As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Site-to-Site VPN opções de roteamento
AWS recomenda anunciar rotas BGP específicas para influenciar as decisões de roteamento no gateway privado virtual. Verifique as informações sobre comandos específicos do dispositivo na documentação do fornecedor.
Ao criar várias conexões VPN, o gateway privado virtual envia tráfego de rede para a conexão VPN apropriada, usando rotas atribuídas estaticamente ou anúncios de rotas de BGP. Qual rota será usada dependerá de como a conexão VPN foi configurada. Quando há rotas idênticas no gateway privado virtual, deve-se preferir as rotas atribuídas estaticamente, em detrimento das rotas anunciadas pela BGP. Se você optar por usar o anúncio do BGP, não poderá especificar rotas estáticas.
Para obter mais informações sobre prioridade de rotas, consulte [Tabelas de rotas e prioridade de rota](vpn-route-priority.md).
Ao criar uma conexão Site-to-Site VPN, você deve fazer o seguinte:
+ Especifique o tipo de roteamento que você planeja usar (estático ou dinâmico)
+ Atualize a [tabela de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) da sub-rede
Existem cotas para o número de rotas que podem ser adicionadas a uma tabela de rotas. Para obter mais informações, consulte a seção Tabelas de rotas em [Cotas da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) no *Guia do usuário da Amazon VPC*.
**Topics**
+ [Roteamento estático e dinâmico](vpn-static-dynamic.md)
+ [Tabelas de rotas e prioridade de rota](vpn-route-priority.md)
+ [Roteamento durante atualizações de endpoint do túnel de VPN](routing-vpn-tunnel-updates.md)
+ [Tráfego IPv4 e IPv6](ipv4-ipv6.md)
# Roteamento estático e dinâmico em AWS Site-to-Site VPN
O tipo de roteamento selecionado pode depender da marca e do modelo do dispositivo de gateway do cliente. Se o dispositivo de gateway do cliente suportar o Border Gateway Protocol (BGP), especifique o roteamento dinâmico ao configurar sua Site-to-Site conexão VPN. Se o dispositivo de gateway do cliente não for compatível com BGP, especifique o roteamento estático.
**nota**
Site-to-Site Os concentradores VPN suportam somente o roteamento BGP. O roteamento estático não é suportado para conexões VPN que usam um Site-to-Site VPN Concentrator.
Se você usa um dispositivo compatível com publicidade BGP, não especifica rotas estáticas para a conexão Site-to-Site VPN porque o dispositivo usa o BGP para anunciar suas rotas para o gateway privado virtual. Caso use um dispositivo que não seja compatível com publicidade BGP, selecione o roteamento estático e insira as rotas (prefixos IP) para a rede que fazem a comunicação com o gateway privado virtual.
Recomendamos, quando disponíveis, o uso de dispositivos compatíveis com o protocolo BGP que verificam se a detecção é de boa qualidade, o quê pode ajudar o failover para o segundo túnel VPN, caso haja uma redução do primeiro túnel. Os dispositivos que não são compatíveis com o BGP também podem fazer a verificação de integridade, auxiliando o failover para o segundo túnel, quando necessário.
Você deve configurar seu dispositivo de gateway do cliente para rotear o tráfego da sua rede local para a conexão Site-to-Site VPN. A configuração depende da marca e do modelo do seu dispositivo. Para obter mais informações, consulte [AWS Site-to-Site VPN dispositivos de gateway do cliente](your-cgw.md).
# Tabelas de rotas e prioridade de AWS Site-to-Site VPN rotas
[Tabelas de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) determinam para onde o tráfego da VPC é direcionado. Na tabela de rotas da VPC, adicione uma rota à rede remota e especifique o gateway privado virtual como destino. Isso permite que o tráfego da VPC destinado para a rede remota seja roteado por meio do gateway privado virtual e sobre um dos túneis VPN. É possível habilitar a propagação automática de rotas da rede para a tabela de rotas.
Para determinar como o tráfego deve ser roteado, usamos a rota mais específica em sua tabela de rotas que corresponde ao tráfego (correspondência de prefixo mais longa). Se a tabela de rotas tiver rotas sobrepostas ou correspondentes, as seguintes regras serão aplicadas:
+ Se as rotas propagadas de uma conexão Site-to-Site VPN ou Direct Connect conexão se sobrepuserem à rota local da sua VPC, a rota local será a preferida, mesmo que as rotas propagadas sejam mais específicas.
+ Se as rotas propagadas de uma conexão ou Direct Connect conexão Site-to-Site VPN tiverem o mesmo bloco CIDR de destino de outras rotas estáticas existentes (a correspondência de prefixo mais longa não pode ser aplicada), priorizamos as rotas estáticas cujos destinos são um gateway de internet, um gateway privado virtual, uma interface de rede, um ID de instância, uma conexão de emparelhamento de VPC, um gateway NAT, um gateway de trânsito ou um gateway VPC endpoint.
Por exemplo, a tabela de rotas a seguir tem uma rota estática para um gateway da Internet e uma rota propagada para um gateway privado virtual. O destino de ambas as rotas é `172.31.0.0/24`. Nesse caso, todo tráfego destinado para `172.31.0.0/24` é roteado para o gateway da Internet – é uma rota estática e, portanto, tem prioridade sobre a rota propagada.
| Destino | Destino |
| --- | --- |
| 10.0.0.0/16 | Local |
| 172.31.0.0/24 | vgw-11223344556677889 (propagado) |
| 172.31.0.0/24 | igw-12345678901234567 (estático) |
Somente os prefixos IP que sejam conhecidos do gateway privado virtual, seja por meio de anúncios BGP ou de uma entrada da rota estática, podem receber o tráfego da VPC. O gateway privado virtual não roteia nenhum outro tráfego cujo destino seja fora dos anúncios BGP recebidos, das entradas de rota estática ou do CIDR da VPC anexada. Os gateways privados virtuais não oferecem suporte ao IPv6 tráfego.
Quando um gateway privado virtual recebe informações de roteamento, ele usa a seleção de caminho para determinar como rotear o tráfego. A correspondência de prefixo mais longa se aplicará se todos os endpoints estiverem íntegros. A integridade de um endpoint de túnel tem precedência sobre outros atributos de roteamento. Essa precedência se aplica a VPNs gateways privados virtuais e gateways de trânsito. Se os prefixos forem os mesmos, o gateway privado virtual prioriza as rotas da seguinte forma, da mais preferida para a menos preferida:
+ Rotas propagadas pelo BGP a partir de uma conexão Direct Connect
As rotas do Blackhole não são propagadas para um gateway de cliente Site-to-Site VPN via BGP.
+ Rotas estáticas adicionadas manualmente para uma conexão Site-to-Site VPN
+ Rotas propagadas pelo BGP a partir de uma conexão VPN Site-to-Site
+ Para combinar prefixos em que cada conexão Site-to-Site VPN usa BGP, o AS PATH é comparado e o prefixo com o AS PATH mais curto é preferido.
**nota**
AWS recomenda fortemente o uso de dispositivos de gateway do cliente que suportem roteamento assimétrico.
Para dispositivos de gateway do cliente compatíveis com roteamento assimétrico, nós *não* recomendamos usar o prefixo AS PATH, para garantir que os dois túneis tenham um AS PATH igual. Isso ajuda a garantir que o valor multi-exit discriminator (MED) que definimos em um túnel durante as [atualizações de endpoint do túnel VPN](routing-vpn-tunnel-updates.md) seja usado para determinar a prioridade do túnel.
Para dispositivos de gateway do cliente incompatíveis com o roteamento assimétrico, use no início AS PATH e a preferência local para escolher um túnel em vez do outro. No entanto, quando o caminho de saída muda, o tráfego pode cair.
+ Quando o PATHs AS tem o mesmo comprimento e se o primeiro AS no AS\$1SEQUENCE é o mesmo em vários caminhos, multi-exit discriminators (MEDs) são comparados. O caminho com o menor valor MED será o preferido.
A prioridade de rota é afetada durante as [atualizações de endpoint do túnel de VPN](routing-vpn-tunnel-updates.md).
Em uma conexão Site-to-Site VPN, AWS seleciona um dos dois túneis redundantes como o caminho de saída principal. Essa seleção pode mudar às vezes, e é altamente recomendável que você configure ambos os túneis para alta disponibilidade e permita o roteamento assimétrico. A integridade de um endpoint de túnel tem precedência sobre outros atributos de roteamento. Essa precedência se aplica a VPNs gateways privados virtuais e gateways de trânsito.
Para um gateway privado virtual, um túnel em todas as conexões Site-to-Site VPN no gateway será selecionado. Para usar mais de um túnel, recomendamos explorar o Equal Cost Multipath (ECMP), que é compatível com conexões Site-to-Site VPN em um gateway de trânsito. Para obter mais informações, consulte [Gateways de trânsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) em *Gateways de trânsito da Amazon VPC*. O ECMP não é compatível com conexões Site-to-Site VPN em um gateway privado virtual.
Para conexões Site-to-Site VPN que usam BGP, o túnel primário pode ser identificado pelo valor multi-exit discriminator (MED). Recomendamos anunciar rotas BGP mais específicas para influenciar as decisões de roteamento.
Para conexões Site-to-Site VPN que usam roteamento estático, o túnel primário pode ser identificado por estatísticas ou métricas de tráfego.
# Roteamento durante atualizações de endpoint do túnel de VPN
Uma conexão Site-to-Site VPN consiste em dois túneis VPN entre um dispositivo de gateway do cliente e um gateway privado virtual ou um gateway de trânsito. Recomendamos que você configure ambos os túneis para redundância. De tempos em tempos, AWS também realiza manutenção de rotina em sua conexão VPN, o que pode desativar brevemente um dos dois túneis da sua conexão VPN. Para obter mais informações, consulte [Notificações de substituição de endpoint do túnel](monitoring-vpn-health-events.md#tunnel-replacement-notifications).
Quando realizamos atualizações em um túnel de VPN, definimos um valor menor de multi-exit discriminator (MED) no outro túnel. Se você configurou o dispositivo de gateway do cliente para usar os dois túneis, a conexão VPN usará o outro túnel (ativo) durante o processo de atualização do endpoint do túnel.
**nota**
Para garantir que o túnel ativo com o valor MED inferior seja o preferencial, certifique-se de que o dispositivo de gateway do cliente use os mesmos valores de Peso e Preferência Local para ambos os túneis (Peso e Preferência Local têm prioridade mais alta do que MED).
# Tráfego IPv4 e IPv6 no AWS Site-to-Site VPN
A conexão do Site-to-Site VPN em um gateway de trânsito pode ser compatível com tráfego IPv4 ou IPv6 dentro dos túneis VPN. Por padrão, uma conexão da Site-to-Site VPN é compatível com o tráfego IPv4 dentro dos túneis VPN. É possível configurar uma nova conexão da Site-to-Site VPN para ser compatível com o tráfego IPv6 dentro dos túneis VPN. Depois, se a VPC e a rede local estiverem configuradas para endereçamento IPv6, você poderá enviar tráfego IPv6 pela conexão VPN.
Se você habilitar o IPv6 para os túneis VPN da conexão da Site-to-Site VPN, cada túnel terá dois blocos CIDR. Um é um bloco CIDR do IPv4 de tamanho /30 e o outro é um bloco CIDR do IPv6 de tamanho /126.
## Suporte a IPv4 e IPv6
As conexões do Site-to-Site VPN são compatíveis com as seguintes configurações de IP:
+ **Túnel externo IPv4 com pacotes internos IPv4**: o recurso básico de VPN IPv4 permitido em gateways privados virtuais, gateways de trânsito e Cloud WAN.
+ **Túnel externo IPv4 com pacotes internos IPv6**: permite aplicações/transporte IPv6 dentro do túnel VPN. Compatível com gateways de trânsito e Cloud WAN. Não há compatibilidade para gateways privados virtuais.
+ **Túnel externo IPv6 com pacotes internos IPv6**: permite a migração completa de IPv6 com endereços IPv6 para IPs de túnel externo e IPs de pacotes internos. Compatível tanto com gateways de trânsito quanto com Cloud WAN.
+ **Túnel externo IPv6 com pacotes internos IPv4**: permite endereçamento de túnel externo IPv6 ao mesmo tempo em que oferece suporte a aplicações IPv4 legadas dentro do túnel. Compatível tanto com gateways de trânsito quanto com Cloud WAN.
As seguintes regras se aplicam:
+ É possível usar endereços IPv6 para IPs de túnel externo somente em conexões do Site-to-Site VPN que são encerradas em um gateway de trânsito ou Cloud WAN. As conexões do Site-to-Site VPN em um gateway privado virtual não são compatíveis com IPv6 para IPs de túnel externo.
+ Ao usar IPv6 para IPs de túnel externo, você deve atribuir endereços IPv6 do lado da AWS da conexão VPN e no gateway do cliente para ambos os túneis VPN.
+ Não é possível habilitar o suporte a IPv6 para uma conexão existente do Site-to-Site VPN. Nesse caso, você deverá excluir a conexão existente e criar outra.
+ Uma conexão do Site-to-Site VPN não consegue processar tráfego IPv4 e IPv6 simultaneamente. Os pacotes encapsulados internos podem ser IPv6 ou IPv4, mas não ambos. Você precisa de conexões do Site-to-Site VPN para transportar pacotes IPv4 e IPv6.
+ As VPNs de IP privado não aceitam endereços IPv6 para IPs de túnel externo. Elas usam endereços RFC 1918 ou CGNAT. Para ter mais informações sobre o RFC 1918, consulte [Address Allocation for Private Internets](https://datatracker.ietf.org/doc/html/rfc1918), no “RFC 1918”.
+ As VPNs IPv6 comportam os mesmos limites de throughput (Gbps e PPS), MTU e rota das VPNs IPv4.
+ A criptografia IPSec e a troca de chaves funcionam da mesma forma para VPNs IPv4 e IPv6.
Para ter mais informações sobre como criar uma conexão VPN com suporte a IPv6, consulte [Criar uma conexão VPN](SetUpVPNConnections.md#vpn-create-vpn-connection) em “Comece com o Site-to-Site VPN”.