As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Arquivos de configuração de roteamento dinâmico que podem ser baixados para o dispositivo de gateway AWS Site-to-Site VPN do cliente
<a name="cgw-dynamic-routing-examples"></a>

Para baixar um arquivo de configuração de amostra com valores específicos para sua configuração de conexão Site-to-Site VPN, use o console da Amazon VPC, a linha de AWS comando ou a API do Amazon EC2. Para obter mais informações, consulte [Etapa 6: baixar o arquivo de configuração](SetUpVPNConnections.md#vpn-download-config).

[Você também pode baixar arquivos de configuração de exemplo genéricos para roteamento dinâmico que não incluem valores específicos para sua configuração de conexão Site-to-Site VPN: .zip dynamic-routing-examples](samples/dynamic-routing-examples.zip)

Os arquivos usam valores de espaço reservado para alguns componentes. Por exemplo, eles usam:
+ Valores de exemplo para o ID da conexão VPN, ID do gateway do cliente e ID do gateway privado virtual
+ Espaços reservados para os AWS endpoints de endereço IP remoto (externo) (*AWS\$1ENDPOINT\$11*e) *AWS\$1ENDPOINT\$12*
+ Um espaço reservado para o endereço IP da interface externa roteável pela Internet no dispositivo de gateway do cliente () *your-cgw-ip-address*
+ Um espaço reservado para o valor da chave pré-compartilhada () pre-shared-key
+ Valores de exemplo para o túnel dentro de endereços IP.
+ Valores de exemplo para a configuração de MTU.

**nota**  
As configurações de MTU fornecidas nos arquivos de configuração de amostra são apenas exemplos. Consulte [Melhores práticas para um dispositivo de gateway AWS Site-to-Site VPN do cliente](cgw-best-practice.md) para obter informações sobre como definir o valor MTU ideal para a sua situação.

Além de fornecer valores de espaço reservado, os arquivos especificam os requisitos mínimos para uma conexão Site-to-Site VPN de AES128, SHA1, e Diffie-Hellman grupo 2 na maioria das AWS regiões e, AES128 SHA2, e Diffie-Hellman grupo 14 nas regiões. AWS GovCloud Eles também especificam chaves pré-compartilhadas para [autenticação](vpn-tunnel-authentication-options.md). Você deve modificar o arquivo de configuração de exemplo para aproveitar os algoritmos de segurança adicionais, grupos Diffie-Hellman, certificados privados e tráfego. IPv6 

O diagrama a seguir fornece uma visão geral dos diferentes componentes configurados no dispositivo de gateway do cliente. Ele inclui valores de exemplo para os endereços IP da interface do túnel.

![\[Dispositivo de gateway do cliente com roteamento dinâmico\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/cgw-bgp.png)


# Configurar o roteamento dinâmico para um dispositivo de gateway AWS Virtual Private Network do cliente
<a name="cgw-dynamic-routing-example-interface"></a>

Veja a seguir alguns procedimentos de exemplo para configurar um dispositivo de gateway do cliente usando sua interface de usuário (se disponível).

------
#### [ Check Point ]

A seguir estão as etapas para configurar um dispositivo Check Point Security Gateway executando o R77.10 ou superior, usando o portal web Gaia e o Check Point. SmartDashboard Você também pode consultar o artigo [Amazon Web Services (AWS) VPN BGP ](https://support.checkpoint.com/results/sk/sk108958) no Check Point Support Center.

**Para configurar a interface do túnel**

O primeiro passo é criar túneis de VPN e fornecer os endereços IP privados (internos) do gateway do cliente e do gateway privado virtual de cada túnel. Para criar o primeiro túnel, use as informações fornecidas na seção `IPSec Tunnel #1` do arquivo de configuração. Para criar o segundo túnel, use os valores fornecidos na seção `IPSec Tunnel #2` do arquivo de configuração. 

1. Conecte seu gateway de segurança por SSH. Se estiver usando um shell não padrão, mude para clish executando o comando a seguir: `clish`

1. Defina o ASN do gateway do cliente (o ASN fornecido quando o gateway do cliente foi criado em AWS) executando o comando a seguir.

   ```
   set as 65000
   ```

1. Crie a interface para o primeiro túnel, usando as informações fornecidas na seção `IPSec Tunnel #1` do arquivo de configuração. Forneça um nome exclusivo para seu túnel, como `AWS_VPC_Tunnel_1`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436
   ```

1. Repita esses comandos para criar o segundo túnel, usando as informações fornecidas na seção `IPSec Tunnel #2` do arquivo de configuração. Forneça um nome exclusivo para seu túnel, como `AWS_VPC_Tunnel_2`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436
   ```

1. Defina o ASN do gateway privado virtual:

   ```
   set bgp external remote-as 7224 on 
   ```

1. Configure o BGP para o primeiro túnel, usando as informações fornecidas na seção `IPSec Tunnel #1` do arquivo de configuração:

   ```
   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
   ```

1. Configure o BGP para o segundo túnel, usando as informações fornecidas na seção `IPSec Tunnel #2` do arquivo de configuração:

   ```
   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
   ```

1. Salve a configuração.

   ```
   save config
   ```

**Para criar uma política de BGP**

Depois, crie uma política de BGP que permita a importação das rotas anunciadas pela AWS. Em seguida, configure seu gateway do cliente para anunciar suas rotas locais para a AWS.

1. Na Gaia WebUI, escolha **Advanced Routing** (Roteamento avançado), **Inbound Route Filters** (Filtros de rota de entrada). Escolha **Add** (Adicionar) e selecione **Add BGP Policy (Based on AS)** (Adicionar política de BGP (com base em AS)).

1. Em **Add BGP Policy (Adicionar política de BGP)**, selecione um valor entre 512 e 1024 no primeiro campo e insira o ASN do gateway privado virtual no segundo campo (por exemplo, `7224`).

1. Escolha **Salvar**.

**Para anunciar rotas locais**

As etapas a seguir destinam-se à distribuição de rotas de interface locais. Além disso, você pode redistribuir as rotas de diferentes origens (por exemplo, rotas estáticas ou rotas obtidas por meio de protocolos de roteamento dinâmico). Para obter mais informações, consulte [Gaia Advanced Routing R77 Versions Administration Guide](https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm).

1. Na Gaia WebUI, escolha **Advanced Routing** (Roteamento Avançado),** Routing Redistribution** (Redistribuição de Roteamento). Selecione **Add Redistribution From (Adicionar redistribuição de)** e escolha **Interface**.

1. Em **To Protocol (Para o protocolo)**, selecione o ASN do gateway privado virtual (por exemplo, `7224`).

1. Em **Interface**, selecione uma interface interna. Escolha **Salvar**.

**Para definir um novo objeto de rede**

Depois, crie um objeto de rede para cada túnel de VPN, especificando os endereços IP públicos (externos) para o gateway privado virtual. Posteriormente, você adicionará esses objetos de rede como gateways secundários para sua comunidade VPN. Você precisa também criar um grupo vazio para funcionar como espaço reservado para o domínio de VPN. 

1. Abra o Check Point SmartDashboard.

1. Em **Groups** (Grupos), abra o menu de contexto e escolha **Groups** (Grupos), **Simple Group** (Grupo Simples). É possível usar o mesmo grupo para cada objeto de rede.

1. Em **Network Objects**, abra o menu de contexto (clique com o botão direito) e escolha **New**, **Interoperable Device**.

1. Em **Name (Nome)**, insira o nome que você forneceu para o túnel na etapa 1, por exemplo, `AWS_VPC_Tunnel_1` ou `AWS_VPC_Tunnel_2`.

1. Em **IPv4 Endereço**, insira o endereço IP externo do gateway privado virtual fornecido no arquivo de configuração, por exemplo,`54.84.169.196`. Salve as configurações e feche a caixa de diálogo.  
![\[Caixa de diálogo Interoperable Device do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-network-device.png)

1. No painel de categoria, escolha **Topology** (Topologia). 

1. Na seção **VPN Domain (Domínio da VPN)**, escolha **Manually defined (Definido manualmente)** e procure e selecione o grupo vazio simples criado na etapa 2. Escolha **OK**.

1. Repita essas etapas para criar um segundo objeto de rede, usando as informações na seção `IPSec Tunnel #2` do arquivo de configuração.

1. Acesse o objeto de rede do gateway, abra o gateway ou objeto do cluster e escolha **Topology** (Topologia).

1. Na seção **VPN Domain (Domínio da VPN)**, escolha **Manually defined (Definido manualmente)** e procure e selecione o grupo vazio simples criado na etapa 2. Escolha **OK**.
**nota**  
É possível manter qualquer domínio de VPN existente que configurou. Entretanto, verifique se os hosts e as redes que são usadas ou fornecidas pela nova conexão VPN não estão declarados nesse domínio de VPN, especialmente se esse domínio de VPN for originado automaticamente.

**nota**  
Se estiver usando clusters, edite a topologia e defina as interfaces como interfaces de cluster. Use os endereços IP especificados no arquivo de configuração. 

**Para criar e configurar a comunidade VPN, o IKE e IPsec as configurações**

Depois, crie uma comunidade VPN no gateway do Check Point, à qual você adicionará objetos de rede (dispositivos interoperáveis) para cada túnel. Você também define o Internet Key Exchange (IKE) e IPsec as configurações.

1. Nas propriedades do gateway, escolha **IPSecVPN** no painel de categorias.

1. Escolha **Communities**, **New**, **Star Community**.

1. Forneça um nome para a comunidade (por exemplo, `AWS_VPN_Star`) e escolha **Center Gateways** no painel de categoria.

1. Escolha **Adicionar** e adicione o gateway ou cluster à lista de gateways participantes.

1. No painel de categoria, selecione **Satellite Gateways (Gateways secundários)**, **Add (Adicionar)** e adicione os dispositivos interoperáveis criados anteriormente (`AWS_VPC_Tunnel_1` e `AWS_VPC_Tunnel_2`) à lista de gateways participantes.

1. No painel de categoria, escolha **Encryption**. Na seção **Método de criptografia**, escolha **IKEv1 para IPv4 e IKEv2 para IPv6**. Na seção **Encryption Suite**, escolha **Custom**, **Custom Encryption**.
**nota**  
Você deve selecionar a IPv6 opção **IKEv1 para IPv4 e IKEv2 para** para a IKEv1 funcionalidade.

1. Na caixa de diálogo, configure as propriedades de criptografia como indicado a seguir e selecione **OK** ao concluir:
   + Propriedades da associação de segurança IKE (fase 1):
     + **Perform key exchange encryption with**: AES-128
     + **Perform data integrity with**: SHA-1
   + IPsec Propriedades da Associação de Segurança (Fase 2):
     + **Execute a criptografia IPsec de dados com**: AES-128
     + **Perform data integrity with**: SHA-1

1. No painel de categoria, escolha **Tunnel Management**. Escolha **Set Permanent Tunnels**, **On all tunnels in the community**. Na seção **VPN Tunnel Sharing** (Compartilhamento de túnel VPN), escolha **One VPN tunnel per Gateway pair** (Um túnel VPN por par de gateway).

1. No painel de categoria, expanda **Advanced Settings** (Configurações Avançadas) e escolha **Shared Secret**.

1. Selecione o nome do par do primeiro túnel, escolha **Edit (Editar)** e insira a chave pré-compartilhada conforme especificado no arquivo de configuração na seção `IPSec Tunnel #1`.

1. Selecione o nome do par do segundo túnel, escolha **Edit (Editar)** e insira a chave pré-compartilhada conforme especificado no arquivo de configuração na seção `IPSec Tunnel #2`.  
![\[Caixa de diálogo Interoperable Shared Secret do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. Ainda na categoria **Advanced Settings (Configurações avançadas)**, selecione **Advanced VPN Properties (Propriedades avançadas da VPN)**, configure as propriedades da forma a seguir e escolha **OK** ao concluir:
   + IKE (fase 1):
     + **Use Diffie-Hellman group (Usar grupo Diffie-Hellman)**: `Group 2 (1024 bit)`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (Fase 2):
     + Escolha **Use Perfect Forward Secrecy**
     + **Use Diffie-Hellman group (Usar grupo Diffie-Hellman)**: `Group 2 (1024 bit)`
     + ****Renegocie associações de IPsec segurança a cada segundo `3600`****

**Para criar regras de firewall**

Depois, configure uma politica com regras de firewall e regras de correspondência direcional que permitam a comunicação entre a VPC e a rede local. Em seguida, você instalará a política em seu gateway.

1. No SmartDashboard, escolha **Propriedades globais** para seu gateway. No painel de categoria, expanda **VPN** e escolha **Advanced** (Avançado).

1. Escolha **Enable VPN Directional Match in VPN Column** (Habilitar correspondência direcional VPN na coluna VPN) e clique em **OK**.

1. No SmartDashboard, escolha **Firewall** e crie uma política com as seguintes regras: 
   + Permitir que a sub-rede da VPC comunique-se com a rede local nos protocolos exigidos. 
   + Permitir que a rede local comunique-se com a sub-rede da VPC nos protocolos exigidos.

1. Abra o menu de contexto da célula na coluna VPN e escolha **Editar Célula**. 

1. Na caixa de diálogo **VPN Match Conditions** (Condições de correspondência VPN), escolha **Match traffic in this direction only** (Corresponder tráfego apenas nesta direção). Crie as regras de correspondência direcional a seguir selecionando **Add (Adicionar)** para cada uma e selecione **OK** ao concluir:
   + `internal_clear` > comunidade VPN (a comunidade estrela da VPN que você criou anteriormente, por exemplo, `AWS_VPN_Star`)
   + Comunidade VPN > Comunidade VPN
   + Comunidade VPN > `internal_clear`

1. Em SmartDashboard, escolha **Política**, **Instalar**. 

1. Na caixa de diálogo, escolha seu gateway e clique em **OK** para instalar a política.

**Para modificar a propriedade tunnel\$1keepalive\$1method**

O gateway do Check Point pode usar o Dead Peer Detection (DPD) para identificar quando uma associação IKE está inativa. Para configurar o DPD para um túnel permanente, o túnel permanente deve ser configurado na comunidade AWS VPN.

Por padrão, a propriedade `tunnel_keepalive_method` para um gateway VPN é configurada como `tunnel_test`. Você precisa alterar o valor para `dpd`. Cada gateway de VPN na comunidade VPN que requer monitoramento de DPD deve ser configurado com a propriedade `tunnel_keepalive_method`, incluindo qualquer gateway de VPN de terceiros. Você não pode configurar diferentes mecanismos de monitoramento para o mesmo gateway.

Você pode atualizar a `tunnel_keepalive_method` propriedade usando a DBedit ferramenta Gui.

1. Abra o Check Point SmartDashboard e escolha **Security Management Server**, **Domain Management Server**.

1. Escolha **File** (Arquivo), **Database Revision Control...**(Controle de revisão de banco de dados…) e crie um snapshot de revisão.

1. Feche todas as SmartConsole janelas, como, por exemplo SmartDashboard, o SmartView Rastreador e o SmartView Monitor.

1. Inicie a BDedit ferramenta Gui. Para obter mais informações, consulte o artigo [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) (Ferramenta de banco de dados de pontos de verificação) no Check Point Support Center. 

1. Escolha **Security Management Server**(Servidor de gerenciamento de segurança), **Domain Management Server** (Servidor de gerenciamento de domínio).

1. No painel superior esquerdo, escolha **Table** (tabela), **Network Objects** (Objetos de rede), **network\$1objects**. 

1. No painel superior direito, selecione o objeto **Security Gateway** (Gateway de Segurança), **Cluster** pertinente. 

1. Pressione CTRL\$1F ou use o menu **Search** (Buscar) para procurar o seguinte: `tunnel_keepalive_method`.

1. No painel inferior, abra o menu de contexto para `tunnel_keepalive_method` e selecione **Edit...** (Editar…). Escolha **dpd**, **OK**.

1. Repita as etapas de 7 a 9 para cada gateway que fizer parte da comunidade da AWS VPN.

1. Escolha **File** (Arquivo), **Save All** (Salvar Tudo).

1. Feche a DBedit ferramenta Gui.

1. Abra o Check Point SmartDashboard e escolha **Security Management Server**, **Domain Management Server**.

1. Instale a política no objeto **Security Gateway** (Gateway de Segurança), **Cluster** pertinente.

Para obter mais informações, consulte o artigo [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746) (Novos recursos de VPN no R77.10) no Check Point Support Center.

**Para ativar o ajuste de MSS TCP**

O ajuste MSS TCP reduz o tamanho máximo de segmento dos pacotes TCP para impedir a fragmentação de pacotes.

1. Navegue até o seguinte diretório `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`.

1. Abra o Check Point Database Tool executando o arquivo `GuiDBEdit.exe`.

1. Escolha **Table** (Tabela), **Global Properties** (Propriedades Globais), **properties** (propriedades).

1. Em `fw_clamp_tcp_mss`, escolha **Edit** (Editar). Altere o valor para `true` e selecione **OK**.

**Como verificar o status do túnel**  
É possível verificar o status do túnel executando o comando a seguir na ferramenta da linha de comando, no modo especialista. 

```
vpn tunnelutil
```

Nas opções exibidas, escolha **1** para verificar as associações IKE e **2** para verificar as IPsec associações.

É possível usar também Check Point Smart Tracker Log para verificar se os pacotes na conexão estão sendo criptografados. Por exemplo, o log a seguir indica que a VPC foi enviada pelo túnel 1 e foi criptografada.

![\[Arquivo de log do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

É possível configurar um dispositivo SonicWALL usando a interface de gerenciamento SonicOS. Para obter mais informações sobre a configuração de túneis, consulte [Configurar o roteamento estático para um dispositivo de gateway AWS Site-to-Site VPN do cliente](cgw-static-routing-example-interface.md).

Não é possível configurar o BGP para o dispositivo, usando a interface de gerenciamento. Em vez disso, use as instruções da linha de comando fornecidas no arquivo de configuração de exemplo, na seção chamada **BGP**.

------

## Dispositivos Cisco: informações adicionais
<a name="cgw-dynamic-routing-examples-cisco"></a>

Alguns Cisco suportam ASAs apenas o Active/Standby modo. Quando você usa esses Cisco ASAs, você pode ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo se o primeiro túnel ficar indisponível. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis. 

Cisco ASAs a partir da versão 9.7.1 e posterior do modo de suporte Active/Active . Ao usar esses Cisco ASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis.

Para dispositivos Cisco, é necessário fazer o seguinte:
+ Configurar a interface externa.
+ Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.
+ Garanta que o número Crypto List Policy Sequence seja exclusivo.
+ Certifique-se de que o conjunto de IPsec transformações criptográficas e a sequência de políticas do Crypto ISAKMP estejam em harmonia com quaisquer outros IPsec túneis configurados no dispositivo.
+ Garantir que o número de monitoramento de SLA seja exclusivo.
+ Configurar todo o roteamento interno que move o tráfego entre o gateway do cliente e a rede local.

## Dispositivos Juniper: informações adicionais
<a name="cgw-dynamic-routing-examples-juniper"></a>

As informações a seguir se aplicam aos arquivos de configuração de exemplo para dispositivos de gateway do cliente Juniper J-Series e SRX. 
+ A interface externa é chamada de*ge-0/0/0.0*.
+ A interface do IDs túnel é chamada de *st0.1* *st0.2* e.
+ Certifique-se de identificar a zona de segurança da interface de uplink (as informações de configuração usam a zona padrão "untrust").
+ Certifique-se de identificar a zona de segurança da interface interna (as informações de configuração usam a zona padrão "trust").