Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Site-to-Site VPN scenari architettonici
Di seguito sono riportati gli scenari in cui è possibile creare più connessioni VPN con uno o più dispositivi gateway del cliente.
**Più connessioni VPN che utilizzano lo stesso dispositivo gateway del cliente**
Puoi creare connessioni VPN aggiuntive dalla tua posizione locale ad un'altra VPCs utilizzando lo stesso dispositivo gateway per il cliente. Puoi riutilizzare lo stesso indirizzo IP del gateway del cliente per ciascuna di tali connessioni VPN.
**Più dispositivi gateway per i clienti verso un unico gateway privato virtuale ()Site-to-Site VPN CloudHub**
Puoi stabilire più connessioni VPN a un singolo gateway virtuale privato da più dispositivi gateway del cliente. Ciò consente di avere più postazioni connesse alla AWS VPN CloudHub. Per ulteriori informazioni, consulta [Comunicazione sicura tra AWS Site-to-Site VPN connessioni tramite VPN CloudHub](VPN_CloudHub.md). Quando disponi di dispositivi gateway del cliente in corrispondenza di più posizioni geografiche, ogni dispositivo deve promuovere un set univoco di intervalli IP specifici per la posizione.
**Connessione VPN ridondante utilizzando un secondo dispositivo gateway del cliente**
Per garantire la protezione da una perdita di connettività nel caso in cui il dispositivo gateway del cliente diventi non disponibile, puoi configurare una seconda connessione VPN mediante un secondo dispositivo gateway del cliente. Per ulteriori informazioni, consulta [AWS Site-to-Site VPN Connessioni ridondanti per il failover](vpn-redundant-connection.md). Quando stabilisci dispositivi gateway del cliente ridondanti in una singola posizione, entrambi i dispositivi devono promuovere gli stessi intervalli IP.
Le seguenti sono architetture Site-to-Site VPN comuni:
+ [Connessioni VPN singole e multiple](Examples.md)
+ [AWS Site-to-Site VPN Connessioni ridondanti per il failover](vpn-redundant-connection.md)
+ [Comunicazioni sicure tra connessioni VPN tramite VPN CloudHub](VPN_CloudHub.md)
# AWS Site-to-Site VPN esempi di connessioni VPN singole e multiple
I seguenti diagrammi illustrano connessioni VPN singole e multiple Site-to-Site.
**Topics**
+ [Connessione VPN singola Site-to-Site](#SingleVPN)
+ [Connessione Site-to-Site VPN singola con un gateway di transito](#SingleVPN-transit-gateway)
+ [Connessioni Site-to-Site VPN multiple](#MultipleVPN)
+ [Connessioni Site-to-Site VPN multiple con un gateway di transito](#MultipleVPN-transit-gateway)
+ [Site-to-Site Connessione VPN con Direct Connect](#vpn-direct-connect)
+ [Connessione Site-to-Site VPN IP privata con Direct Connect](#private-ip-direct-connect)
## Connessione VPN singola Site-to-Site
Il VPC dispone di un gateway privato virtuale e la rete remota on-premise include un dispositivo gateway del cliente che devi configurare per abilitare la connessione VPN. È necessario configurare le tabelle di routing per instradare l'eventuale traffico dal VPC destinato alla rete al gateway privato virtuale.
![\[Il VPC con un gateway privato virtuale collegato e una connessione VPN alla rete on-premise.\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)
Per le fasi di impostazione di questo scenario, consulta [Inizia con AWS Site-to-Site VPN](SetUpVPNConnections.md).
## Connessione Site-to-Site VPN singola con un gateway di transito
Il VPC dispone di un gateway di transito collegato e la rete remota on-premise include un dispositivo gateway del cliente che devi configurare per abilitare la connessione VPN sito-sito. È necessario configurare le tabelle di routing per instradare l'eventuale traffico dal VPC destinato alla rete al gateway di transito.
![\[Una singola connessione Site-to-Site VPN con un gateway di transito.\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)
Per le fasi di impostazione di questo scenario, consulta [Inizia con AWS Site-to-Site VPN](SetUpVPNConnections.md).
## Connessioni Site-to-Site VPN multiple
Il VPC dispone di un gateway privato virtuale collegato e sono disponibili più connessioni Site-to-Site VPN verso più sedi locali. Configura il routing per instradare l'eventuale traffico dal VPC destinato alle reti al gateway virtuale privato.
![\[Layout VPN multiplo Site-to-Site\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/branch-offices-vgw.png)
Quando crei più connessioni Site-to-Site VPN a un singolo VPC, puoi configurare un secondo gateway cliente per creare una connessione ridondante alla stessa posizione esterna. Per ulteriori informazioni, consulta [AWS Site-to-Site VPN Connessioni ridondanti per il failover](vpn-redundant-connection.md).
È inoltre possibile utilizzare questo scenario per creare connessioni Site-to-Site VPN verso più posizioni geografiche e fornire comunicazioni sicure tra i siti. Per ulteriori informazioni, consulta [Comunicazione sicura tra AWS Site-to-Site VPN connessioni tramite VPN CloudHub](VPN_CloudHub.md).
## Connessioni Site-to-Site VPN multiple con un gateway di transito
Il VPC dispone di un gateway di transito collegato e sono disponibili più connessioni Site-to-Site VPN verso più sedi locali. Configura il routing per instradare l'eventuale traffico dal VPC destinato alle reti al gateway di transito.
![\[Connessioni Site-to-Site VPN multiple con un gateway di transito\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/branch-offices-tgw.png)
Quando crei più connessioni Site-to-Site VPN a un singolo gateway di transito, puoi configurare un secondo gateway cliente per creare una connessione ridondante alla stessa posizione esterna.
È inoltre possibile utilizzare questo scenario per creare connessioni Site-to-Site VPN verso più posizioni geografiche e fornire comunicazioni sicure tra i siti.
## Site-to-Site Connessione VPN con Direct Connect
Il VPC dispone di un gateway privato virtuale collegato e si connette alla rete locale (remota) tramite. AWS Direct ConnectÈ possibile configurare un'interfaccia virtuale Direct Connect pubblica per stabilire una connessione di rete dedicata tra la rete e AWS le risorse pubbliche tramite un gateway privato virtuale. Il routing viene impostato in modo che tutto il traffico proveniente dal VPC destinato alla rete venga indirizzato al gateway privato virtuale e Direct Connect alla connessione.
![\[Site-to-Site Connessione VPN con Direct Connect\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/vpn-direct-connect.png)
Quando entrambe Direct Connect e la connessione VPN sono configurate sullo stesso gateway privato virtuale, l'aggiunta o la rimozione di oggetti potrebbe far passare il gateway privato virtuale allo stato di «collegamento». Questo indica che viene apportata una modifica al routing interno che passerà da Direct Connect alla connessione VPN per ridurre al minimo le interruzioni e la perdita di pacchetti. Al termine, il gateway virtuale privato torna allo stato 'collegato'.
## Connessione Site-to-Site VPN IP privata con Direct Connect
Con una Site-to-Site VPN IP privata puoi crittografare il Direct Connect traffico tra la tua rete locale e AWS senza l'uso di indirizzi IP pubblici. Private IP VPN over Direct Connect garantisce che il traffico tra le reti locali AWS e le reti locali sia sicuro e privato, permettendo ai clienti di rispettare gli obblighi normativi e di sicurezza.
![\[Connessione Site-to-Site VPN IP privata con Direct Connect\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/private-ip-dx.png)
Per ulteriori informazioni, consulta il seguente post sul blog: [Introduzione all'IP AWS Site-to-Site VPN privato VPNs](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-private-ip-vpns/).
# Comunicazione sicura tra AWS Site-to-Site VPN connessioni tramite VPN CloudHub
Se disponi di più AWS Site-to-Site VPN connessioni, puoi fornire comunicazioni sicure tra i siti utilizzando la AWS VPN. CloudHub Ciò consente ai siti remoti di comunicare tra loro e non solo con le risorse nel VPC. La VPN CloudHub funziona su un hub-and-spoke modello semplice che puoi utilizzare con o senza un VPC. Questo design è adatto se disponi di più filiali e di connessioni Internet esistenti e desideri implementare un hub-and-spoke modello conveniente e potenzialmente a basso costo per la connettività principale o di backup tra questi siti.
## Panoramica di
Il diagramma seguente mostra l'architettura VPN CloudHub . Le linee tratteggiate mostrano il traffico di rete tra siti remoti che viene instradato tramite le connessioni VPN. I siti non devono disporre di intervalli IP che si sovrappongono.
![\[CloudHub diagramma dell'architettura\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/AWS_VPN_CloudHub-diagram.png)
Per questo scenario, effettuare le operazioni seguenti:
1. Creare un singolo gateway virtuale privato.
1. Creare più gateway del cliente, ciascuno con l'indirizzo IP pubblico del gateway. Utilizza un Border Gateway Protocol (BGP) Autonomous System Number (ASN) univoco per ogni gateway del cliente.
1. Crea una connessione Site-to-Site VPN con routing dinamico da ogni gateway del cliente al gateway privato virtuale comune.
1. Configurare i dispositivi gateway del cliente per pubblicizzare un prefisso specifico del sito (ad esempio 10.0.0.0/24, 10.0.1.0/24) al gateway virtuale privato. Queste pubblicità di routing vengono ricevute E pubblicizzate nuovamente in ciascun peer BGP, abilitando ciascun sito per inviare E ricevere dati da altri siti. Questa operazione viene eseguita utilizzando le istruzioni di rete contenute nei file di configurazione VPN per la Site-to-Site connessione VPN. Le istruzioni di rete differiscono leggermente in base al tipo di router utilizzato.
1. Configurare le route nelle tabelle di routing della sottorete per consentire alle istanze del VPC di comunicare con i siti. Per ulteriori informazioni, consulta [(Gateway virtuale privato) Abilitazione della propagazione della route nella tabella di routing](SetUpVPNConnections.md#vpn-configure-routing). Puoi configurare una route aggregata nella tabella di routing (ad esempio, 10.0.0.0/16). Utilizza prefissi più specifici tra i dispositivi gateway del cliente e il gateway virtuale privato.
Anche i siti che utilizzano Direct Connect connessioni al gateway privato virtuale possono far parte della AWS VPN CloudHub. Ad esempio, la sede centrale a New York può disporre di una Direct Connect connessione al VPC e le filiali possono utilizzare connessioni Site-to-Site VPN al VPC. Le filiali di Los Angeles e Miami possono inviare e ricevere dati tra loro e con la sede centrale dell'azienda, il tutto utilizzando la AWS VPN. CloudHub
## Prezzi
Per utilizzare la AWS VPN CloudHub, devi pagare le tariffe di connessione Site-to-Site VPN Amazon VPC tipiche. Ti viene addebitata la tariffa di connessione per ogni ora di connessione di ciascuna VPN al gateway virtuale privato. Quando invii dati da un sito a un altro utilizzando la AWS VPN CloudHub, non è previsto alcun costo per inviare dati dal tuo sito al gateway privato virtuale. To vengono addebitati solo i costi di trasferimento dei dati AWS standard per i dati che vengono inoltrati dal gateway virtuale privato all'endpoint.
Ad esempio, se hai un sito a Los Angeles e un secondo sito a New York ed entrambi i siti dispongono di una connessione Site-to-Site VPN al gateway privato virtuale, paghi la tariffa oraria per ogni connessione Site-to-Site VPN (quindi se la tariffa fosse di 0,05 USD all'ora, sarebbe un totale di 0,10 USD all'ora). Paghi anche le tariffe di trasferimento AWS dati standard per tutti i dati che invii da Los Angeles a New York (e viceversa) che attraversano ogni connessione Site-to-Site VPN. Il traffico di rete inviato tramite la connessione Site-to-Site VPN al gateway privato virtuale è gratuito, ma il traffico di rete inviato tramite la connessione Site-to-Site VPN dal gateway privato virtuale all'endpoint viene fatturato alla velocità di trasferimento dati standard AWS .
Per ulteriori informazioni, consulta [Site-to-Site Prezzi di Amazon VPC](https://aws.amazon.com/vpn/pricing/).
# AWS Site-to-Site VPN Connessioni ridondanti per il failover
Per proteggerti dalla perdita di connettività nel caso in cui il dispositivo gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al tuo VPC e al gateway privato virtuale aggiungendo un secondo dispositivo gateway cliente. Utilizzando le connessioni VPN ridondanti e i dispositivi gateway del cliente, è possibile eseguire la manutenzione di uno o più dispositivi mentre il traffico continua a scorrere sulla connessione del secondo gateway del cliente.
Il seguente diagramma mostra due connessioni VPN. Ogni connessione VPN ha i propri tunnel e il proprio gateway del cliente.
![\[Connessioni VPN ridondanti a due gateway clienti per la stessa rete locale.\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/Multiple_Gateways_diagram.png)
Per questo scenario, effettuare le operazioni seguenti:
+ Configura una seconda connessione Site-to-Site VPN utilizzando lo stesso gateway privato virtuale e creando un nuovo gateway per i clienti. L'indirizzo IP del gateway del cliente per la seconda connessione Site-to-Site VPN deve essere accessibile al pubblico.
+ Configurare un secondo dispositivo gateway del cliente. Entrambi i dispositivi devono pubblicizzare gli stessi intervalli IP al gateway virtuale privato. Il routing BGP serve a determinare il percorso per il traffico. Se si verifica un errore in un dispositivo gateway del cliente, il gateway virtuale privato indirizza tutto il traffico al dispositivo gateway del cliente in funzione.
Le connessioni Site-to-Site VPN con routing dinamico utilizzano il Border Gateway Protocol (BGP) per lo scambio di informazioni di routing tra i gateway dei clienti e i gateway privati virtuali. Le connessioni Site-to-Site VPN con routing statico richiedono l'immissione di percorsi statici per la rete remota sul lato del gateway del cliente. Le informazioni sulla route pubblicizzate BGP e immesse staticamente consentono ai gateway su entrambi i lati di determinare quali tunnel sono disponibili e reinstradare il traffico se si verifica un errore. Ti consigliamo di configurare la rete per utilizzare le informazioni di routing fornite da BGP (se disponibile) per selezionare un percorso disponibile. La configurazione Esatta dipende dall'architettura della rete.
Per ulteriori informazioni sulla creazione e la configurazione di un gateway per il cliente e di una connessione Site-to-Site VPN, consulta. [Inizia con AWS Site-to-Site VPN](SetUpVPNConnections.md)