Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# IP privato AWS Site-to-Site VPN con Direct Connect
Con la VPN IP privata, puoi implementare la IPsec VPN tramite Direct Connect crittografia del traffico tra la tua rete locale e AWS senza l'uso di indirizzi IP pubblici o apparecchiature VPN aggiuntive di terze parti.
Uno dei principali casi d'uso di Private IP VPN over Direct Connectè aiutare i clienti del settore finanziario, sanitario e federale a raggiungere gli obiettivi normativi e di conformità. Private IP VPN over Direct Connect garantisce che il traffico tra le reti locali AWS e le reti locali sia sicuro e privato, consentendo ai clienti di rispettare i propri mandati normativi e di sicurezza.
## Vantaggi della VPN IP privata
+ **Gestione e operazioni di rete semplificate:** senza una VPN IP privata, i clienti devono implementare VPN e router di terze parti per implementare reti private su reti. VPNs Direct Connect Grazie alla funzionalità VPN IP privata, i clienti non devono implementare e gestire la propria infrastruttura VPN. Ciò comporta operazioni di rete semplificate e costi ridotti.
+ **Migliore livello di sicurezza:** in precedenza, i clienti dovevano utilizzare un'interfaccia Direct Connect virtuale pubblica (VIF) per crittografare il traffico Direct Connect, che richiedeva indirizzi IP pubblici per gli endpoint VPN. L'uso del pubblico IPs aumenta la probabilità di attacchi esterni (DOS), il che a sua volta obbliga i clienti a implementare dispositivi di sicurezza aggiuntivi per la protezione della rete. Inoltre, un VIF pubblico apre l'accesso tra tutti i servizi AWS pubblici e le reti locali dei clienti, aumentando la gravità del rischio. La funzionalità VPN IP privata consente la crittografia in Direct Connect transito VIFs (anziché in modalità pubblica VIFs), oltre alla possibilità di configurare la rete privata. IPs Ciò fornisce connettività end-to-end privata oltre alla crittografia, migliorando il livello di sicurezza generale.
+ **Scala di routing più elevata:** le connessioni VPN IP private offrono limiti di routing più elevati (5000 rotte in uscita e 1000 rotte in entrata) rispetto alle Direct Connect sole, che attualmente hanno un limite di 200 rotte in uscita e 100 in entrata.
## Come funziona la VPN IP privata
La Site-to-Site VPN IP privata funziona tramite un'interfaccia virtuale di Direct Connect transito (VIF). Utilizza un Direct Connect gateway e un gateway di transito con cui interconnettere le reti locali.AWS VPCs Una connessione VPN IP privata presenta punti di terminazione sul gateway di transito sul AWS lato e sul dispositivo gateway del cliente sul lato locale. È necessario assegnare indirizzi IP privati sia al gateway di transito che all'estremità del dispositivo gateway del cliente dei tunnel. IPsec È possibile utilizzare indirizzi IP privati provenienti da entrambi gli intervalli RFC1918 di IPv4 indirizzi RFC6598 privati.
È possibile collegare una connessione IP VPN privata a un gateway di transito. Quindi instrada il traffico tra l'allegato VPN e qualsiasi VPCs (o altra rete) anch'essa collegata al gateway di transito. associando una tabella di instradamento all'allegato VPN. Nella direzione opposta, è possibile VPCs indirizzare il traffico dall'allegato VPN IP privato all'allegato VPN IP privato utilizzando le tabelle di routing associate a VPCs.
La tabella di routing associata all'allegato VPN può essere uguale o diversa da quella associata all'Direct Connect allegato sottostante. Questo ti dà la possibilità di instradare contemporaneamente il traffico crittografato e non crittografato tra la tua rete VPCs e quella locale.
*Per maggiori dettagli sul percorso del traffico in uscita dalla VPN, consulta le [politiche di routing dell'interfaccia virtuale privata e dell'interfaccia virtuale di transito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies) nella Guida per l'Direct Connect utente.*
## Prerequisiti
La tabella seguente descrive i prerequisiti prima di creare una VPN IP privata tramite Direct Connect.
| Elemento | Fasi | Informazioni |
| --- | --- | --- |
| Prepara il gateway di transito per la VPN Site-to-Site. | Crea il gateway di transito utilizzando la console Amazon Virtual Private Cloud(VPC) o utilizzando la riga di comando o l'API. Consulta i [gateway di transito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) nella *Amazon VPC Transit* Gateways Guide. | Un gateway di transito è un hub di transito di rete che puoi utilizzare per interconnettere le tue VPCs reti e quelle locali. È possibile creare un nuovo gateway di transito o utilizzarne uno esistente per la connessione VPN IP privata. Quando si crea il gateway di transito o si modifica un gateway di transito esistente, si specifica un blocco CIDR IP privato per la connessione. Quando si specifica il blocco CIDR del gateway di transito da associare alla VPN IP privata, assicurarsi che il blocco CIDR non si sovrapponga a nessun indirizzo IP per altri allegati di rete sul gateway di transito. Se alcuni blocchi IP CIDR si sovrappongono, potrebbero causare problemi di configurazione con il dispositivo gateway del cliente. |
| Crea il Direct Connect gateway per Site-to-Site la VPN. | Crea il gateway Direct Connect utilizzando la console Direct Connect o utilizzando la riga di comando o l'API. Vedi [Creare un gateway AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) nella *Guida Direct Connect per l'utente*. | Un gateway Direct Connect consente di connettere interfacce virtuali (VIFs) tra piùAWS regioni. Questo gateway viene utilizzato per connettersi al tuo VIF. |
| Crea l'associazione di gateway di transito per Site-to-Site VPN. | Crea l'associazione tra il gateway Direct Connect e il gateway di transito utilizzando la console Direct Connect o utilizzando la riga di comando o l'API. *Vedi [Associare o dissociare da un gateway Direct Connect di transito nella Guida](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) per l'Direct Connect utente.* | Dopo aver creato il Direct Connect gateway, crea un'associazione di gateway di transito per il Direct Connect gateway. Specificare il CIDR IP privato per il gateway di transito identificato in precedenza nell'elenco dei prefissi consentiti. |
**Topics**
+ [Vantaggi della VPN IP privata](#private-ip-dx-features)
+ [Come funziona la VPN IP privata](#private-ip-dx-how)
+ [Prerequisiti](#private-ip-dx-prereqs)
+ [Crea una VPN IP privata tramite Direct Connect](private-ip-dx-steps.md)
# Crea un IP privato AWS Site-to-Site VPN su Direct Connect
Per creare una VPN IP privata, Direct Connect segui questi passaggi. Prima di creare la VPN IP privata tramite Direct Connect, devi assicurarti che vengano creati prima un gateway di transito e un gateway Direct Connect. Dopo aver creato i due gateway, è necessario creare un'associazione tra i due. Questi prerequisiti sono descritti nella tabella seguente. Dopo aver creato e associato i due gateway, creerai un cateway e una connessione per i clienti VPN utilizzando tale associazione.
## Prerequisiti
La tabella seguente descrive i prerequisiti prima di creare una VPN IP privata tramite Direct Connect.
| Elemento | Fasi | Informazioni |
| --- | --- | --- |
| Prepara il gateway di transito per la VPN Site-to-Site. | Crea il gateway di transito utilizzando la console Amazon Virtual Private Cloud (VPC) o utilizzando la riga di comando o l'API. Consulta i [gateway di transito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) nella *Amazon VPC Transit* Gateways Guide. | Un gateway di transito è un hub di transito di rete che puoi utilizzare per interconnettere le tue VPCs reti e quelle locali. È possibile creare un nuovo gateway di transito o utilizzarne uno esistente per la connessione VPN IP privata. Quando si crea il gateway di transito o si modifica un gateway di transito esistente, si specifica un blocco CIDR IP privato per la connessione. Quando si specifica il blocco CIDR del gateway di transito da associare alla VPN IP privata, assicurarsi che il blocco CIDR non si sovrapponga a nessun indirizzo IP per altri allegati di rete sul gateway di transito. Se alcuni blocchi IP CIDR si sovrappongono, potrebbero causare problemi di configurazione con il dispositivo gateway del cliente. |
| Crea il Direct Connect gateway per Site-to-Site la VPN. | Crea il gateway Direct Connect utilizzando la console Direct Connect o utilizzando la riga di comando o l'API. Vedi [Creare un gateway AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) nella *Guida Direct Connect per l'utente*. | Un gateway Direct Connect consente di connettere interfacce virtuali (VIFs) tra più AWS regioni. Questo gateway viene utilizzato per connettersi al tuo VIF. |
| Crea l'associazione di gateway di transito per Site-to-Site VPN. | Crea l'associazione tra il gateway Direct Connect e il gateway di transito utilizzando la console Direct Connect o utilizzando la riga di comando o l'API. *Vedi [Associare o dissociare da un gateway Direct Connect di transito nella Guida](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) per l'Direct Connect utente.* | Dopo aver creato il Direct Connect gateway, crea un'associazione di gateway di transito per il Direct Connect gateway. Specificare il CIDR IP privato per il gateway di transito identificato in precedenza nell'elenco dei prefissi consentiti. |
## Crea il gateway e la connessione del cliente per la Site-to-Site VPN
Un customer gateway è una risorsa in cui crei AWS. Rappresenta il dispositivo gateway del cliente nella rete on-premise. Quando crei un customer gateway, fornisci informazioni sul tuo dispositivo a AWS. Per ulteriori dettagli, consultare [Gateway del cliente](how_it_works.md#CustomerGateway).
**Per creare un gateway del cliente utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegli **Gateway del cliente**.
1. Scegli **Crea gateway del cliente**.
1. (Facoltativo) In **Name** (Nome), inserire un nome per il gateway del cliente. In questo modo viene creato un tag con una chiave di `Name` e il valore specificato.
1. In **BGP ASN**, inserire un Border Gateway Protocol (BGP) Autonomous System Number (ASN) del gateway del cliente.
1. Per **Indirizzo IP**, immettere l'indirizzo IP privato del dispositivo gateway del cliente.
**Importante**
Quando si configura l'IP AWS privato AWS Site-to-Site VPN, è necessario specificare gli indirizzi IP degli endpoint del tunnel utilizzando gli indirizzi RFC 1918. Non utilizzate gli indirizzi point-to-point IP per il peering eBGP tra il router gateway del cliente e l'endpoint. Direct Connect AWS consiglia di utilizzare un'interfaccia di loopback o LAN sul router gateway del cliente come indirizzo di origine o destinazione anziché connessioni. point-to-point
Per ulteriori informazioni su RFC 1918, consulta [Address Allocation for Private Internets](https://datatracker.ietf.org/doc/html/rfc1918).
1. (Opzionale) Per **Device** (Dispositivo), inserire un nome per il dispositivo che ospita questo gateway del cliente.
1. Scegli **Crea gateway del cliente**.
1. Nel pannello di navigazione, scegli Connessioni **Site-to-Site VPN**.
1. Scegliere **Create VPN Connection** (Crea connessione VPN).
1. (Facoltativo) Per **il tag Nome**, inserisci un nome per la tua connessione Site-to-Site VPN. In questo modo viene creato un tag con una chiave di `Name` e il valore specificato.
1. Per **Tipo di gateway di destinazione**, scegli **Gateway di transito**. Quindi, scegli il gateway di transito identificato in precedenza.
1. Per **Gateway del cliente**, seleziona **Esistente**. Quindi, scegli il gateway del cliente creato in precedenza.
1. Selezionare una delle opzioni di routing a seconda che il dispositivo gateway del cliente supporti Border Gateway Protocol (BGP):
+ Se il dispositivo gateway del cliente supporta BGP, scegliere **Dynamic (requires BGP) (Dinamico (richiede BGP))**.
+ Se il dispositivo gateway del cliente non supporta BGP, scegliere **Static (Statico)**.
1. Per la **versione IP di Tunnel inside**, specifica se i tunnel VPN supportano IPv4 o supportano il IPv6 traffico.
1. (Facoltativo) Se hai specificato **IPv4****Tunnel inside IP Version**, puoi facoltativamente specificare gli intervalli IPv4 CIDR per il gateway del cliente e AWS i lati autorizzati a comunicare tramite i tunnel VPN. Il valore predefinito è `0.0.0.0/0`.
Se hai specificato **IPv6**la **versione Tunnel inside IP**, puoi facoltativamente specificare gli intervalli IPv6 CIDR per il gateway e AWS i lati del cliente che sono autorizzati a comunicare tramite i tunnel VPN. Il valore predefinito per entrambi gli intervalli è `::/0`.
1. **Per **Tipo di indirizzo IP esterno, scegli 4**. PrivateIpv**
1. Per **Transport attachment ID**, scegliete l'allegato del gateway di transito per il Direct Connect gateway appropriato.
1. Scegliere **Create VPN Connection** (Crea connessione VPN).
**Nota**
L’opzione **Abilita accelerazione** non è applicabile per le connessioni VPN su Direct Connect.
**Per creare un gateway del cliente utilizzando l'API o la riga di comando**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(API di interrogazione Amazon EC2)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)