Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# IP privée AWS Site-to-Site VPN avec Direct Connect
Avec un VPN IP privé, vous pouvez déployer IPsec un VPN par-dessus Direct Connect, crypter le trafic entre votre réseau local et ce AWS, sans utiliser d'adresses IP publiques ou d'équipements VPN tiers supplémentaires.
L'un des principaux cas d'utilisation du VPN IP privéDirect Connect consiste à aider les clients des secteurs de la finance, de la santé et du secteur fédéral à atteindre leurs objectifs réglementaires et de conformité. Le VPN IP privéDirect Connect garantit que le trafic entre les réseaux locaux AWS et sur site est à la fois sécurisé et privé, ce qui permet aux clients de se conformer à leurs obligations réglementaires et de sécurité.
## Avantages du VPN d'IP privée
+ **Gestion et opérations réseau simplifiées :** sans VPN IP privé, les clients doivent déployer un VPN et des routeurs tiers pour implémenter le privé VPNs sur Direct Connect les réseaux. Avec la capacité VPN d'IP privée, les clients n'ont pas besoin de déployer et de gérer leur propre infrastructure VPN. Cela permet de simplifier les opérations réseau et de réduire les coûts.
+ **Position de sécurité améliorée :** Auparavant, les clients devaient utiliser une interface Direct Connect virtuelle publique (VIF) pour chiffrer le trafic Direct Connect, ce qui nécessitait des adresses IP publiques pour les points de terminaison VPN. Le recours au public IPs augmente la probabilité d'attaques externes (DOS), ce qui oblige les clients à déployer des équipements de sécurité supplémentaires pour protéger le réseau. En outre, un VIF public ouvre l'accès entre tous les services AWS publics et les réseaux locaux des clients, augmentant ainsi la gravité du risque. La fonctionnalité VPN IP privée permet le chiffrement via le Direct Connect transit VIFs (au lieu du chiffrement public VIFs), associé à la possibilité de configurer le mode privé IPs. Cela fournit une connectivité end-to-end privée en plus du chiffrement, améliorant ainsi la posture de sécurité globale.
+ **Échelle d'itinéraire plus élevée :** les connexions VPN IP privées offrent des limites de routes plus élevées (5 000 routes sortantes et 1 000 routes entrantes) par rapport aux connexions Direct Connect seules, qui sont actuellement limitées à 200 routes sortantes et 100 routes entrantes.
## Comment fonctionne le VPN d'IP privée
Site-to-SiteLe VPN IP privé fonctionne via une interface virtuelle de Direct Connect transit (VIF). Il utilise une Direct Connect passerelle et une passerelle de transit pour interconnecter vos réseaux locaux avec.AWS VPCs Une connexion VPN IP privée possède des points de terminaison sur la passerelle de transit sur le AWS côté, et sur le dispositif de passerelle de votre client sur site. Vous devez attribuer des adresses IP privées à la fois à la passerelle de transit et à l'extrémité du dispositif de passerelle client des IPsec tunnels. Vous pouvez utiliser des adresses IP privées issues de l'une RFC1918 ou de plusieurs plages RFC6598 d' IPv4 adresses privées.
Vous attachez une connexion VPN d'IP privée à une passerelle de transit. Vous acheminez ensuite le trafic entre le rattachement VPN et tout réseau VPCs (ou autre) également connecté à la passerelle de transit. Pour ce faire, vous associez une table de routage à l'attachement de VPN. Dans le sens inverse, vous pouvez acheminer le trafic VPCs de votre attachement VPN IP privé à l'aide des tables de routage associées au VPCs.
La table de routage associée à la pièce jointe VPN peut être identique ou différente de celle associée à la Direct Connect pièce jointe sous-jacente. Cela vous permet d'acheminer le trafic chiffré et non chiffré simultanément entre votre réseau VPCs et votre réseau sur site.
Pour plus de détails sur le chemin de trafic quittant le VPN, consultez la section [Politiques de routage de l'interface virtuelle privée et de l'interface virtuelle de transit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies) dans le *guide de Direct Connect l'utilisateur*.
## Conditions préalables
Le tableau suivant décrit les conditions préalables à la création d'un VPN IP privé via Direct Connect.
| Élément | Étapes | Informations |
| --- | --- | --- |
| Préparez la passerelle de transit pour le Site-to-Site VPN. | Créez la passerelle de transit à l'aide de la console Amazon Virtual Private Cloud(VPC), de la ligne de commande ou de l'API. Consultez la section Passerelles de [transit dans le guide des passerelles](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) de *transit Amazon VPC*. | Une passerelle de transit est un hub de transit réseau que vous pouvez utiliser pour interconnecter vos réseaux VPCs et ceux sur site. Vous pouvez créer une nouvelle passerelle de transit ou utiliser une passerelle existante pour la connexion VPN d'IP privée. Lorsque vous créez la passerelle de transit ou que vous modifiez une passerelle de transit existante, vous spécifiez un bloc CIDR d'IP privée pour la connexion. Lorsque vous spécifiez le bloc CIDR de la passerelle de transit à associer à votre VPN d'IP privée, assurez-vous que le bloc CIDR ne chevauche aucune adresse IP pour les autres attachements réseau de la passerelle de transit. Si des blocs CIDR IP se chevauchent, cela peut entraîner des problèmes de configuration avec votre appareil de passerelle client. |
| Créez la Direct Connect passerelle pour le Site-to-Site VPN. | Créez la passerelle Direct Connect à l'aide de la console Direct Connect, de la ligne de commande ou de l'API. [Reportez-vous à la section Création d'une passerelle AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) dans le *guide de Direct Connect l'utilisateur*. | Une passerelle Direct Connect vous permet de connecter des interfaces virtuelles (VIFs) dans plusieurs AWS régions. Cette passerelle est utilisée pour se connecter à votre VIF. |
| Créez l'association de passerelle de transit pour le Site-to-Site VPN. | Créez l'association entre la passerelle Direct Connect et la passerelle de transit à l'aide de la console Direct Connect, de la ligne de commande ou de l'API. Voir [Associer ou dissocier Direct Connect une passerelle de transit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) dans le *guide de l'Direct Connect utilisateur*. | Après avoir créé la Direct Connect passerelle, créez une association de passerelle de transit pour la Direct Connect passerelle. Spécifiez le CIDR d'IP privée pour la passerelle de transit identifiée précédemment dans la liste des préfixes autorisés. |
**Topics**
+ [Avantages du VPN d'IP privée](#private-ip-dx-features)
+ [Comment fonctionne le VPN d'IP privée](#private-ip-dx-how)
+ [Conditions préalables](#private-ip-dx-prereqs)
+ [Créez un VPN IP privé via Direct Connect](private-ip-dx-steps.md)
# Créez une adresse IP privée AWS Site-to-Site VPN sur Direct Connect
Pour créer un VPN IP privé, Direct Connect procédez comme suit. Avant de créer le VPN IP privé via Direct Connect, vous devez d'abord vous assurer qu'une passerelle de transit et une passerelle Direct Connect sont créées. Après avoir créé les deux passerelles, vous devez créer une association entre les deux. Ces prérequis sont décrits dans le tableau suivant. Une fois que vous avez créé et associé les deux passerelles, vous créerez une passerelle client VPN et une connexion à l'aide de cette association.
## Conditions préalables
Le tableau suivant décrit les conditions préalables à la création d'un VPN IP privé via Direct Connect.
| Élément | Étapes | Informations |
| --- | --- | --- |
| Préparez la passerelle de transit pour le Site-to-Site VPN. | Créez la passerelle de transit à l'aide de la console Amazon Virtual Private Cloud (VPC), de la ligne de commande ou de l'API. Consultez la section Passerelles de [transit dans le guide des passerelles](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) de *transit Amazon VPC*. | Une passerelle de transit est un hub de transit réseau que vous pouvez utiliser pour interconnecter vos réseaux VPCs et ceux sur site. Vous pouvez créer une nouvelle passerelle de transit ou utiliser une passerelle existante pour la connexion VPN d'IP privée. Lorsque vous créez la passerelle de transit ou que vous modifiez une passerelle de transit existante, vous spécifiez un bloc CIDR d'IP privée pour la connexion. Lorsque vous spécifiez le bloc CIDR de la passerelle de transit à associer à votre VPN d'IP privée, assurez-vous que le bloc CIDR ne chevauche aucune adresse IP pour les autres attachements réseau de la passerelle de transit. Si des blocs CIDR IP se chevauchent, cela peut entraîner des problèmes de configuration avec votre appareil de passerelle client. |
| Créez la Direct Connect passerelle pour le Site-to-Site VPN. | Créez la passerelle Direct Connect à l'aide de la console Direct Connect, de la ligne de commande ou de l'API. [Reportez-vous à la section Création d'une passerelle AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) dans le *guide de Direct Connect l'utilisateur*. | Une passerelle Direct Connect vous permet de connecter des interfaces virtuelles (VIFs) dans plusieurs AWS régions. Cette passerelle est utilisée pour se connecter à votre VIF. |
| Créez l'association de passerelle de transit pour le Site-to-Site VPN. | Créez l'association entre la passerelle Direct Connect et la passerelle de transit à l'aide de la console Direct Connect, de la ligne de commande ou de l'API. Voir [Associer ou dissocier Direct Connect une passerelle de transit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) dans le *guide de l'Direct Connect utilisateur*. | Après avoir créé la Direct Connect passerelle, créez une association de passerelle de transit pour la Direct Connect passerelle. Spécifiez le CIDR d'IP privée pour la passerelle de transit identifiée précédemment dans la liste des préfixes autorisés. |
## Création de la passerelle client et de la connexion pour le Site-to-Site VPN
Une passerelle client est une ressource que vous créez dans AWS. Elle représente l'appareil de passerelle client dans votre réseau sur site. Lorsque vous créez une passerelle client, vous fournissez des informations sur votre appareil à AWS. Pour en savoir plus, consultez [Passerelle client](how_it_works.md#CustomerGateway).
**Pour créer une passerelle client avec la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Passerelles client**.
1. Choisissez **Créer la passerelle client**.
1. (Facultatif) Pour **Name tag** (Étiquette de nom), entrez un nom pour votre passerelle client. Une identification est alors créée avec la clé `Name` et la valeur que vous spécifiez.
1. Dans **BGP ASN** (Version du moteur de cache), saisissez le numéro d'ASN (Autonomous System Number) BGP (Border Gateway Protocol) de votre passerelle client.
1. Pour **Adresse IP**, entrez l'adresse IP privée de votre appareil de passerelle client.
**Important**
Lors de la configuration de l'adresse IP AWS privée AWS Site-to-Site VPN, vous devez spécifier vos propres adresses IP de point de terminaison de tunnel à l'aide des adresses RFC 1918. N'utilisez pas les adresses point-to-point IP pour le peering eBGP entre le routeur de votre passerelle client et le Direct Connect point de terminaison. AWS recommande d'utiliser une interface de boucle ou une interface LAN sur le routeur de votre passerelle client comme adresse source ou de destination plutôt que des point-to-point connexions.
Pour plus d'informations sur la RFC 1918, consultez la section [Allocation d'adresses pour les réseaux Internet privés](https://datatracker.ietf.org/doc/html/rfc1918).
1. (Facultatif) Pour**Device** (Appareil) Entrez un nom pour l'appareil qui héberge cette passerelle client.
1. Choisissez **Créer la passerelle client**.
1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.
1. Choisissez **Create VPN connection** (Créer une connexion VPN).
1. (Facultatif) **Dans le champ Name tag**, saisissez le nom de votre connexion Site-to-Site VPN. Une identification est alors créée avec la clé `Name` et la valeur que vous spécifiez.
1. Pour **Target gateway type (Type de passerelle cible)**, choisissez **Transit gateway (Passerelle de transit)**. Ensuite, choisissez la passerelle de transit que vous avez identifiée précédemment.
1. Pour **Customer gateway (Passerelle client)**, sélectionnez **Existing (Existante)**. Sélectionnez ensuite la passerelle client que vous avez créée précédemment.
1. Sélectionnez une des options de routage en fonction de la prise en charge ou non de Border Gateway Protocol (BGP) par votre périphérique de passerelle client :
+ Si votre périphérique de passerelle client prend en charge BGP, choisissez **Dynamique (nécessite BGP)**.
+ Si votre périphérique de passerelle client ne prend pas en charge BGP, choisissez **Statique**.
1. Pour la **version Tunnel inside IP**, spécifiez si les tunnels VPN prennent en charge le IPv6 trafic IPv4 ou le trafic.
1. (Facultatif) Si vous avez spécifié **IPv4**la **version Tunnel inside IP**, vous pouvez éventuellement spécifier les plages IPv4 CIDR pour la passerelle client et AWS les côtés autorisés à communiquer via les tunnels VPN. La valeur par défaut est `0.0.0.0/0`.
Si vous avez spécifié **IPv6**la **version Tunnel inside IP**, vous pouvez éventuellement spécifier les plages IPv6 CIDR pour la passerelle client et AWS les côtés autorisés à communiquer via les tunnels VPN. La valeur par défaut pour les deux plages est `::/0`.
1. Pour le **type d'adresse IP externe**, choisissez **PrivateIpv4**.
1. Pour l'**ID de pièce jointe de transport**, choisissez la pièce jointe de passerelle de transit pour la Direct Connect passerelle appropriée.
1. Choisissez **Create VPN connection** (Créer une connexion VPN).
**Note**
L'option **Enable acceleration (Activer l'accélération)** n'est pas applicable aux connexions VPN sur Direct Connect.
**Pour créer une passerelle client à l'aide de la ligne de commande ou de l'API**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(API de requête Amazon EC2)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)