Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Comment AWS Site-to-Site VPN fonctionne
Une connexion Site-to-Site VPN comprend les éléments suivants :
+ Une [passerelle réseau privé virtuel](#VPNGateway) ou une [passerelle de transit](#Transit-Gateway)
+ Un [périphérique de passerelle client](#CustomerGatewayDevice)
+ Une [passerelle client](#CustomerGateway)
La connexion VPN propose deux tunnels VPN entre une passerelle privée virtuelle ou une passerelle de transit sur le AWS côté, et une passerelle client sur site.
Pour plus d'informations sur les quotas Site-to-Site VPN, consultez[AWS Site-to-Site VPN quotas](vpn-limits.md).
## Passerelle réseau privé virtuel
Une *passerelle privée virtuelle* est le concentrateur Site-to-Site VPN situé du côté Amazon de la connexion Site-to-Site VPN. Vous créez une passerelle privée virtuelle et vous l'associez à un cloud privé virtuel (VPC) avec des ressources qui doivent accéder à la Site-to-Site connexion VPN.
Le schéma suivant montre une connexion VPN entre un VPC et votre réseau sur site à l'aide d'une passerelle réseau privé virtuel.
![\[Un VPC avec une passerelle réseau privé virtuel attachée et une connexion VPN à votre réseau sur site.\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)
Lorsque vous créez une passerelle réseau privé virtuel, vous pouvez spécifier le numéro d'ASN (Autonomous System Number) privé pour le côté Amazon de la passerelle. Si vous ne spécifiez pas d'ASN, la passerelle réseau privé virtuel est créée avec l'ASN par défaut (64512). Une fois la passerelle réseau privé virtuel créée, vous ne pouvez pas modifier l'ASN. Pour vérifier l'ASN de votre passerelle privée virtuelle, consultez ses détails sur la page **Passerelles privées virtuelles** de la console Amazon VPC, ou utilisez la commande. [describe-vpn-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-gateways.html) AWS CLI
**Note**
Les passerelles privées virtuelles ne prennent pas en charge IPv6 les connexions Site-to-Site VPN. Si vous avez besoin d' IPv6 assistance, utilisez une passerelle de transit ou un Cloud WAN pour votre connexion VPN.
## Passerelle de transit
Une passerelle de transit est un hub de transit que vous pouvez utiliser pour interconnecter votre réseau local VPCs et celui de votre réseau local. Pour plus d'informations, consultez [Passerelles de transit Amazon VPC](https://docs.aws.amazon.com/vpc/latest/tgw/). Vous pouvez créer une connexion Site-to-Site VPN en tant que pièce jointe sur une passerelle de transit.
Le schéma suivant montre une connexion VPN entre plusieurs VPCs et votre réseau local à l'aide d'une passerelle de transit. La passerelle de transit comporte trois attachements de VPC et un attachement de VPN.
![\[Une passerelle de transit avec trois attachements de VPC et un attachement de VPN.\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)
Votre connexion Site-to-Site VPN sur une passerelle de transit peut prendre en charge IPv4 le IPv6 trafic à l'intérieur des tunnels VPN (adresses IP internes). En outre, les passerelles de transit prennent en charge les IPv6 adresses IP des tunnels extérieurs. Pour de plus amples informations, veuillez consulter [IPv4 et IPv6 trafic entrant AWS Site-to-Site VPN](ipv4-ipv6.md).
Vous pouvez modifier la passerelle cible d'une connexion Site-to-Site VPN d'une passerelle privée virtuelle à une passerelle de transit. Pour de plus amples informations, veuillez consulter [Modifier la passerelle cible d'une AWS Site-to-Site VPN connexion](modify-vpn-target.md).
## Périphérique de passerelle client
Un *dispositif de passerelle client* est un appareil physique ou une application logicielle qui se trouve de votre côté de la connexion Site-to-Site VPN. Vous configurez l'appareil pour qu'il fonctionne avec la connexion Site-to-Site VPN. Pour de plus amples informations, veuillez consulter [AWS Site-to-Site VPN dispositifs de passerelle client](your-cgw.md).
Par défaut, votre dispositif de passerelle client doit ouvrir les tunnels pour votre connexion Site-to-Site VPN en générant du trafic et en lançant le processus de négociation IKE (Internet Key Exchange). Vous pouvez configurer votre connexion Site-to-Site VPN pour spécifier qui AWS doit plutôt lancer le processus de négociation IKE. Pour de plus amples informations, veuillez consulter [AWS Site-to-Site VPN options d'initiation du tunnel](initiate-vpn-tunnels.md).
Si vous utilisez des adresses IP IPv6 de tunnel externe, votre dispositif de passerelle client doit prendre en charge l' IPv6 adressage et être en mesure d'établir des IPsec tunnels avec des IPv6 points de terminaison.
## Passerelle client
Une *passerelle client* est une ressource que vous créez dans AWS et qui représente le périphérique de passerelle client dans votre réseau local. Lorsque vous créez une passerelle client, vous fournissez des informations sur votre appareil à AWS. Pour de plus amples informations, veuillez consulter [Options de passerelle client pour votre AWS Site-to-Site VPN connexion](cgw-options.md).
![\[Une passerelle client et un périphérique de passerelle client.\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/vpn-how-it-works-cgw.png)
Pour utiliser Amazon VPC avec une connexion Site-to-Site VPN, vous ou votre administrateur réseau devez également configurer le dispositif ou l'application de passerelle client sur votre réseau distant. Lorsque vous créez la connexion Site-to-Site VPN, nous vous fournissons les informations de configuration requises et c'est généralement votre administrateur réseau qui effectue cette configuration. Pour plus d'informations sur les exigences et la configuration de la passerelle client, consultez [AWS Site-to-Site VPN dispositifs de passerelle client](your-cgw.md).
### IPv6 passerelle client
Lorsque vous créez une passerelle client à utiliser avec un tunnel IPv6 externe IPs, vous spécifiez une IPv6 adresse au lieu d'une IPv4 adresse. Vous pouvez créer une passerelle IPv6 client à l'aide de la console AWS de gestion ou de la AWS CLI.
Pour créer une passerelle IPv6 client à l'aide de la AWS CLI, utilisez la commande suivante :
```
aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```
L' IPv6 adresse doit être une adresse valide et routable par Internet pour votre IPv6 dispositif de passerelle client.
## IPv6 Connexions VPN
Site-to-Site Les connexions VPN prennent en charge les IPv6 configurations suivantes :
+ *IPv4 tunnel extérieur avec paquets IPv4 internes* : fonctionnalité IPv4 VPN de base prise en charge sur Virtual Private Gateway (VGW), Transit Gateway (TGW) et Cloud WAN.
+ *IPv4 tunnel extérieur avec paquets IPv6 internes - Autorise les* IPv6 applications/le transport dans le tunnel VPN. Pris en charge sur TGW et Cloud WAN (non pris en charge sur VGW).
+ *IPv6 tunnel extérieur avec paquets IPv6 internes* - Permet une IPv6 migration complète avec des IPv6 adresses pour le tunnel externe IPs et le paquet interne IPs. Pris en charge sur TGW et Cloud WAN.
+ *IPv6 tunnel extérieur avec paquets IPv4 internes* - Permet l'adressage du tunnel IPv6 externe tout en prenant en charge IPv4 les applications existantes au sein du tunnel. Pris en charge sur TGW et Cloud WAN.
Pour créer une connexion VPN avec un tunnel IPv6 extérieur IPs, vous devez le spécifier `OutsideIPAddressType=Ipv6` lors de la création de la connexion VPN. AWS configure automatiquement les IPv6 adresses des tunnels extérieurs pour le côté AWS des tunnels VPN.
Exemple de commande CLI pour créer une connexion VPN avec un tunnel IPv6 externe IPs et un tunnel IPv6 interne IPs :
```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
Vous pouvez consulter les IPv6 adresses attribuées à votre connexion VPN à l'aide de la commande `describe-vpn-connection` CLI.
# Options de tunnel pour votre AWS Site-to-Site VPN connexion
Vous utilisez une connexion Site-to-Site VPN pour connecter votre réseau distant à un VPC. Chaque connexion Site-to-Site VPN possède deux tunnels, chaque tunnel utilisant une adresse IP publique unique. Il est important de configurer deux tunnels pour la redondance. Lorsqu'un tunnel devient indisponible (par exemple, en cas d'arrêt pour maintenance), le trafic réseau est automatiquement acheminé vers le tunnel disponible pour cette connexion Site-to-Site VPN spécifique.
Le schéma suivant illustre les deux tunnels d'une connexion VPN. Chaque tunnel se termine dans une zone de disponibilité différente afin d'améliorer la disponibilité. Le trafic provenant du réseau local AWS utilise les deux tunnels. Le trafic AWS en provenance du réseau local préfère l'un des tunnels, mais peut automatiquement basculer vers l'autre tunnel en cas de défaillance AWS latérale.
![\[Les deux tunnels d'une connexion VPN entre une passerelle réseau privé virtuel et une passerelle client.\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/Multiple_VPN_Tunnels_diagram.png)
Lorsque vous créez une connexion Site-to-Site VPN, vous téléchargez un fichier de configuration spécifique à votre dispositif de passerelle client qui contient des informations pour configurer l'appareil, notamment des informations pour configurer chaque tunnel. Vous pouvez éventuellement spécifier vous-même certaines options du tunnel lorsque vous créez la connexion Site-to-Site VPN. Sinon, AWS fournit des valeurs par défaut.
## Options de bande passante du tunnel
Vous pouvez configurer la capacité de bande passante de vos tunnels VPN :
+ **Bande passante standard** : jusqu'à 1,25 Gbit/s par tunnel (par défaut)
+ **Tunnel à large bande passante (LBT)** : jusqu'à 5 Gbit/s par tunnel
Les tunnels à large bande passante ne sont disponibles que pour les connexions VPN connectées à Transit Gateway ou Cloud WAN. Pour de plus amples informations, veuillez consulter [Tunnels à large bande passante](#large-bandwidth-tunnels).
**Note**
Site-to-Site Les points de terminaison du tunnel VPN évaluent les propositions provenant de votre passerelle client en commençant par la valeur configurée la plus faible de la liste ci-dessous, quelle que soit la commande de proposition émanant de la passerelle client. Vous pouvez utiliser la `modify-vpn-connection-options` commande pour restreindre la liste des options que les AWS points de terminaison accepteront. Pour plus d'informations, consultez le [modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html)manuel *Amazon EC2 Command Line Reference*.
## Tunnels à large bande passante
Les tunnels à large bande passante vous permettent de configurer des tunnels Site-to-Site VPN qui prennent en charge jusqu'à 5 Gbit/s de bande passante par tunnel, contre 1,25 Gbit/s standard. Des tunnels à large bande passante sont disponibles pour les connexions VPN connectées à Transit Gateway ou Cloud WAN. Cela élimine ou réduit le besoin de déployer des protocoles complexes tels que l'ECMP (Equal Cost Multi Path) pour obtenir une bande passante plus élevée et garantir une bande passante de tunnel constante de 5 Gbit/s par tunnel. Les tunnels à large bande passante sont conçus pour être utilisés dans les cas d'utilisation suivants :
+ **Connectivité des centres de données** : Supportez les applications hybrides gourmandes en bande passante, les migrations de mégadonnées ou les architectures de reprise après sinistre qui nécessitent une connectivité à haute capacité entre les charges de travail AWS et les centres de données sur site.
+ **Sauvegarde Direct Connect** : fournissez une connectivité de sauvegarde ou de superposition pour les circuits Direct Connect à haute capacité (10 Gbit/s et plus) vers les centres de données sur site ou les installations de colocation.
### Disponibilité dans les Régions
Les tunnels à large bande passante sont disponibles dans toutes les régions, à l'exception des suivantes :
**Non disponible Régions AWS**
| AWS Région | Description |
| --- | --- |
| ap-southeast-4 | Asie-Pacifique (Melbourne) |
| ca-west-1 | Canada-Ouest (Calgary) |
| eu-central-2 | Europe (Zurich) |
| il-central-1 | Israël (Tel Aviv) |
| me-central-1 | Moyen-Orient (EAU) |
### Exigences et limitations
+ Disponible uniquement pour les connexions VPN connectées à une passerelle de transit ou au Cloud WAN. Non pris en charge pour les pièces jointes de Virtual Private Gateway.
+ Les deux tunnels d'une connexion VPN doivent utiliser la même configuration de bande passante (1,25 Gbit/s ou 5 Gbit/s dans les deux cas).
+ Le VPN accéléré n'est pas pris en charge.
+ Toutes les autres fonctionnalités VPN de base, telles que le VPN IP privé, le routage et la maintenance des tunnels, fonctionnent de la même manière avec le tunnel à large bande passante.
+ La limite de MTU reste de 1 500 octets. [ En savoir plus](https://docs.aws.amazon.com/vpn/latest/s2svpn/cgw-best-practice.html) sur la façon d'ajuster les tailles MTU et MSS en fonction des algorithmes utilisés.
+ Vous ne pouvez pas modifier un tunnel existant pour utiliser des tunnels à large bande passante. Vous devez d'abord supprimer le tunnel, puis en créer un nouveau et définir la bande passante du tunnel sur **Large**.
+ Les passerelles client (CGWs) dotées uniquement d'une adresse IP fixe peuvent être utilisées dans les tunnels à large bande passante.
+ Les passerelles client (CGWs) sans adresse IP ne peuvent pas être utilisées avec des tunnels à large bande passante.
+ Les tunnels à large bande passante ne prennent pas en charge les modifications du port NAT-T lorsque le tunnel est établi.
+ Les paquets nécessitant une fragmentation peuvent être moins performants. [ En savoir plus](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html#vpn-quotas-mtu).
### Tarification des tunnels à large bande passante
Vous trouverez des informations sur les tarifs des connexions VPN à large bande passante sur la page de [tarification des AWS VPN](https://aws.amazon.com/vpn/pricing/#AWS_Site-to-Site_VPN_and_Accelerated_Site-to-Site_VPN_Connection_Pricing).
### Échelle au-delà de 5 Gbit/s
Pour les besoins en bande passante supérieurs à 5 Gbit/s par tunnel, vous pouvez utiliser l'ECMP sur plusieurs connexions VPN. Par exemple, vous pouvez atteindre une bande passante de 20 Gbit/s en déployant deux connexions VPN avec des tunnels à large bande passante et en utilisant l'ECMP dans les quatre tunnels.
# Configurer les options de tunnel pour AWS Site-to-Site VPN
Cette section fournit des conseils complets sur la configuration des options de tunnel pour les AWS Site-to-Site VPN connexions, en abordant les paramètres essentiels tels que la détection des pairs morts, les versions IKE et les paramètres de chiffrement. Vous pouvez personnaliser ces options de tunnel pour optimiser la sécurité, les performances et la compatibilité de votre connexion VPN avec votre infrastructure réseau sur site.
Voici les options de tunnel que vous pouvez configurer.
**Note**
Certaines options de tunnel comportent plusieurs valeurs par défaut. Par exemple, **les versions IKE** comportent deux valeurs d'option de tunnel par défaut : `ikev1` et`ikev2`. Toutes les valeurs par défaut seront associées à cette option de tunnel si vous ne choisissez pas de valeurs spécifiques. Cliquez pour supprimer toute valeur par défaut que vous ne souhaitez pas associer à l'option de tunnel. Par exemple, si vous souhaitez uniquement l'utiliser `ikev1` pour la version IKE, cliquez `ikev2` pour la supprimer.
**Expiration du délai d'attente de la fonction Dead Peer Detection (DPD)**
Nombre de secondes au bout duquel le délai d'attente de la fonction DPD arrive à expiration. Un délai d'expiration du DDP de 30 secondes signifie que le point de terminaison VPN considérera que l'homologue est mort 30 secondes après l'échec du premier maintien en vie. Vous pouvez spécifier 30 secondes ou plus.
Valeur par défaut : 40
**Action d'expiration du délai d'attente de la fonction Dead Peer Detection**
Action à effectuer après l'expiration du délai d'attente de la fonction Dead peer detection (DPD). Vous pouvez spécifier les valeurs suivantes :
+ `Clear` : fin de la session IKE lors de l'expiration du délai d'attente de la fonction Dead Peer Detection (arrêt du tunnel et effacement des routes)
+ `None` : aucune action lors de l'expiration du délai d'attente de la fonction Dead Peer Detection
+ `Restart` : redémarrage de la session IKE lors de l'expiration du délai d'attente de la fonction Dead Peer Detection
Pour plus d'informations, consultez [AWS Site-to-Site VPN options d'initiation du tunnel](initiate-vpn-tunnels.md).
Par défaut: `Clear`
**Options de journalisation de VPN**
Grâce aux journaux Site-to-Site VPN, vous pouvez accéder aux informations relatives à l'établissement du tunnel de sécurité IP (IPsec), aux négociations relatives à l'échange de clés Internet (IKE) et aux messages du protocole de détection des pairs morts (DDP).
Pour de plus amples informations, veuillez consulter [AWS Site-to-Site VPN journaux](monitoring-logs.md).
Formats de journal disponibles :`json`, `text`
**Versions IKE**
Versions IKE autorisées pour le tunnel VPN. Vous pouvez spécifier une ou plusieurs valeurs par défaut.
Valeurs par défaut :`ikev1`, `ikev2`
**Tunnel intérieur IPv4 CIDR**
La plage d' IPv4 adresses internes (internes) du tunnel VPN. Vous pouvez spécifier un bloc d'adresse CIDR d'une taille de /30 dans la plage `169.254.0.0/16`. Le bloc CIDR doit être unique pour toutes les connexions Site-to-Site VPN qui utilisent la même passerelle privée virtuelle.
Le bloc d'adresse CIDR n'a pas besoin d'être unique sur l'ensemble des connexions d'une passerelle de transit. Cependant, s'il n'est pas unique, cela peut créer un conflit sur votre passerelle client. Procédez avec prudence lorsque vous réutilisez le même bloc CIDR sur plusieurs connexions Site-to-Site VPN sur une passerelle de transit.
Les blocs d'adresse CIDR suivants sont réservés et ne peuvent pas être utilisés :
+ `169.254.0.0/30`
+ `169.254.1.0/30`
+ `169.254.2.0/30`
+ `169.254.3.0/30`
+ `169.254.4.0/30`
+ `169.254.5.0/30`
+ `169.254.169.252/30`
Par défaut : un bloc IPv4 CIDR de taille /30 de la `169.254.0.0/16` plage.
**Stockage de clés pré-partagé**
Type de stockage pour la clé pré-partagée :
+ **Standard** — La clé pré-partagée est stockée directement dans le service Site-to-Site VPN.
+ **Secrets Manager** — La clé pré-partagée est stockée à l'aide AWS Secrets Manager de. Pour plus d'informations sur Secrets Manager, consultez[Fonctionnalités de sécurité améliorées grâce à Secrets Manager](enhanced-security.md).
**Bande passante du tunnel**
Bande passante prise en charge pour le tunnel.
+ **Standard** — La bande passante du tunnel est définie sur un maximum de 1,25 Gbit/s par tunnel (par défaut).
+ **Grande** : bande passante maximale de 5 Gbit/s par tunnel.
**Note**
**Large** n'est disponible que pour les connexions VPN connectées à une passerelle de transit ou au Cloud WAN. Il n'est pas pris en charge pour les connexions Virtual Private Gateway.
**Tunnel intérieur IPv6 CIDR**
(Connexions IPv6 VPN uniquement) Plage d' IPv6 adresses internes (internes) du tunnel VPN. Vous pouvez spécifier un bloc d'adresses CIDR d'une taille de /126 de la plage `fd00::/8` locale. Le bloc CIDR doit être unique pour toutes les connexions Site-to-Site VPN qui utilisent la même passerelle de transit. Si vous ne spécifiez aucun IPv6 sous-réseau, Amazon sélectionne automatiquement un sous-réseau /128 dans cette plage. Que vous spécifiez le sous-réseau ou qu'Amazon le sélectionne, Amazon utilise la première IPv6 adresse utilisable du sous-réseau pour son côté de la connexion, et votre côté utilise la deuxième adresse utilisable IPv6 .
Par défaut : un bloc d'adresse IPv6 CIDR de taille /126 issu de la plage locale`fd00::/8`.
**Type d'adresse IP du tunnel extérieur**
Type d'adresse IP pour les adresses IP des tunnels extérieurs (externes). Vous pouvez spécifier l'une des options suivantes :
+ `PrivateIpv4`: utilisez une IPv4 adresse privée pour déployer des connexions Site-to-Site VPN via Direct Connect.
+ `PublicIpv4`: (Par défaut) Utilisez les IPv4 adresses du tunnel extérieur IPs.
+ `Ipv6`: utilisez IPv6 les adresses du tunnel extérieur IPs. Cette option n'est disponible que pour les connexions VPN sur une passerelle de transit ou sur le Cloud WAN.
Lorsque vous sélectionnez`Ipv6`, AWS configure automatiquement les IPv6 adresses des tunnels extérieurs pour le côté AWS des tunnels VPN. Votre dispositif de passerelle client doit prendre en charge l' IPv6 adressage et être capable d'établir des IPsec tunnels avec les IPv6 points de terminaison.
Valeur par défaut : `PublicIpv4`
** IPv4 Réseau local CIDR**
(connexion IPv4 VPN uniquement) La plage d'adresses CIDR utilisée lors de la négociation de la phase 2 de l'IKE pour le côté client (sur site) du tunnel VPN. Cette plage est utilisée pour proposer des itinéraires mais n'impose pas de restrictions de trafic car elle AWS est exclusivement basée sur les itinéraires VPNs . Les solutions basées sur des politiques ne VPNs sont pas prises en charge car elles limiteraient AWS la capacité à prendre en charge les protocoles de routage dynamiques et les architectures multirégionales. Cela doit inclure les plages d'adresses IP de votre réseau local qui doivent communiquer via le tunnel VPN. Des configurations de table de routage et NACLs des groupes de sécurité appropriés doivent être utilisés pour contrôler le flux de trafic réel.
Par défaut : 0.0.0.0/0
** IPv4 Réseau distant CIDR**
(Connexion IPv4 VPN uniquement) La plage CIDR utilisée lors de la négociation de la phase 2 de l'IKE pour le AWS côté du tunnel VPN. Cette plage est utilisée pour proposer des itinéraires mais n'impose pas de restrictions de trafic car AWS utilise exclusivement des itinéraires basés sur les itinéraires VPNs. AWS ne prend pas en charge les solutions basées sur des politiques, VPNs car elles n'offrent pas la flexibilité requise pour les scénarios de routage complexes et sont incompatibles avec des fonctionnalités telles que les passerelles de transit et le VPN Equal Cost Multi-Path (ECMP). Car VPCs il s'agit généralement de la plage CIDR de votre VPC. Pour les passerelles de transit, cela peut inclure plusieurs plages d'adresses CIDR provenant d'un réseau rattaché VPCs ou d'un autre réseau.
Par défaut : 0.0.0.0/0
** IPv6 Réseau local CIDR**
(Connexion IPv6 VPN uniquement) La plage IPv6 CIDR du côté de la passerelle client (sur site) autorisée à communiquer via les tunnels VPN.
Par défaut : ::/0
** IPv6 Réseau distant CIDR**
(Connexion IPv6 VPN uniquement) La plage IPv6 CIDR du AWS côté autorisé à communiquer via les tunnels VPN.
Par défaut : ::/0
**Numéros de groupe Diffie-Hellman (DH) de la phase 1**
Numéros de groupe DH autorisés pour le tunnel VPN pour la phase 1 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut.
Valeurs par défaut : 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24
**Numéros de groupe Diffie-Hellman (DH) de la phase 2**
Numéros de groupe DH autorisés pour le tunnel VPN pour la phase 2 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut.
Valeurs par défaut : 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24
**Algorithmes de chiffrement de la phase 1**
Algorithmes de chiffrement autorisés pour le tunnel VPN pour la phase 1 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut.
Valeurs par défaut : AES128, -GCM-16 AES256, AES128 -GCM-16 AES256
**Algorithmes de chiffrement de la phase 2**
Algorithmes de chiffrement autorisés pour le tunnel VPN pour la phase 2 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut.
Valeurs par défaut : AES128, -GCM-16 AES256, AES128 -GCM-16 AES256
**Algorithmes d'intégrité de la phase 1**
Algorithmes d'intégrité autorisés pour le tunnel VPN pour la phase 1 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut.
Valeurs par défaut : SHA1, SHA2 -256, -384, SHA2 -512 SHA2
**Algorithmes d'intégrité de la phase 2**
Algorithmes d'intégrité autorisés pour le tunnel VPN pour la phase 2 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut.
Valeurs par défaut : SHA1, SHA2 -256, -384, SHA2 -512 SHA2
**Durée de vie phase 1**
AWS initialisez de nouvelles touches avec les valeurs temporelles définies dans les champs Durée de vie de la phase 1 et Durée de vie de la phase 2. Si ces durées de vie sont différentes des valeurs de liaison négociées, la connectivité du tunnel risque d'être interrompue.
Durée de vie en secondes de la phase 1 de la négociation IKE. Vous pouvez spécifier un nombre compris entre 900 et 28 800.
Valeur par défaut : 28 800 (8 heures)
**Durée de vie phase 2**
AWS initialisez de nouvelles touches avec les valeurs temporelles définies dans les champs Durée de vie de la phase 1 et Durée de vie de la phase 2. Si ces durées de vie sont différentes des valeurs de liaison négociées, la connectivité du tunnel risque d'être interrompue.
Durée de vie en secondes de la phase 2 de la négociation IKE. Vous pouvez spécifier un nombre compris entre 900 et 3 600. Le nombre que vous spécifiez doit être inférieur au nombre de secondes de la durée de vie de la phase 1.
Valeur par défaut : 3 600 (1 heure)
**Clé pré-partagée (PSK)**
Clé prépartagée (pre-shared key, PSK) permettant d'établir l'association de sécurité IKE (internet key exchange) initiale entre la passerelle cible et la passerelle client.
La clé pré-partagée doit comporter entre 8 et 64 caractères et ne peut pas commencer par un zéro (0). Les caractères autorisés sont les caractères alphanumériques, les points (.) et les traits de soulignement (\$1).
Valeur par défaut : chaîne alphanumérique de 32 caractères.
**Fuzz du changement de clé**
Pourcentage de la fenêtre de changement de clé (déterminé par le temps de la marge du changement de clé) dans laquelle le temps de changement de clé est sélectionné aléatoirement.
Vous pouvez spécifier une valeur de pourcentage comprise entre 0 et 100.
Par défaut : 100
**Durée de marge du changement de clé**
Durée de marge en secondes avant l'expiration de la durée de vie des phases 1 et 2, pendant laquelle le AWS côté de la connexion VPN effectue une nouvelle clé IKE.
Vous pouvez spécifier un nombre compris entre 60 et la moitié de la valeur de la durée de vie de la phase 2.
L'heure exacte du changement de clé est sélectionnée aléatoirement en fonction de la valeur du fuzz de changement de clé.
Valeur par défaut : 270 (4,5 minutes)
**Paquets de taille de la fenêtre de réexécution**
Nombre de paquets dans une fenêtre de réexécution IKE.
Vous pouvez spécifier une valeur comprise entre 64 et 2 048.
Par défaut: 1024
**Action de démarrage**
Action à effectuer lors de l'établissement du tunnel pour une connexion VPN. Vous pouvez spécifier les éléments suivants :
+ `Start`: AWS lance la négociation IKE pour ouvrir le tunnel. Prise en charge uniquement si votre passerelle client est configurée avec une adresse IP.
+ `Add` : votre périphérique de passerelle client doit lancer la négociation IKE pour activer le tunnel.
Pour plus d'informations, consultez [AWS Site-to-Site VPN options d'initiation du tunnel](initiate-vpn-tunnels.md).
Par défaut: `Add`
**Contrôle du cycle de vie des points de terminaison de tunnel**
Le contrôle du cycle de vie des points de terminaison de tunnel permet de contrôler le calendrier de remplacement des points de terminaison.
Pour de plus amples informations, veuillez consulter [AWS Site-to-Site VPN contrôle du cycle de vie des terminaux du tunnel](tunnel-endpoint-lifecycle.md).
Par défaut: `Off`
Vous pouvez spécifier les options de tunnel lorsque vous créez une connexion Site-to-Site VPN, ou vous pouvez modifier les options de tunnel pour une connexion VPN existante. Pour plus d’informations, consultez les rubriques suivantes :
+ [Étape 5 : Création d'une connexion VPN](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ [Modifier les options AWS Site-to-Site VPN du tunnel](modify-vpn-tunnel-options.md)
# AWS Site-to-Site VPN options d'authentification du tunnel
Vous pouvez utiliser des clés ou des certificats pré-partagés pour authentifier les points de terminaison de votre tunnel Site-to-Site VPN.
## Clés prépartagées
Une clé pré-partagée (PSK) est l'option d'authentification par défaut pour les tunnels Site-to-Site VPN. Lorsque vous créez un tunnel, vous pouvez soit spécifier votre propre PSK, soit autoriser AWS à en générer un automatiquement pour vous. Le PSK est stocké selon l'une des méthodes suivantes :
+ Directement dans le service Site-to-Site VPN. Pour de plus amples informations, veuillez consulter [AWS Site-to-Site VPN dispositifs de passerelle client](your-cgw.md).
+ AWS Secrets Manager Pour une sécurité renforcée. Pour plus d'informations sur l'utilisation de Secrets Manager pour stocker un PSK, consultez[Fonctionnalités de sécurité améliorées grâce à Secrets Manager](enhanced-security.md).
La chaîne PSK est ensuite utilisée lors de la configuration de votre dispositif de passerelle client.
## Certificat privé de AWS Autorité de certification privée
Si vous ne souhaitez pas utiliser de clés prépartagées, vous pouvez utiliser un certificat privé provenant de AWS Autorité de certification privée pour authentifier votre VPN.
Vous devez créer un certificat privé à partir d'une autorité de certification subordonnée à l'aide d' AWS Autorité de certification privée (Autorité de certification privée AWS). Pour signer l'autorité de certification subordonnée ACM, vous pouvez utiliser une autorité de certification racine ACM ou une autorité de certification externe. Pour de plus amples informations sur la création d'un certificat privé, veuillez consulter [Création et gestion d'une autorité de certification privée](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) dans le *Guide de l'utilisateur AWS Autorité de certification privée *.
Vous devez créer un rôle lié à un service pour générer et utiliser le certificat du AWS côté du point de terminaison du tunnel Site-to-Site VPN. Pour de plus amples informations, veuillez consulter [Rôles liés à un service pour le VPN Site-to-Site](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).
**Note**
Pour faciliter les rotations de certification fluides, tout certificat doté de la même chaîne d'autorité de certification que celle initialement spécifiée dans l'appel d'`CreateCustomerGateway`API est suffisant pour établir une connexion VPN.
Si vous ne spécifiez pas l'adresse IP de votre périphérique de passerelle client, nous ne vérifions pas l'adresse IP. Cette opération vous permet de déplacer le périphérique de passerelle client vers une adresse IP différente sans avoir à reconfigurer la connexion VPN.
Site-to-Site Le VPN effectue la vérification de la chaîne de certificats sur le certificat de la passerelle client lorsque vous créez un certificat VPN. Outre les contrôles d'autorité de certification et de validité de base, le Site-to-Site VPN vérifie si les extensions X.509 sont présentes, notamment l'identifiant de clé d'autorité, l'identifiant de clé d'objet et les contraintes de base.
# AWS Site-to-Site VPN options d'initiation du tunnel
Par défaut, votre dispositif de passerelle client doit ouvrir les tunnels pour votre connexion Site-to-Site VPN en générant du trafic et en lançant le processus de négociation IKE (Internet Key Exchange). Vous pouvez configurer vos tunnels VPN pour spécifier qui AWS doit plutôt lancer ou redémarrer le processus de négociation IKE.
## Options de lancement IKE du tunnel VPN
Les options de lancement IKE suivantes sont disponibles. Vous pouvez implémenter l'une ou les deux options, pour l'un ou les deux tunnels de votre connexion Site-to-Site VPN. Consultez [Options de tunnel VPN](VPNTunnels.md) pour plus de détails sur ces paramètres d'option de tunnel en particulier et les autres.
+ **Action de démarrage** : action à effectuer lors de l'établissement du tunnel VPN pour une connexion VPN nouvelle ou modifiée. Par défaut, votre périphérique de passerelle client lance le processus de négociation IKE pour activer le tunnel. Vous pouvez spécifier qu'il AWS doit plutôt lancer le processus de négociation IKE.
+ **Action de l'expiration du délai d'attente DPD** : action à effectuer après l'expiration du délai d'attente de la fonction Dead Peer Detection (DPD). Par défaut, la session IKE est arrêtée, le tunnel est arrêté et les routes sont supprimées. Vous pouvez spécifier qu' AWS il doit redémarrer la session IKE lorsque le délai d'expiration du délai DDP se produit, ou vous pouvez spécifier qu' AWS il ne doit prendre aucune mesure lorsque le délai d'expiration du délai DDP se produit.
## Règles et limitations
Les règles et limitations suivantes s'appliquent :
+ Pour lancer une négociation IKE, AWS l'adresse IP publique de votre passerelle client est requise. Si vous avez configuré l'authentification basée sur des certificats pour votre connexion VPN et que vous n'avez pas spécifié d'adresse IP lorsque vous avez créé la ressource de passerelle client dans AWS, vous devez créer une nouvelle passerelle client et spécifier l'adresse IP. Ensuite, modifiez la connexion VPN et spécifiez la nouvelle passerelle client. Pour de plus amples informations, veuillez consulter [Modifier la passerelle client pour une AWS Site-to-Site VPN connexion](change-vpn-cgw.md).
+ L'initiation IKE (action de démarrage) depuis le AWS côté de la connexion VPN n'est prise en charge IKEv2 que pour.
+ Si vous utilisez l'initiation IKE depuis le AWS côté de la connexion VPN, aucun paramètre de délai d'expiration n'est inclus. Il essaiera continuellement d'établir une connexion jusqu'à ce qu'elle soit établie. En outre, le AWS côté de la connexion VPN relancera la négociation IKE lorsqu'il recevra un message de suppression de la SA provenant de votre passerelle client.
+ Si votre dispositif de passerelle client se trouve derrière un pare-feu ou un autre appareil utilisant la traduction d'adresses réseau (NAT), une identité (IDr) doit être configurée. Pour plus d'informations sur IDr, consultez la [RFC 7296](https://datatracker.ietf.org/doc/html/rfc7296).
Si vous ne configurez pas l'initiation IKE par le AWS côté pour votre tunnel VPN et que la connexion VPN est inactive (généralement 10 secondes, selon votre configuration), le tunnel risque de tomber en panne. Pour éviter cela, vous pouvez utiliser un outil de surveillance du réseau pour générer des tests ping keepalive.
## Utilisation des options de lancement du tunnel VPN
Pour de plus amples informations sur l'utilisation des options de lancement du tunnel VPN, veuillez consulter les rubriques suivantes :
+ Pour créer une nouvelle connexion VPN et spécifier les options de lancement du tunnel VPN : [Étape 5 : Création d'une connexion VPN](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ Pour modifier les options de lancement du tunnel VPN pour une connexion VPN existante : [Modifier les options AWS Site-to-Site VPN du tunnel](modify-vpn-tunnel-options.md)
# AWS Site-to-Site VPN remplacement des extrémités des tunnels
Votre connexion Site-to-Site VPN se compose de deux tunnels VPN pour la redondance. Parfois, l'un des points de terminaison du tunnel VPN ou les deux sont remplacés lorsque vous AWS effectuez des mises à jour du tunnel ou lorsque vous modifiez votre connexion VPN. Lors du remplacement d'un point de terminaison de tunnel, la connectivité sur le tunnel peut être interrompue pendant que le nouveau point de terminaison du tunnel est alloué.
**Topics**
+ [Remplacement des points de terminaison à l'initiative du client](#endpoint-replacements-for-vpn-modifications)
+ [Remplacement des points de terminaison gérés par AWS](#endpoint-replacements-for-aws-updates)
+ [AWS Site-to-Site VPN contrôle du cycle de vie des terminaux du tunnel](tunnel-endpoint-lifecycle.md)
## Remplacement des points de terminaison à l'initiative du client
Lorsque vous modifiez les composants suivants de votre connexion VPN, un ou les deux points de terminaison de votre tunnel est remplacé.
| Modification | Action d’API | Impact sur le tunnel |
| --- | --- | --- |
| [Modifier la passerelle cible pour la connexion VPN](modify-vpn-target.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | Les deux tunnels sont indisponibles pendant que les nouveaux points de terminaison de tunnel sont alloués. |
| [Modifier la passerelle client pour la connexion VPN](change-vpn-cgw.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | Les deux tunnels sont indisponibles pendant que les nouveaux points de terminaison de tunnel sont alloués. |
| [Modifier les options de connexion VPN](modify-vpn-connection-options.md) | [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html) | Les deux tunnels sont indisponibles pendant que les nouveaux points de terminaison de tunnel sont alloués. |
| [Modifier les options du tunnel VPN](modify-vpn-tunnel-options.md) | [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) | Le tunnel modifié est indisponible pendant la mise à jour. |
## Remplacement des points de terminaison gérés par AWS
AWS Site-to-Site VPN est un service géré qui applique régulièrement des mises à jour aux points de terminaison de votre tunnel VPN. Ces mises à jour se produisent pour diverses raisons, notamment :
+ Pour appliquer des mises à niveau générales, telles que des correctifs, des améliorations de la résilience et d'autres optimisations
+ Pour retirer le matériel sous-jacent
+ Lorsque la surveillance automatisée détermine qu'un point de terminaison de tunnel VPN est non sain
AWS applique les mises à jour des points de terminaison du tunnel à un tunnel de votre connexion VPN à la fois. Lors d'une mise à jour du point de terminaison de tunnel, votre connexion VPN risque de subir une brève perte de redondance. Il est donc important de configurer les deux tunnels dans votre connexion VPN pour une haute disponibilité.
# AWS Site-to-Site VPN contrôle du cycle de vie des terminaux du tunnel
Le contrôle du cycle de vie des terminaux du tunnel permet de contrôler le calendrier des remplacements des terminaux et peut aider à minimiser les interruptions de connectivité lors des remplacements AWS gérés des terminaux du tunnel. Grâce à cette fonctionnalité, vous pouvez choisir d'accepter les mises à jour AWS gérées des points de terminaison du tunnel au moment qui convient le mieux à votre entreprise. Utilisez cette fonction si vous avez des besoins professionnels à court terme ou si vous ne pouvez prendre en charge qu'un seul tunnel par connexion VPN.
**Note**
Dans de rares circonstances, des mises à jour critiques AWS peuvent être appliquées immédiatement aux points de terminaison du tunnel, même si la fonctionnalité de contrôle du cycle de vie des points de terminaison du tunnel est activée.
**Topics**
+ [Fonctionnement du contrôle du cycle de vie des points de terminaison de tunnel](#how-elc-works)
+ [Activer le contrôle du cycle de vie des points de terminaison de tunnel](enable-elc.md)
+ [Vérifier si le contrôle du cycle de vie des points de terminaison de tunnel est activé](view-elc-status.md)
+ [Vérifier les mises à jour disponibles](view-elc-updates.md)
+ [Accepter une mise à jour de maintenance](accept-update.md)
+ [Désactiver le contrôle du cycle de vie des points de terminaison de tunnel](turn-elc-off.md)
## Fonctionnement du contrôle du cycle de vie des points de terminaison de tunnel
Activez la fonction de contrôle du cycle de vie des points de terminaison de tunnel pour les tunnels individuels au sein d'une connexion VPN. Elle peut être activée au moment de la création du VPN ou en modifiant les options de tunnel pour une connexion VPN existante.
Une fois le contrôle du cycle de vie des points de terminaison de tunnel activé, vous bénéficierez d'une visibilité supplémentaire sur les prochains événements de maintenance du tunnel de deux manières :
+ Vous recevrez des AWS Health notifications concernant les prochains remplacements des terminaux du tunnel.
+ L'état de la maintenance en attente, ainsi que les horodatages **Maintenance auto appliquée après** et **Dernière maintenance appliquée**, peuvent être consultés dans le AWS Management Console ou à l'aide de la commande [get-vpn-tunnel-replacement AWS CLI -status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html).
Lorsqu'une maintenance des points de terminaison de tunnel est disponible, vous avez la possibilité d'accepter la mise à jour au moment qui vous convient, avant l'horodatage de la **Maintenance appliquée automatiquement après** donnée.
Si vous n'appliquez pas de mises à jour avant la date d'**application automatique de la maintenance**, vous AWS effectuerez automatiquement le remplacement du point de terminaison du tunnel peu après, dans le cadre du cycle de mise à jour de maintenance régulier.
# Activer le contrôle du cycle de vie des terminaux du AWS Site-to-Site VPN tunnel
Le contrôle du cycle de vie des terminaux peut être activé sur une connexion VPN existante ou nouvelle. Cela peut être fait en utilisant le AWS Management Console ou AWS CLI.
**Note**
Par défaut, lorsque vous activez la fonction pour une connexion VPN existante, le remplacement du point de terminaison de tunnel sera lancé en même temps. Si vous souhaitez activer la fonction, mais ne pas lancer immédiatement le remplacement du point de terminaison de tunnel, vous pouvez utiliser l'option **Ignorer le remplacement du tunnel**.
------
#### [ Existing VPN connection ]
Les étapes suivantes montrent comment activer le contrôle du cycle de vie des points de terminaison de tunnel sur une connexion VPN existante.
**Pour activer le contrôle du cycle de vie des terminaux du tunnel à l'aide du AWS Management Console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation de gauche, choisissez **Site-to-Site VPN Connections**.
1. Sélectionnez la connexion appropriée sous **Connexions VPN**.
1. Sélectionnez **Actions**, puis **Modifier les options de tunnel VPN**.
1. Sélectionnez le tunnel spécifique que vous souhaitez modifier en choisissant la bonne **Adresse IP externe du tunnel VPN**.
1. Sous **Contrôle du cycle de vie des points de terminaison de tunnel**, cochez la case **Activer**.
1. (Facultatif) Sélectionnez **Ignorer le remplacement du tunnel**.
1. Sélectionnez **Enregistrer les modifications**.
**Pour activer le contrôle du cycle de vie des terminaux du tunnel à l'aide du AWS CLI**
Utilisez la [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)commande pour activer le contrôle du cycle de vie des points de terminaison du tunnel.
------
#### [ New VPN connection ]
Les étapes suivantes montrent comment activer le contrôle du cycle de vie des points de terminaison de tunnel lors de la création d'une connexion VPN.
**Pour activer le contrôle du cycle de vie des terminaux du tunnel lors de la création d'une nouvelle connexion VPN à l'aide du AWS Management Console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Site-to-Site VPN Connections**.
1. Choisissez **Create VPN connection** (Créer une connexion VPN).
1. Dans les sections **Options Tunnel 1** et **Options Tunnel 2**, sous **Contrôle du cycle de vie des points de terminaison de tunnel**, sélectionnez **Activer**.
1. Choisissez **Créer une connexion VPN**.
**Pour activer le contrôle du cycle de vie des terminaux du tunnel lors de la création d'une nouvelle connexion VPN à l'aide du AWS CLI**
Utilisez la [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)commande pour activer le contrôle du cycle de vie des points de terminaison du tunnel.
------
# Vérifiez si le contrôle du cycle de vie des points de terminaison du AWS Site-to-Site VPN tunnel est activé
Vous pouvez vérifier si le contrôle du cycle de vie des points de terminaison du tunnel est activé sur un tunnel VPN existant à l'aide de la CLI AWS Management Console ou.
+ Si le contrôle du cycle de vie des points de terminaison du tunnel est désactivé et que vous souhaitez l'activer, consultez[Activer le contrôle du cycle de vie des points de terminaison de tunnel](enable-elc.md).
+ Si le contrôle du cycle de vie des points de terminaison du tunnel est activé et que vous souhaitez le désactiver, consultez[Désactiver le contrôle du cycle de vie des points de terminaison de tunnel](turn-elc-off.md).
**Pour vérifier si le contrôle du cycle de vie des points de terminaison du tunnel est activé à l'aide du AWS Management Console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation de gauche, choisissez **Site-to-Site VPN Connections**.
1. Sélectionnez la connexion appropriée sous **Connexions VPN**.
1. Sélectionnez l'onglet **Détails du tunnel**.
1. Dans les détails du tunnel, recherchez **Contrôle du cycle de vie des points de terminaison de tunnel**, qui indiquera si la fonction est **Activée** ou **Désactivée**.
**Pour vérifier si le contrôle du cycle de vie des points de terminaison du tunnel est activé à l'aide du AWS CLI**
Utilisez la [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)commande pour vérifier si le contrôle du cycle de vie des points de terminaison du tunnel est activé.
# Vérifiez les mises à jour disponibles sur les AWS Site-to-Site VPN tunnels
Après avoir activé la fonction de contrôle du cycle de vie des points de terminaison de tunnel, vous pouvez voir si une mise à jour de maintenance est disponible pour votre connexion VPN avec la AWS Management Console ou l'interface de ligne de commande. La vérification de la disponibilité d'une mise à jour du tunnel Site-to-Site VPN ne télécharge ni ne déploie automatiquement la mise à jour. Vous pouvez choisir à quel moment vous souhaitez le déployer. Pour connaître les étapes de téléchargement et de déploiement d'une mise à jour, consultez[Accepter une mise à jour de maintenance](accept-update.md).
**Pour vérifier les mises à jour disponibles à l'aide du AWS Management Console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation de gauche, choisissez **Site-to-Site VPN Connections**.
1. Sélectionnez la connexion appropriée sous **Connexions VPN**.
1. Sélectionnez l'onglet **Détails du tunnel**.
1. Consultez la colonne **Maintenance en attente**. Le statut sera soit **Disponible**, soit **Aucun**.
**Pour vérifier les mises à jour disponibles à l'aide du AWS CLI**
Utilisez la commande [get-vpn-tunnel-replacement-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) pour vérifier les mises à jour disponibles.
# Accepter une mise à jour de maintenance AWS Site-to-Site VPN du tunnel
Lorsqu'une mise à jour de maintenance est disponible, vous pouvez l'accepter à l'aide de la CLI AWS Management Console or. Vous pouvez choisir d'accepter la mise à jour de maintenance du tunnel Site-to-Site VPN au moment qui vous convient. Une fois que vous aurez accepté la mise à jour de maintenance, elle sera déployée.
**Note**
Si vous n'acceptez pas la mise à jour de maintenance, elle AWS sera automatiquement déployée au cours d'un cycle de mise à jour de maintenance régulier.
**Pour accepter une mise à jour de maintenance disponible à l'aide du AWS Management Console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation de gauche, choisissez **Site-to-Site VPN Connections**.
1. Sélectionnez la connexion appropriée sous **Connexions VPN**.
1. Choisissez **Actions**, puis **Remplacer le tunnel VPN**.
1. Sélectionnez le tunnel spécifique que vous souhaitez remplacer en choisissant la bonne **Adresse IP externe du tunnel VPN**.
1. Choisissez **Remplacer**.
**Pour accepter une mise à jour de maintenance disponible à l'aide du AWS CLI**
Utilisez la [replace-vpn-tunnel](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-vpn-tunnel.html)commande pour accepter une mise à jour de maintenance disponible.
# Désactiver AWS Site-to-Site VPN le contrôle du cycle de vie des terminaux du tunnel
Si vous ne souhaitez plus utiliser la fonctionnalité de contrôle du cycle de vie des points de terminaison du tunnel, vous pouvez la désactiver à l'aide du AWS Management Console ou du AWS CLI. Lorsque vous désactivez cette fonction, AWS déploiera automatiquement des mises à jour de maintenance régulièrement, qui peuvent avoir lieu pendant vos heures de travail. Pour éviter tout impact sur votre activité, nous vous recommandons vivement de configurer les deux tunnels dans votre connexion VPN pour une haute disponibilité.
**Note**
Bien qu'une maintenance en attente soit disponible, vous ne pouvez pas spécifier l'option **Ignorer le remplacement du tunnel** lorsque vous désactivez la fonction. Vous pouvez toujours désactiver cette fonctionnalité sans utiliser l'option **Ignorer le remplacement du tunnel**, mais vous AWS déploierez automatiquement les mises à jour de maintenance en attente disponibles en lançant immédiatement le remplacement du point de terminaison du tunnel.
**Pour désactiver le contrôle du cycle de vie des terminaux du tunnel à l'aide du AWS Management Console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation de gauche, choisissez **Site-to-Site VPN Connections**.
1. Sélectionnez la connexion appropriée sous **Connexions VPN**.
1. Sélectionnez **Actions**, puis **Modifier les options de tunnel VPN**.
1. Sélectionnez le tunnel spécifique que vous souhaitez modifier en choisissant la bonne **Adresse IP externe du tunnel VPN**.
1. Pour désactiver le contrôle du cycle de vie des points de terminaison de tunnel, sous **Contrôle du cycle de vie des points de terminaison de tunnel**, décochez la case **Activer**.
1. (Facultatif) Sélectionnez **Ignorer le remplacement du tunnel**.
1. Sélectionnez **Enregistrer les modifications**.
**Pour désactiver le contrôle du cycle de vie des terminaux du tunnel à l'aide du AWS CLI**
Utilisez la [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)commande pour désactiver le contrôle du cycle de vie des points de terminaison du tunnel.
# Options de passerelle client pour votre AWS Site-to-Site VPN connexion
Le tableau suivant décrit les informations dont vous aurez besoin pour créer une ressource de passerelle client dans AWS.
| Élément | Description |
| --- | --- |
| (Facultatif) Identification de nom | Crée une identification avec la clé « Nom » et la valeur que vous spécifiez. |
| (Routage dynamique uniquement) Numéro d'ASN (Autonomous System Number) BGP (Border Gateway Protocol) de la passerelle client. | Un ASN compris entre 1 et 4 294 967 295 est pris en charge. Vous pouvez utiliser un numéro ASN public existant affecté à votre réseau, à l'exception des numéros suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/cgw-options.html) Si vous n'avez pas d'ASN public, vous pouvez utiliser un ASN privé compris entre 64 512 et 65 534 ou entre 4 200 000 000 et 4 294 967 294. L'ASN par défaut est 64512. Pour plus d'informations sur le routage, consultez[AWS Site-to-Site VPN options de routage](VPNRoutingTypes.md). |
| Adresse IP de l'interface externe du dispositif de passerelle client. | L'adresse IP doit être statique et peut être IPv4 soit IPv6. Pour les IPv4 adresses : si votre dispositif de passerelle client se trouve derrière un périphérique de traduction d'adresses réseau (NAT), utilisez l'adresse IP de votre périphérique NAT. Assurez-vous également que les paquets UDP sur le port 500 (et le port 4500, si la traversée NAT est utilisée) sont autorisés à passer entre votre réseau et les AWS Site-to-Site VPN points de terminaison. Pour plus d’informations, consultez [Règles de pare-feu](FirewallRules.md). Pour les IPv6 adresses : l'adresse doit être une adresse valide pouvant être routée par Internet IPv6 . IPv6 les adresses ne sont prises en charge que pour les connexions VPN sur une passerelle de transit ou un Cloud WAN. Aucune adresse IP n'est requise lorsque vous utilisez un certificat privé AWS Autorité de certification privée et un VPN public. |
| (Facultatif) Certificat privé d'une autorité de certification subordonnée utilisant AWS Certificate Manager (ACM). | Si vous souhaitez utiliser l'authentification basée sur le certificat, fournissez l'ARN d'un certificat privé ACM qui sera utilisé sur votre périphérique de passerelle client. Lorsque vous créez une passerelle client, vous pouvez configurer la passerelle client pour utiliser des certificats AWS Autorité de certification privée privés afin d'authentifier le Site-to-Site VPN. Lorsque vous choisissez d'utiliser cette option, vous créez une autorité de certification privée (CA) entièrement AWS hébergée pour un usage interne par votre organisation. Le certificat de l'autorité de certification racine et les certificats de l'autorité de certification subordonnée sont stockés et gérés par Autorité de certification privée AWS. Avant de créer la passerelle client, vous créez un certificat privé à partir d'une autorité de certification subordonnée en utilisant AWS Autorité de certification privée, puis vous spécifiez le certificat lorsque vous configurez la passerelle client. Pour de plus amples informations sur la création d'un certificat privé, veuillez consulter [Création et gestion d'une autorité de certification privée](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) dans le *Guide de l'utilisateur AWS Autorité de certification privée *. |
| Appareil (Facultatif). | Nom de l'appareil de passerelle client associé à cette passerelle client. |
## IPv6 options de passerelle client
Lorsque vous créez une passerelle client avec une IPv6 adresse, tenez compte des points suivants :
+ IPv6 les passerelles client ne sont prises en charge que pour les connexions VPN sur une passerelle de transit ou sur le Cloud WAN.
+ L' IPv6 adresse doit être une adresse valide et routable par Internet IPv6 .
+ Votre dispositif de passerelle client doit prendre en charge l' IPv6 adressage et être capable d'établir des IPsec tunnels avec les IPv6 points de terminaison.
+ Pour créer une passerelle IPv6 client à l'aide de l'AWS CLI, utilisez une IPv6 adresse pour le `--ip-address` paramètre :
```
aws ec2 create-customer-gateway --ip-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```
# AWS Site-to-Site VPN Connexions accélérées
Vous pouvez éventuellement activer l'accélération pour votre connexion Site-to-Site VPN. Une connexion Site-to-Site VPN accélérée (connexion VPN accélérée) permet AWS Global Accelerator d'acheminer le trafic de votre réseau local vers l'emplacement AWS périphérique le plus proche de votre passerelle client.AWS Global Accelerator optimise le chemin réseau, en utilisant le réseau AWS mondial exempt de congestion pour acheminer le trafic vers le point de terminaison offrant les meilleures performances applicatives (pour plus d'informations, voir). [AWS Global Accelerator](https://aws.amazon.com/global-accelerator/) Vous pouvez utiliser une connexion VPN accélérée pour éviter les perturbations réseau qui peuvent survenir lorsque le trafic est routé sur l'Internet public.
Lorsque vous créez une connexion VPN accélérée, nous créons et gérons deux accélérateurs pour votre compte, un pour chaque tunnel VPN. Vous ne pouvez pas afficher ou gérer vous-même ces accélérateurs à l'aide de la AWS Global Accelerator console ou APIs.
Pour plus d'informations sur les AWS régions qui prennent en charge les connexions VPN accélérées, consultez le [ Site-to-SiteVPN AWS accéléré FAQs](https://aws.amazon.com/vpn/faqs/).
## Activation de l'accélération
Par défaut, lorsque vous créez une connexion Site-to-Site VPN, l'accélération est désactivée. Vous pouvez éventuellement activer l'accélération lorsque vous créez une nouvelle pièce jointe Site-to-Site VPN sur une passerelle de transit. Pour plus d’informations et pour connaître les étapes, consultez [Création d'une AWS Site-to-Site VPN connexion](create-vpn-connection.md).
Les connexions VPN accélérées utilisent un pool distinct d'adresses IP pour les adresses IP du point de terminaison du tunnel. Les adresses IP des deux tunnels VPN sont sélectionnées dans deux [zones réseau](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-components.html) distinctes.
## Règles et restrictions
Pour utiliser une connexion VPN accélérée, les règles suivantes s'appliquent :
+ L'accélération n'est prise en charge que pour les connexions Site-to-Site VPN associées à une passerelle de transit. Les passerelles réseau privé virtuel ne prennent pas en charge les connexions VPN accélérées.
+ Une connexion Site-to-Site VPN accélérée ne peut pas être utilisée avec une interface virtuelle AWS Direct Connect publique.
+ Vous ne pouvez pas activer ou désactiver l'accélération pour une connexion Site-to-Site VPN existante. Au lieu de cela, vous pouvez créer une nouvelle connexion Site-to-Site VPN avec l'accélération activée ou désactivée selon vos besoins. Configurez ensuite votre dispositif de passerelle client pour qu'il utilise la nouvelle connexion Site-to-Site VPN et supprimez l'ancienne connexion Site-to-Site VPN.
+ NAT-traversal (NAT-T) est requis pour une connexion VPN accélérée et est activé par défaut. Si vous avez téléchargé un [fichier de configuration](SetUpVPNConnections.md#vpn-download-config) depuis la console Amazon VPC, vérifiez le paramètre NAT-T et ajustez-le si nécessaire.
+ La négociation IKE pour les tunnels VPN accélérés doit être lancée depuis le dispositif de passerelle du client. Les deux options de tunnel qui affectent ce comportement sont `Startup Action` et`DPD Timeout Action`. Pour plus d’informations, consultez [Options de tunnel VPN](VPNTunnels.md) et [Options de lancement du tunnel VPN](initiate-vpn-tunnels.md).
+ Site-to-Site Les connexions VPN qui utilisent l'authentification basée sur des certificats peuvent ne pas être compatibles avec AWS Global Accelerator, en raison de la prise en charge limitée de la fragmentation des paquets dans Global Accelerator. Pour plus d'informations, consultez [Fonctionnement de AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html). Si vous avez besoin d'une connexion VPN accélérée qui utilise l'authentification basée sur des certificats, votre périphérique de passerelle client doit prendre en charge la fragmentation IKE. Si ce n’est pas le cas, n'activez pas votre VPN pour l'accélération.
# AWS Site-to-Site VPN options de routage
AWS recommande de faire de la publicité pour des itinéraires BGP spécifiques afin d'influencer les décisions de routage dans la passerelle privée virtuelle. Consultez la documentation de votre fournisseur pour connaître les commandes spécifiques à votre appareil.
Lorsque vous créez plusieurs connexions VPN, la passerelle réseau privé virtuel envoie le trafic réseau vers la connexion VPN appropriée à l'aide de routes affectées statiquement ou d'annonces de routes BGP. Le choix de la route dépend de la façon dont la connexion VPN a été configurée. Les routes affectées statiquement sont préférées aux routes annoncées par BGP lorsque des routes identiques existent dans la passerelle réseau privé virtuel. Si vous sélectionnez l'option d'utiliser une annonce BGP, vous ne pouvez pas spécifier de routes statiques.
Pour plus d’informations sur la priorité de route, consultez [Tables de routage et priorité des itinéraires](vpn-route-priority.md).
Lorsque vous créez une connexion Site-to-Site VPN, vous devez effectuer les opérations suivantes :
+ Spécifiez le type de routage que vous prévoyez d'utiliser (statique ou dynamique)
+ Mettez à jour la [table de routage](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) de votre sous-réseau
Le nombre de routes que vous pouvez ajouter à une table de routage est limité. Pour plus d'informations, consultez la section Tables de routage dans [Quotas Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) dans le *Guide de l'utilisateur Amazon VPC*.
**Topics**
+ [Routage statique et dynamique](vpn-static-dynamic.md)
+ [Tables de routage et priorité des itinéraires](vpn-route-priority.md)
+ [Routage pendant les mises à jour des points de terminaison du tunnel VPN](routing-vpn-tunnel-updates.md)
+ [IPv4 et IPv6 trafic](ipv4-ipv6.md)
# Routage statique et dynamique dans AWS Site-to-Site VPN
Le type de routage que vous sélectionnez peut dépendre de la marque et du modèle de votre périphériques de passerelle client. Si votre dispositif de passerelle client prend en charge le protocole BGP (Border Gateway Protocol), spécifiez le routage dynamique lorsque vous configurez votre connexion Site-to-Site VPN. Si votre périphérique de passerelle client ne prend pas en charge le BGP, spécifiez un routage statique.
**Note**
Site-to-Site Les concentrateurs VPN ne prennent en charge que le routage BGP. Le routage statique n'est pas pris en charge pour les connexions VPN qui utilisent un concentrateur Site-to-Site VPN.
Si vous utilisez un appareil qui prend en charge la publicité BGP, vous ne spécifiez pas de routes statiques vers la connexion Site-to-Site VPN, car l'appareil utilise le protocole BGP pour annoncer ses itinéraires vers la passerelle privée virtuelle. Si vous utilisez un périphérique qui ne prend pas en charge les annonces BGP, vous devez sélectionner un routage statique et entrer les routes (préfixes IP) pour votre réseau qui doivent être communiquées à la passerelle réseau privé virtuel.
Nous vous recommandons d'utiliser des périphériques compatibles avec BGP, quand c'est possible, puisque le protocole BGP offre de solides contrôles de détection du caractère vivant qui peuvent assister le failover vers le second tunnel VPN si le premier tunnel s'arrête. Les périphériques qui ne prennent pas en charge BGP peuvent également exécuter des vérifications de l'état pour assister le failover vers le second tunnel lorsque c'est nécessaire.
Vous devez configurer votre dispositif de passerelle client pour acheminer le trafic de votre réseau local vers la connexion Site-to-Site VPN. La configuration dépend de la marque et du modèle de votre périphérique. Pour de plus amples informations, veuillez consulter [AWS Site-to-Site VPN dispositifs de passerelle client](your-cgw.md).
# Tables de routage et priorité des AWS Site-to-Site VPN itinéraires
Les [tables de routage](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) déterminent où le trafic réseau de votre VPC est dirigé. Dans votre table de routage VPC, vous devez ajouter une route pour votre réseau distant et spécifier la passerelle réseau privé virtuel comme cible. Cela permet au trafic de votre VPC destiné à votre réseau distant de s'acheminer via la passerelle réseau privé virtuel et sur l'un des tunnels VPN. Vous pouvez autoriser la propagation du routage pour votre table de routage pour automatiquement propager vos routes réseau vers la table pour vous.
Nous utilisons la route la plus spécifique de votre table de routage qui correspond au trafic afin de déterminer comment router le trafic (correspondance de préfixe le plus long). Si votre table de routage comporte des routes qui se chevauchent ou correspondent, les règles suivantes s'appliquent :
+ Si les routes propagées à partir d'une connexion Site-to-Site VPN ou d'une Direct Connect connexion se chevauchent avec la route locale de votre VPC, la route locale est préférable, même si les routes propagées sont plus spécifiques.
+ Si les routes propagées à partir d'une connexion ou d'une Direct Connect connexion Site-to-Site VPN ont le même bloc d'adresse CIDR de destination que les autres routes statiques existantes (la correspondance de préfixe la plus longue ne peut pas être appliquée), nous donnons la priorité aux routes statiques dont les cibles sont une passerelle Internet, une passerelle privée virtuelle, une interface réseau, un identifiant d'instance, une connexion d'appairage VPC, une passerelle NAT, une passerelle de transit ou un point de terminaison VPC de passerelle.
Par exemple, la table de routage suivante a une route statique vers une passerelle Internet et une route propagée vers une passerelle réseau privé virtuel. Les deux routes ont pour destination : `172.31.0.0/24`. Dans ce cas, tout le trafic destiné à l'adresse `172.31.0.0/24` est routé vers la passerelle Internet. Il s'agit d'une route statique qui a donc priorité sur la route propagée.
| Destination | Cible |
| --- | --- |
| 10.0.0.0/16 | Locale |
| 172.31.0.0/24 | vgw-11223344556677889 (propagée) |
| 172.31.0.0/24 | igw-12345678901234567 (statique) |
Seuls les préfixes IP connus de la passerelle réseau privé virtuel, que ce soit par une annonce BGP ou une entrée de routage statique, peuvent recevoir du trafic sortant de votre VPC. La passerelle réseau privé virtuel n'achemine pas d'autre trafic destiné en dehors des annonces BGP reçues, des saisies de routage statique ou du CIDR de VPC attaché. Les passerelles privées virtuelles ne prennent pas en charge le IPv6 trafic.
Quand une passerelle réseau privé virtuel reçoit des informations de routage, elle utilise la sélection des chemins pour déterminer comment acheminer le trafic. La correspondance de préfixe la plus longue s'applique si tous les points de terminaison sont sains. L'état du point de terminaison d'un tunnel est prioritaire par rapport aux autres attributs de routage. Cette priorité s'applique aux VPNs passerelles privées virtuelles et aux passerelles de transit. Si les préfixes sont les mêmes, la passerelle réseau privé virtuel donne la priorité suivante aux routes, de la route la plus préférée à la route la moins préférée :
+ Routes propagées par BGP à partir d'une connexion Direct Connect
Les routes Blackhole ne sont pas propagées vers une passerelle client Site-to-Site VPN via BGP.
+ Routes statiques ajoutées manuellement pour une connexion Site-to-Site VPN
+ Routes propagées par BGP à partir d'une connexion VPN Site-to-Site
+ Pour les préfixes correspondants lorsque chaque connexion Site-to-Site VPN utilise BGP, le PATH AS est comparé et le préfixe avec le plus court AS PATH est préféré.
**Note**
AWS recommande vivement d'utiliser des dispositifs de passerelle client qui prennent en charge le routage asymétrique.
Pour les périphériques de passerelle client qui prennent en charge l'acheminement asymétrique, nous *déconseillons* d'utiliser le préfixe AS PATH, afin de garantir que les deux tunnels ont le même AS PATH. Cela permet de s'assurer que la valeur multi-exit discriminator (MED) que nous avons définie sur un tunnel lors des [mises à jour du point de terminaison du tunnel VPN](routing-vpn-tunnel-updates.md) est utilisée pour déterminer la priorité du tunnel.
Pour les périphériques de passerelle client qui ne prennent pas en charge l'acheminement asymétrique, vous pouvez utiliser AS PATH prepending et Local Preference pour préférer un tunnel à l'autre. Toutefois, lorsque le chemin de sortie change, cela peut entraîner une baisse du trafic.
+ Lorsque les AS PATHs ont la même longueur et si le premier AS de l'AS\$1SEQUENCE est le même sur plusieurs chemins, multi-exit discriminators (MEDs) sont comparés. Le chemin avec la valeur MED la plus faible est préféré.
La priorité de route est affectée lors des [mises à jour des points de terminaison du tunnel VPN](routing-vpn-tunnel-updates.md).
Sur une connexion Site-to-Site VPN, AWS sélectionne l'un des deux tunnels redondants comme chemin de sortie principal. Cette sélection peut parfois changer, et nous vous recommandons fortement de configurer les deux tunnels pour une haute disponibilité, et permet un routage asymétrique. L'état du point de terminaison d'un tunnel est prioritaire par rapport aux autres attributs de routage. Cette priorité s'applique aux VPNs passerelles privées virtuelles et aux passerelles de transit.
Pour une passerelle privée virtuelle, un tunnel pour toutes les connexions Site-to-Site VPN de la passerelle sera sélectionné. Pour utiliser plusieurs tunnels, nous vous recommandons d'utiliser le protocole ECMP (Equal Cost Multipath), qui est pris en charge pour les connexions Site-to-Site VPN sur une passerelle de transit. Pour plus d'informations, consultez [Passerelles de transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) dans *Passerelles de transit Amazon VPC*. L'ECMP n'est pas pris en charge pour les connexions Site-to-Site VPN sur une passerelle privée virtuelle.
Pour les connexions Site-to-Site VPN qui utilisent le protocole BGP, le tunnel principal peut être identifié par la valeur multi-exit discriminator (MED). Nous vous recommandons de publier des itinéraires BGP plus spécifiques pour influencer les décisions de routage.
Pour les connexions Site-to-Site VPN qui utilisent le routage statique, le tunnel principal peut être identifié par des statistiques ou des métriques de trafic.
# Routage pendant les mises à jour des points de terminaison du tunnel VPN
Une connexion Site-to-Site VPN consiste en deux tunnels VPN entre un dispositif de passerelle client et une passerelle privée virtuelle ou une passerelle de transit. Nous vous recommandons de configurer les deux tunnels pour la redondance. De temps en temps, effectue AWS également une maintenance de routine sur votre connexion VPN, ce qui peut désactiver brièvement l'un des deux tunnels de votre connexion VPN. Pour de plus amples informations, veuillez consulter [Notifications de remplacement des points de terminaison du tunnel](monitoring-vpn-health-events.md#tunnel-replacement-notifications).
Lorsque nous effectuons des mises à jour sur un tunnel VPN, nous définissons une valeur MED (multi-exit discriminator) inférieure sur l'autre tunnel. Si vous avez configuré votre périphérique de passerelle client afin qu'il utilise les deux tunnels, votre connexion VPN utilise l'autre tunnel (en amont) pendant le processus de mise à jour du point de terminaison du tunnel.
**Note**
Pour vous assurer que le tunnel en amont avec la valeur MED inférieure est préféré, assurez-vous que votre périphérique de passerelle client utilise les mêmes valeurs de poids et de préférence locale pour les deux tunnels (les valeurs de poids et de préférence locale ont une priorité plus élevée que la valeur MED).
# IPv4 et IPv6 trafic entrant AWS Site-to-Site VPN
Votre connexion Site-to-Site VPN sur une passerelle de transit peut prendre en charge le IPv4 trafic ou le IPv6 trafic à l'intérieur des tunnels VPN. Par défaut, une connexion Site-to-Site VPN prend en charge le IPv4 trafic à l'intérieur des tunnels VPN. Vous pouvez configurer une nouvelle connexion Site-to-Site VPN pour prendre en charge le IPv6 trafic à l'intérieur des tunnels VPN. Ensuite, si votre VPC et votre réseau local sont configurés pour l' IPv6 adressage, vous pouvez envoyer IPv6 du trafic via la connexion VPN.
Si vous activez IPv6 les tunnels VPN pour votre connexion Site-to-Site VPN, chaque tunnel possède deux blocs CIDR. L'un est un bloc d'adresse IPv4 CIDR de taille /30 et l'autre est un bloc d'adresse CIDR de taille /126 IPv6 .
## IPv4 et IPv6 support
Site-to-Site Les connexions VPN prennent en charge les configurations IP suivantes :
+ **IPv4 tunnel extérieur avec paquets IPv4 internes** : fonctionnalité IPv4 VPN de base prise en charge sur les passerelles privées virtuelles, les passerelles de transit et le Cloud WAN.
+ **IPv4 tunnel extérieur avec paquets IPv6 internes - Autorise les** IPv6 applications/le transport dans le tunnel VPN. Pris en charge sur les passerelles de transit et le Cloud WAN. Cela n'est pas pris en charge pour les passerelles privées virtuelles.
+ **IPv6 tunnel extérieur avec paquets IPv6 internes** - Permet une IPv6 migration complète avec des IPv6 adresses à la fois pour le tunnel externe IPs et pour le paquet interne IPs. Pris en charge à la fois pour les passerelles de transit et le Cloud WAN.
+ **IPv6 tunnel extérieur avec paquets IPv4 internes** - Permet l'adressage du tunnel IPv6 externe tout en prenant en charge IPv4 les applications existantes au sein du tunnel. Pris en charge à la fois pour les passerelles de transit et le Cloud WAN.
Les règles suivantes s’appliquent :
+ IPv6 les adresses du tunnel extérieur ne IPs sont prises en charge que sur les connexions Site-to-Site VPN terminées sur une passerelle de transit ou sur le Cloud WAN. Site-to-Site Les connexions VPN sur une passerelle privée virtuelle ne prennent pas en charge IPv6 le tunnel IPs extérieur.
+ Lorsque vous utilisez IPv6 un tunnel externe IPs, vous devez attribuer IPv6 des adresses à la fois du AWS côté de la connexion VPN et de la passerelle client pour les deux tunnels VPN.
+ Vous ne pouvez pas activer le IPv6 support pour une connexion Site-to-Site VPN existante. Vous devez supprimer la connexion existante et en créer une nouvelle.
+ Une connexion Site-to-Site VPN ne peut pas prendre en charge à la fois IPv6 le trafic IPv4 et le trafic. Les paquets encapsulés internes peuvent être l'un IPv6 ou l'autre IPv4, mais pas les deux. Vous avez besoin de connexions Site-to-Site VPN distinctes pour le transport IPv4 et IPv6 les paquets.
+ Les adresses IP privées VPNs ne prennent pas en charge IPv6 les adresses pour le tunnel extérieur IPs. Ils utilisent des adresses RFC 1918 ou CGNAT. Pour plus d'informations sur la RFC 1918, consultez la [RFC 1918 - Allocation d'adresses pour les réseaux Internet privés](https://datatracker.ietf.org/doc/html/rfc1918).
+ IPv6 VPNs supportent les mêmes limites de débit (Gbit/s et PPS), de MTU et de route que. IPv4 VPNs
+ Le IPSec chiffrement et l'échange de clés fonctionnent de la même manière pour les deux IPv4 et IPv6 VPNs.
Pour plus d'informations sur la création d'une connexion VPN avec IPv6 assistance, voir [Création d'une connexion VPN](SetUpVPNConnections.md#vpn-create-vpn-connection) dans Commencer avec un Site-to-Site VPN.
# AWS Site-to-Site VPN Concentrateurs
AWS Site-to-Site VPN Concentrator est une nouvelle fonctionnalité qui simplifie la connectivité multisite pour les entreprises distribuées. Le concentrateur VPN convient aux clients qui ont besoin de connecter plus de 25 sites distants à AWS, chaque site nécessitant une faible bande passante (moins de 100 Mbits/s).
## Services et fonctionnalités de passerelle pris en charge
Les concentrateurs VPN ne sont pris en charge qu'avec Transit Gateway. Cette fonctionnalité n'est pas prise en charge avec Cloud WAN ou Virtual Private Gateway.
Le tableau suivant décrit les fonctionnalités prises en charge par Site-to-Site VPN Concentrator :
| Fonction | Pris en charge ? |
| --- | --- |
| IPv6 | Oui |
| Connexions VPN Direct Connect privées | Non |
| VPN accéléré | Oui |
| Plusieurs appareils de passerelle client depuis le même site | Oui. Cependant, chaque dispositif de passerelle client doit avoir une adresse IP unique. |
| Restrictions géographiques | Non Vous pouvez associer un site situé dans n'importe quelle région à un concentrateur de n'importe quelle AWS région. |
| Site-to-Site Journaux du VPN | Oui. Vous pouvez générer des journaux VPN pour tous les sites connectés au Concentrator ou individuellement. |
| Support pour le chiffrement de Transit Gateway | Non |
## Bande passante
Actuellement, les concentrateurs Site-to-Site VPN prennent en charge une bande passante globale de 5 Gbit/s. Chaque site peut prendre en charge une bande passante maximale de 100 Mbits/s. Toutefois, si vous avez besoin d'une bande passante plus élevée, contactez AWS Support.
## Routage
Site-to-Site Les concentrateurs VPN prennent uniquement en charge le routage BGP (Border Gateway Protocol). Le routage statique n'est pas pris en charge.
Toutes les passerelles client connectées au Site-to-Site VPNConcentrator utilisent le même rattachement Site-to-Site VPN Concentrator à la passerelle de transit pour le routage. Chaque site connecté au concentrateur Site-to-Site VPN peut envoyer un maximum de 5 000 itinéraires de la passerelle de transit vers une passerelle client et 1 000 itinéraires de la passerelle client vers la passerelle de transit.
## Allocation d'adresses IP
Chaque connexion VPN via le concentrateur Site-to-Site VPN aura toujours une adresse IP AWS unique (une par tunnel).
## Contrôle
Les connexions VPN via des concentrateurs Site-to-Site VPN prennent en charge les mêmes métriques que les connexions VPN classiques.
Lorsque vous activez les journaux de flux de la passerelle de transit sur la pièce jointe du concentrateur VPN, vous verrez les journaux de flux pour tout le trafic entrant et sortant de tous les sites distants connectés au concentrateur.
## Entretien des tunnels
La maintenance des tunnels fonctionne de la même manière que les tunnels Site-to-Site VPN standard existants pour les deux points de terminaison lors de l'utilisation d'un concentrateur Site-to-Site VPN. Pour plus d’informations, consultez [Remplacements de points de terminaison](endpoint-replacements.md).
## Tarification
Les informations relatives à la tarification de Site-to-Site VPN Concentrator sont disponibles sur la page de [tarification du VPN AWS](https://aws.amazon.com/vpn/pricing/).