégration du Cloud WAN. Cela implique de passer un appel d'`CreateVpnConnection`API qui crée une connexion VPN indépendante, qui peut ensuite être associée à votre réseau mondial Cloud WAN.
La demande d'API crée une connexion VPN sans spécifier de passerelle cible, la laissant dans un état non connecté prêt à être intégré au Cloud WAN. La connexion utilise le routage BGP, qui est requis pour les pièces jointes au VPN Cloud WAN.
L'exemple suivant montre la requête HTTP pour créer une connexion VPN Cloud WAN :
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConnection
&Type=ipsec.1
&CustomerGatewayId=cgw-0123456789abcdef0
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
L'API renvoie une réponse réussie contenant les détails de la connexion VPN. La connexion sera dans un `pending` état initial lors de AWS l'approvisionnement des tunnels VPN, moment auquel le statut passe à`available`.
```
12345678-1234-1234-1234-123456789012
vpn-0abcdef1234567890
pending
cgw-0123456789abcdef0
ipsec.1
VPN
false
```
**Détails de la réponse**
La réponse de l'API fournit les informations clés suivantes :
+ **vpnConnectionId**- L'identifiant unique de votre connexion VPN (par exemple,`vpn-0abcdef1234567890`) que vous utiliserez pour l'associer au Cloud WAN
+ **état** - Initialement « en attente » pendant qu'AWS approvisionne les tunnels VPN, puis passe à « disponible » lorsqu'il est prêt à être rattaché
+ **catégorie** - Affiche « VPN » indiquant qu'il s'agit d'une connexion VPN non connectée adaptée à l'intégration Cloud WAN
+ **staticRoutesOnly**- Réglez sur « false » pour activer le routage BGP, qui est requis pour les pièces jointes au VPN Cloud WAN
Une fois que la connexion VPN atteint l'état « disponible », vous pouvez l'associer à votre réseau mondial Cloud WAN à l'aide de l'`CreateSiteToSiteVpnAttachment`API Network Manager ou de la console AWS.
# Création d'une connexion au AWS Site-to-Site VPN concentrateur à l'aide de la CLI ou de l'API
## Créez une connexion Site-to-Site VPN Concentrator à l'aide de la CLI
Après avoir créé un concentrateur Site-to-Site VPN, vous devez établir des connexions VPN individuelles entre vos sites distants et le concentrateur Site-to-Site VPN. Chaque site distant nécessite sa propre connexion VPN qui fait référence à l'ID du concentrateur Site-to-Site VPN. Cela permet à plusieurs sites distants de partager la même infrastructure de concentrateur Site-to-Site VPN tout en maintenant des tunnels sécurisés séparés pour chaque site.
Pour établir une connexion VPN à l'aide d'un concentrateur Site-to-Site VPN, spécifiez le concentrateur Site-to-Site VPN au lieu de la passerelle de transit lors de la création de la connexion VPN. L'exemple suivant crée une connexion VPN à l'aide d'un concentrateur Site-to-Site VPN :
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-123456789 \
--vpn-concentrator-id vcn-0123456789abcdef0
```
Une réponse réussie renvoie ce qui suit :
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-123456789",
"Type": "ipsec.1",
"VpnConcentratorId": "vcn-0123456789abcdef0",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
## Créez une connexion Site-to-Site VPN Concentrator à l'aide de l'API
Vous pouvez créer une connexion VPN qui utilise un concentrateur Site-to-Site VPN à l'aide de l'API Amazon EC2. Cette section fournit des exemples de messages de demande et de réponse pour créer une connexion VPN avec un concentrateur Site-to-Site VPN.
Avant de créer une connexion VPN avec un concentrateur Site-to-Site VPN à l'aide de l'API, assurez-vous d'avoir :
+ Un concentrateur Site-to-Site VPN créé et disponible
+ Une passerelle client configurée pour votre site distant
+ Configuration réseau autorisant IPsec le trafic entre votre site et AWS
L'exemple suivant montre comment créer une connexion VPN à l'aide d'un concentrateur Site-to-Site VPN avec l'action `CreateVpnConnection` API :
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&VpnConcentratorId=vcn-0123456789abcdef0
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
Cet exemple crée une connexion VPN entre le concentrateur Site-to-Site VPN spécifié et la passerelle client. Le concentrateur Site-to-Site VPN agit en tant que point de terminaison AWS secondaire, permettant à plusieurs sites distants de se connecter via un hub centralisé.
Une réponse API réussie renvoie les détails de la connexion VPN avec les informations du concentrateur Site-to-Site VPN :
```
8b73d60f-458f-5gc5-a442-7f9fEXAMPLE
vpn-9z8y7x6w5v4u32109
pending
cgw-12345678901234567
ipsec.1
vcn-0123456789abcdef0
VPN
false
```
La réponse inclut l'identifiant de connexion VPN et fait référence à l'identifiant du concentrateur Site-to-Site VPN au lieu d'un identifiant de passerelle de transit. Cette connexion permet à votre site distant de communiquer avec d'autres sites connectés au même concentrateur Site-to-Site VPN, ce qui permet d'activer les hub-and-spoke topologies réseau.
# Afficher les AWS Site-to-Site VPN connexions
## Afficher les connexions VPN à l'aide de la console
Vous pouvez consulter vos connexions VPN et leurs détails à l'aide de l'AWS Management Console. Cela fournit une interface visuelle pour surveiller l'état de la connexion, l'état du tunnel et les détails de configuration.
**Pour afficher les connexions VPN à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Site-to-Site VPN Connections**.
1. Sélectionnez votre connexion VPN pour afficher des informations détaillées, notamment :
+ État et statut de la connexion
+ Détails du tunnel et état de santé
+ Informations sur l'itinéraire
+ Paramètres de configuration
La console affiche des informations d'état en temps réel et vous permet de surveiller la connectivité des tunnels, de consulter les tables de routage et d'accéder aux détails de configuration pour le dépannage.
## Afficher les connexions VPN à l'aide de la CLI
Utilisez la CLI AWS pour interroger et récupérer des informations détaillées sur vos connexions VPN par programmation. Cette méthode permet l'automatisation, la création de scripts et l'intégration aux outils de surveillance.
Pour interroger toutes les connexions VPN de votre compte AWS et de votre région actuels, exécutez la `describe-vpn-connections` commande sans paramètres. Toutefois, si vous souhaitez consulter les détails d'une connexion VPN en particulier, vous devez connaître l'identifiant de connexion VPN.
Pour obtenir des informations détaillées sur une connexion VPN spécifique, spécifiez l'ID de connexion en tant que paramètre. L'exemple suivant montre une demande visant à afficher les détails d'une connexion VPN spécifique.
```
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0
```
La réponse inclut des informations complètes sur la connexion VPN, notamment les options de tunnel, les détails du routage et l'état actuel.
+ `State`- L'état actuel de la connexion VPN
+ `TunnelOptions`- Configuration et état de chaque tunnel
+ `OutsideIpAddress`- Les adresses IP publiques des tunnels VPN
+ `Routes`- Informations de routage pour la connexion
Exemple d'extrait de réponse montrant les principaux détails de connexion :
```
{
"VpnConnections": [
{
"VpnConnectionId": "vpn-1234567890abcdef0",
"State": "available",
"CustomerGatewayId": "cgw-1234567890abcdef0",
"Type": "ipsec.1",
"Options": {
"StaticRoutesOnly": false,
"TunnelOptions": [
{
"OutsideIpAddress": "203.0.113.12",
"TunnelInsideCidr": "169.254.10.0/30",
"PreSharedKey": "example_key_1234567890abcdef0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
},
{
"OutsideIpAddress": "203.0.113.34",
"TunnelInsideCidr": "169.254.11.0/30",
"PreSharedKey": "example_key_0987654321fedcba0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
}
]
}
}
]
}
```
## Afficher les connexions VPN à l'aide de l'API
Passez des appels d'API directs au EC2 service Amazon pour récupérer les informations de connexion VPN. Cette approche offre une flexibilité maximale pour les applications personnalisées et les intégrations programmatiques.
L'action `DescribeVpnConnections` API interroge et renvoie des informations détaillées sur une ou plusieurs connexions VPN. Vous pouvez appliquer des filtres par ID de connexion, par état ou par d'autres attributs pour affiner vos résultats.
L'exemple suivant montre un exemple de demande visant à fournir des informations sur une connexion VPN unique.
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20230101/us-east-1/ec2/aws4_request, SignedHeaders=host;x-amz-date, Signature=example_signature
Action=DescribeVpnConnections
&VpnConnectionId.1=vpn-1234567890abcdef0
&Version=2016-11-15
```
La réponse renvoie des informations sur cette connexion VPN.
```
12345678-1234-1234-1234-123456789012
-
vpn-1234567890abcdef0
available
cgw-1234567890abcdef0
ipsec.1
false
-
203.0.113.12
169.254.10.0/30
example_key_1234567890abcdef0
-
203.0.113.34
169.254.11.0/30
example_key_0987654321fedcba0
```