As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como AWS Site-to-Site VPN funciona
Uma conexão Site-to-Site VPN consiste nos seguintes componentes:
+ Um [gateway privado virtual](#VPNGateway) ou um [gateway de trânsito](#Transit-Gateway)
+ Um [dispositivo de gateway do cliente](#CustomerGatewayDevice)
+ Um [gateway do cliente](#CustomerGateway)
A conexão VPN oferece dois túneis VPN entre um gateway privado virtual ou gateway de trânsito no AWS lado e um gateway de cliente no lado local.
Para obter mais informações sobre cotas de Site-to-Site VPN, consulte[AWS Site-to-Site VPN cotas](vpn-limits.md).
## Gateway privado virtual
Um *gateway privado virtual* é o Site-to-Site VPN Concentrator no lado Amazon da conexão Site-to-Site VPN. Você cria um gateway privado virtual e o anexa a uma nuvem privada virtual (VPC) com recursos que devem acessar a Site-to-Site conexão VPN.
O diagrama a seguir mostra uma conexão VPN entre uma VPC e a rede on-premises usando um gateway privado virtual.
![\[Uma VPC tem um gateway privado virtual anexado e uma conexão VPN com a rede on-premises.\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)
Quando você cria um gateway privado virtual, é possível especificar o Número de sistema autônomo privado (ASN) para o lado da Amazon do gateway. Se você não especificar um ASN, o gateway privado virtual é criado com o ASN (64512) padrão. Você não poderá alterar o ASN depois de ter criado o gateway privado virtual. Para verificar o ASN do seu gateway privado virtual, veja seus detalhes na página **Gateways privados virtuais** no console da Amazon VPC ou use o comando. [describe-vpn-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-gateways.html) AWS CLI
**nota**
Os gateways privados virtuais não oferecem suporte IPv6 para conexões Site-to-Site VPN. Se precisar de IPv6 suporte, use um gateway de trânsito ou Cloud WAN para sua conexão VPN.
## Transit gateway
Um gateway de trânsito é um hub de trânsito que você pode usar para interconectar sua rede VPCs e sua rede local. Para obter mais informações, consulte [Gateways de trânsito da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/tgw/). Você pode criar uma conexão Site-to-Site VPN como anexo em um gateway de trânsito.
O diagrama a seguir mostra uma conexão VPN entre várias VPCs e sua rede local usando um gateway de trânsito. O gateway de trânsito tem três anexos de VPC e um anexo de VPN.
![\[Um gateway de trânsito com três anexos da VPC e um anexo da VPN.\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)
Sua conexão Site-to-Site VPN em um gateway de trânsito pode suportar IPv4 ou IPv6 trafegar dentro dos túneis VPN (endereços IP internos). Além disso, os gateways de trânsito oferecem suporte a IPv6 endereços IP do túnel externo. Para obter mais informações, consulte [Tráfego IPv4 e IPv6 no AWS Site-to-Site VPN](ipv4-ipv6.md).
Você pode modificar o gateway de destino de uma conexão Site-to-Site VPN de um gateway privado virtual para um gateway de trânsito. Para obter mais informações, consulte [Modificar o gateway de destino de uma AWS Site-to-Site VPN conexão](modify-vpn-target.md).
## Dispositivo de gateway do cliente
Um *dispositivo de gateway do cliente* é um dispositivo físico ou aplicativo de software no seu lado da conexão Site-to-Site VPN. Você configura o dispositivo para funcionar com a conexão Site-to-Site VPN. Para obter mais informações, consulte [AWS Site-to-Site VPN dispositivos de gateway do cliente](your-cgw.md).
Por padrão, o dispositivo de gateway do cliente deve abrir os túneis da sua conexão Site-to-Site VPN gerando tráfego e iniciando o processo de negociação do Internet Key Exchange (IKE). Você pode configurar sua conexão Site-to-Site VPN para especificar que, em vez disso, AWS deve iniciar o processo de negociação do IKE. Para obter mais informações, consulte [AWS Site-to-Site VPN opções de iniciação de túnel](initiate-vpn-tunnels.md).
Se você estiver usando endereços IP IPv6 para túneis externos, seu dispositivo de gateway do cliente deve suportar IPv6 endereçamento e ser capaz de estabelecer IPsec túneis com IPv6 endpoints.
## Gateway do cliente
Um *gateway do cliente* é um recurso que você cria na AWS e representa o dispositivo de gateway do cliente na rede local. Ao criar um gateway do cliente, você fornece informações sobre seu dispositivo para AWS. Para obter mais informações, consulte [Opções de gateway do cliente para sua conexão AWS Site-to-Site VPN](cgw-options.md).
![\[Um gateway do cliente e um dispositivo de gateway do cliente.\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/vpn-how-it-works-cgw.png)
Para usar o Amazon VPC com uma conexão Site-to-Site VPN, você ou seu administrador de rede também devem configurar o dispositivo ou aplicativo de gateway do cliente em sua rede remota. Quando você cria a conexão Site-to-Site VPN, fornecemos as informações de configuração necessárias e seu administrador de rede normalmente executa essa configuração. Para obter informações sobre os requisitos e a configuração do gateway do cliente, consulte [AWS Site-to-Site VPN dispositivos de gateway do cliente](your-cgw.md).
### IPv6 gateway do cliente
Ao criar um gateway de cliente para uso com túnel IPv6 externo IPs, você especifica um IPv6 endereço em vez de um IPv4 endereço. Você pode criar um gateway IPv6 do cliente usando o AWS Management Console ou a AWS CLI.
Para criar um gateway IPv6 do cliente usando a AWS CLI, use o seguinte comando:
```
aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```
O IPv6 endereço deve ser um endereço válido e roteável pela Internet para seu dispositivo de IPv6 gateway do cliente.
## IPv6 Conexões VPN
Site-to-Site As conexões VPN VPN suportam as seguintes IPv6 configurações:
+ *IPv4 túnel externo com pacotes IPv4 internos* - O recurso básico de IPv4 VPN suportado no Virtual Private Gateway (VGW), Transit Gateway (TGW) e Cloud WAN.
+ *IPv4 túnel externo com pacotes IPv6 internos* - Permite IPv6 aplicativos/transporte dentro do túnel VPN. Compatível com TGW e Cloud WAN (não compatível com VGW).
+ *IPv6 túnel externo com pacotes IPv6 internos* - Permite a IPv6 migração completa com IPv6 endereços tanto para o túnel IPs externo quanto para o pacote IPs interno. Compatível com TGW e Cloud WAN.
+ *IPv6 túnel externo com pacotes IPv4 internos* - Permite o endereçamento de túneis IPv6 externos e, ao mesmo tempo, oferece suporte a IPv4 aplicativos legados dentro do túnel. Compatível com TGW e Cloud WAN.
Para criar uma conexão VPN com o túnel IPv6 externo IPs, você especifica `OutsideIPAddressType=Ipv6` ao criar a conexão VPN. A AWS configura automaticamente os IPv6 endereços de túneis externos para o lado AWS dos túneis VPN.
Exemplo de comando CLI para criar uma conexão VPN com túnel IPv6 externo IPs e túnel IPv6 interno: IPs
```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
Você pode ver os IPv6 endereços atribuídos à sua conexão VPN usando o comando `describe-vpn-connection` CLI.
# Opções de túnel para sua AWS Site-to-Site VPN conexão
Você usa uma conexão Site-to-Site VPN para conectar sua rede remota a uma VPC. Cada conexão Site-to-Site VPN tem dois túneis, com cada túnel usando um endereço IP público exclusivo. Para a redundância, é importante configurar ambos os túneis. Quando um túnel fica indisponível (por exemplo, inativo para manutenção), o tráfego da rede é roteado automaticamente para o túnel disponível para essa Site-to-Site conexão VPN específica.
O diagrama a seguir mostra os dois túneis de uma conexão VPN. Cada túnel termina em uma zona de disponibilidade diferente para fornecer maior disponibilidade. Tráfego da rede local para AWS usar os dois túneis. O tráfego AWS para a rede local prefere um dos túneis, mas pode passar automaticamente para o outro túnel se houver uma falha lateral. AWS
![\[Os dois túneis de uma conexão VPN entre um gateway privado virtual e um gateway do cliente.\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/Multiple_VPN_Tunnels_diagram.png)
Ao criar uma conexão Site-to-Site VPN, você baixa um arquivo de configuração específico para o dispositivo de gateway do cliente que contém informações para configurar o dispositivo, incluindo informações para configurar cada túnel. Opcionalmente, você mesmo pode especificar algumas das opções de túnel ao criar a conexão Site-to-Site VPN. Caso contrário, a AWS fornece os valores padrão.
## Opções de largura de banda do túnel
Você pode configurar a capacidade de largura de banda para seus túneis VPN:
+ **Largura de banda padrão**: até 1,25 Gbps por túnel (padrão)
+ **Túnel de grande largura de banda (LBT)**: até 5 Gbps por túnel
Túneis de grande largura de banda estão disponíveis somente para conexões VPN conectadas ao Transit Gateway ou ao Cloud WAN. Para obter mais informações, consulte [Túneis de grande largura de banda](#large-bandwidth-tunnels).
**nota**
Site-to-Site Os endpoints de túnel VPN avaliam as propostas do gateway do cliente, começando com o menor valor configurado na lista abaixo, independentemente do pedido de proposta do gateway do cliente. Você pode usar o `modify-vpn-connection-options` comando para restringir a lista de opções que os AWS endpoints aceitarão. Para obter mais informações, consulte a [modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html)Referência de *linha de comando do Amazon EC2*.
## Túneis de grande largura de banda
Os túneis de grande largura de banda permitem que você configure túneis Site-to-Site VPN que suportam largura de banda de até 5 Gbps por túnel, em comparação com o padrão de 1,25 Gbps. Túneis de grande largura de banda estão disponíveis para conexões VPN conectadas ao Transit Gateway ou ao Cloud WAN. Isso elimina ou reduz a necessidade de implantar protocolos complexos, como ECMP (Equal Cost Multi Path), para obter maior largura de banda e garantir uma largura de banda de túnel consistente de 5 Gbps por túnel. Os túneis de grande largura de banda foram projetados para serem usados nos seguintes casos de uso:
+ **Conectividade de data center**: Support aplicativos híbridos que consomem muita largura de banda, migrações de big data ou arquiteturas de recuperação de desastres que exigem conectividade de alta capacidade entre cargas de trabalho da AWS e datacenters locais.
+ **Backup Direct Connect**: forneça conectividade de backup ou sobreposição para circuitos Direct Connect de alta capacidade (mais de 10 Gbps) para data centers locais ou instalações de colocation.
### Disponibilidade de regiões
Túneis de grande largura de banda estão disponíveis em todas as regiões, exceto nas seguintes:
**Indisponível Regiões da AWS**
| AWS Região | Description |
| --- | --- |
| ap-southeast-4 | Ásia-Pacífico (Melbourne) |
| ca-west-1 | Oeste do Canadá (Calgary) |
| eu-central-2 | Europa (Zurique) |
| il-central-1 | Israel (Tel Aviv) |
| me-central-1 | Oriente Médio (Emirados Árabes Unidos) |
### Requisitos e limitações
+ Disponível somente para conexões VPN conectadas a um gateway de trânsito ou à Cloud WAN. Não há suporte para anexos do Virtual Private Gateway.
+ Ambos os túneis de uma conexão VPN devem usar a mesma configuração de largura de banda (1,25 Gbps ou ambos 5 Gbps).
+ A VPN acelerada não é suportada.
+ Todos os outros recursos principais da VPN, como VPN IP privada, roteamento e manutenção de túneis, funcionam da mesma forma com o túnel de grande largura de banda.
+ O limite de MTU permanece em 1500 bytes. [ Saiba mais](https://docs.aws.amazon.com/vpn/latest/s2svpn/cgw-best-practice.html) sobre como ajustar os tamanhos de MTU e MSS de acordo com os algoritmos em uso.
+ Você não pode modificar um túnel existente para usar túneis de grande largura de banda. Você precisará primeiro excluir o túnel e, em seguida, criar um novo túnel e definir a largura de banda do túnel como **Grande**.
+ Os gateways de cliente (CGWs) somente com um IP fixo podem ser usados com túneis de grande largura de banda.
+ Os gateways do cliente (CGWs) sem um endereço IP não podem ser usados com túneis de grande largura de banda.
+ Túneis de grande largura de banda não suportam alterações na porta NAT-T enquanto o túnel está estabelecido.
+ Pacotes que exigem fragmentação podem apresentar desempenho inferior. [ Saiba mais](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html#vpn-quotas-mtu)
### Preços para túneis de grande largura de banda
Informações sobre preços de conexões VPN de grande largura de banda podem ser encontradas na página de [preços de AWS VPN](https://aws.amazon.com/vpn/pricing/#AWS_Site-to-Site_VPN_and_Accelerated_Site-to-Site_VPN_Connection_Pricing).
### Escalabilidade além de 5 Gbps
Para requisitos de largura de banda superiores a 5 Gbps por túnel, você pode usar o ECMP em várias conexões VPN. Por exemplo, você pode obter uma largura de banda de 20 Gbps implantando duas conexões VPN com túneis de grande largura de banda e usando ECMP em todos os quatro túneis.
# Configurar opções de túnel para AWS Site-to-Site VPN
Esta seção fornece orientação abrangente sobre a configuração de opções de túnel para AWS Site-to-Site VPN conexões, abrangendo parâmetros essenciais, como detecção de pares mortos, versões IKE e configurações de criptografia. Você pode personalizar essas opções de túnel para otimizar a segurança, o desempenho e a compatibilidade da sua conexão VPN com sua infraestrutura de rede local.
Veja a seguir as opções de túnel que você pode configurar.
**nota**
Algumas opções de túnel têm vários valores padrão. Por exemplo, as **versões IKE** têm dois valores de opção de túnel padrão: `ikev1` e `ikev2`. Todos os valores padrão serão associados a essa opção de túnel se você não escolher valores específicos. Clique para remover qualquer valor padrão que você não queira associar à opção de túnel. Por exemplo, se você quiser usar `ikev1` apenas para a versão IKE, clique em `ikev2` para removê-lo.
**Tempo limite do Dead Peer Detection (DPD)**
A duração, em segundos, após a qual ocorre o tempo limite do DPD. Um tempo limite de DPD de 30 segundos significa que o endpoint da VPN considerará o par morto 30 segundos após a primeira falha no keep-alive. É possível especificar 30 ou superior.
Padrão: 60
**Ação de tempo limite do DPD**
A ação a ser executada após atingir o tempo limite do Dead Peer Detection (DPD). É possível especificar o seguinte:
+ `Clear`: finalizar a sessão do protocolo IKE quando o tempo limite do DPD for atingido (interromper o túnel e limpar as rotas)
+ `None`: nenhuma ação quando o tempo limite do DPD for atingido
+ `Restart`: reiniciar a sessão do protocolo IKE quando o tempo limite do DPD for atingido
Para obter mais informações, consulte [AWS Site-to-Site VPN opções de iniciação de túnel](initiate-vpn-tunnels.md).
Padrão: `Clear`
**Opções de registro em log da VPN**
Com os registros de Site-to-Site VPN, você pode obter acesso a detalhes sobre o estabelecimento do túnel IP Security (IPsec), negociações do Internet Key Exchange (IKE) e mensagens do protocolo Dead Peer Detection (DPD).
Para obter mais informações, consulte [AWS Site-to-Site VPN troncos](monitoring-logs.md).
Formatos de log disponíveis: `json`, `text`
**Versões do IKE**
As versões do IKE que são permitidas para o túnel VPN. É possível especificar um ou mais dos valores padrão.
Padrões: `ikev1`, `ikev2`
**Dentro do túnel IPv4 CIDR**
O intervalo de IPv4 endereços internos (internos) do túnel VPN. É possível especificar um bloco CIDR de tamanho /30 a partir do intervalo `169.254.0.0/16`. O bloco CIDR deve ser exclusivo em todas as conexões Site-to-Site VPN que usam o mesmo gateway privado virtual.
O bloco CIDR não precisa ser exclusivo em todas as conexões em um gateway de trânsito. No entanto, se eles não forem exclusivos, isso pode criar um conflito no gateway do cliente. Prossiga com cuidado ao reutilizar o mesmo bloco CIDR em várias conexões Site-to-Site VPN em um gateway de trânsito.
Os blocos CIDR a seguir são reservados e não podem ser usados:
+ `169.254.0.0/30`
+ `169.254.1.0/30`
+ `169.254.2.0/30`
+ `169.254.3.0/30`
+ `169.254.4.0/30`
+ `169.254.5.0/30`
+ `169.254.169.252/30`
Padrão: um bloco IPv4 CIDR de tamanho /30 do `169.254.0.0/16` intervalo.
**Armazenamento de chaves pré-compartilhadas**
O tipo do armazenamento para a chave pré-compartilhada:
+ **Padrão** — A chave pré-compartilhada é armazenada diretamente no serviço Site-to-Site VPN.
+ **Secrets Manager** — A chave pré-compartilhada é armazenada usando AWS Secrets Manager. Para ter mais informações sobre o Secrets Manager, consulte [Recursos de segurança aprimorados usando o Secrets Manager](enhanced-security.md).
**Largura de banda do túnel**
A largura de banda suportada pelo túnel.
+ **Padrão** — A largura de banda do túnel é definida para um máximo de até 1,25 Gbps por túnel (padrão).
+ **Grande** — A largura de banda do túnel até um máximo de até 5 Gbps por túnel.
**nota**
A opção **Large** só está disponível para conexões VPN conectadas a um gateway de trânsito ou à Cloud WAN. Ele não é compatível com conexões de gateway privado virtual.
**Dentro do túnel IPv6 CIDR**
(Somente conexões IPv6 VPN) O intervalo de IPv6 endereços internos (internos) do túnel VPN. É possível especificar um bloco CIDR de tamanho /126 a partir do intervalo `fd00::/8` local. O bloco CIDR deve ser exclusivo em todas as conexões Site-to-Site VPN que usam o mesmo gateway de trânsito. Se você não especificar uma IPv6 sub-rede, a Amazon selecionará automaticamente uma sub-rede /128 desse intervalo. Independentemente de você especificar a sub-rede ou se a Amazon a selecionar, a Amazon usa o primeiro IPv6 endereço utilizável na sub-rede para seu lado da conexão, e seu lado usa o segundo endereço utilizável. IPv6
Padrão: um bloco IPv6 CIDR de tamanho /126 do intervalo local`fd00::/8`.
**Tipo de endereço IP do túnel externo**
O tipo de endereço IP para os endereços IP do túnel externo. É possível especificar um dos seguintes:
+ `PrivateIpv4`: use o IPv4 endereço privado para implantar conexões Site-to-Site VPN pelo Direct Connect.
+ `PublicIpv4`: (Padrão) Use IPv4 endereços para o túnel externo IPs.
+ `Ipv6`: Use IPv6 endereços para o túnel externo IPs. Essa opção só está disponível para conexões VPN em um gateway de trânsito ou Cloud WAN.
Quando você seleciona`Ipv6`, a AWS configura automaticamente os IPv6 endereços de túneis externos para o lado AWS dos túneis VPN. Seu dispositivo de gateway do cliente deve suportar IPv6 endereçamento e ser capaz de estabelecer IPsec túneis com IPv6 endpoints.
Padrão: `PublicIpv4`
**CIDR IPv4 de rede local**
(Somente conexão IPv4 VPN) O intervalo CIDR usado durante a negociação da fase 2 do IKE para o lado do cliente (local) do túnel VPN. Esse intervalo é usado para propor rotas, mas não impõe restrições de tráfego, pois AWS usa exclusivamente rotas baseadas em rotas VPNs . VPNs Os baseados em políticas não são suportados, pois AWS limitariam a capacidade de oferecer suporte a protocolos de roteamento dinâmico e arquiteturas multirregionais. Isso deve incluir os intervalos de IP da sua rede on-premises que precisam se comunicar pelo túnel VPN. Configurações adequadas da tabela de rotas e grupos de segurança devem ser usados para controlar o fluxo real do tráfego. NACLs
Padrão: 0.0.0.0/0
**CIDR IPv4 de rede remota**
(Somente conexão IPv4 VPN) O intervalo CIDR usado durante a negociação da fase 2 do IKE para o AWS lado do túnel VPN. Esse intervalo é usado para propor rotas, mas não impõe restrições de tráfego, pois a AWS usa exclusivamente rotas baseadas em rotas VPNs. A AWS não oferece suporte a políticas baseadas em políticas VPNs porque elas não têm a flexibilidade necessária para cenários complexos de roteamento e são incompatíveis com recursos como gateways de trânsito e VPN Equal Cost Multi-Path (ECMP). Pois VPCs, esse é normalmente o intervalo CIDR da sua VPC. Para gateways de trânsito, isso pode incluir vários intervalos de CIDR da rede conectada VPCs ou de outra rede.
Padrão: 0.0.0.0/0
**CIDR IPv6 de rede local**
(Somente conexão IPv6 VPN) O intervalo IPv6 CIDR no lado do gateway do cliente (local) que tem permissão para se comunicar pelos túneis VPN.
Padrão: ::/0
**CIDR IPv6 de rede remota**
(Somente conexão IPv6 VPN) O intervalo IPv6 CIDR no AWS lado que pode se comunicar pelos túneis VPN.
Padrão: ::/0
**Fase 1 Números de grupos Diffie-Hellman (DH)**
Os números de grupos DH que são permitidos para o túnel VPN para a fase 1 das negociações de IKE. É possível especificar um ou mais dos valores padrão.
Padrões: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24
**Fase 2 Números de grupos Diffie-Hellman (DH)**
Os números de grupos DH que são permitidos para o túnel VPN para a fase 2 das negociações de IKE. É possível especificar um ou mais dos valores padrão.
Padrões: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24
**Fase 1 Algoritmos de criptografia**
Os algoritmos de criptografia permitidos para o túnel VPN para a fase 1 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.
Padrões:,, -GCM-16 AES128 AES256, AES128 -GCM-16 AES256
**Fase 2 Algoritmos de criptografia**
Os algoritmos de criptografia permitidos para o túnel VPN para a fase 2 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.
Padrões:,, -GCM-16 AES128 AES256, AES128 -GCM-16 AES256
**Fase 1 Algoritmos de integridade**
Os algoritmos de integridade permitidos para o túnel VPN para a fase 1 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.
Padrões: SHA1, SHA2 -256, -384, -512 SHA2 SHA2
**Fase 2 Algoritmos de integridade**
Os algoritmos de integridade permitidos para o túnel VPN para a fase 2 das negociações de IKE. Você pode especificar um ou mais dos valores padrão.
Padrões: SHA1, SHA2 -256, -384, -512 SHA2 SHA2
**Tempo de vida da fase 1**
AWS inicie as rechaves com os valores de tempo definidos nos campos Vida útil da Fase 1 e Vida útil da Fase 2. Se as vidas úteis forem diferentes dos valores negociados no handshake, isso poderá interromper a conectividade do túnel.
O tempo de vida em segundos da fase 1 da negociação de IKE. É possível especificar um número entre 900 e 28.800.
Padrão: 28.800 (8 horas)
**Tempo de vida da fase 2**
AWS inicie as rechaves com os valores de tempo definidos nos campos Vida útil da Fase 1 e Vida útil da Fase 2. Se as vidas úteis forem diferentes dos valores negociados no handshake, isso poderá interromper a conectividade do túnel.
O tempo de vida em segundos da fase 2 da negociação de IKE. É possível especificar um número entre 900 e 3.600. O número especificado deve ser menor que o número de segundos para a vida útil da fase 1.
Padrão: 3.600 (1 hora)
**Chaves pré-compartilhadas (PSK)**
Chave pré-compartilhada (PSK) para estabelecer a associação de IKE (Internet key exchange – Troca de chaves da Internet) inicial entre o gateway de destino e o gateway do cliente.
O PSK deve estar entre 8 e 64 caracteres de extensão e não pode começar com zero (0). Os caracteres permitidos são alfanuméricos, pontos (.) e sublinhados (\$1).
Padrão: uma string de 32 caracteres alfanuméricos.
**Fuzz de rechaveamento**
A porcentagem da janela de rechaveamento (determinada pelo tempo de margem de rechaveamento) dentro da qual o tempo de rechaveamento é selecionado aleatoriamente.
É possível especificar um valor percentual entre 0 e 100.
Padrão: 100
**Tempo de margem de rechaveamento**
O tempo de margem em segundos antes da expiração da vida útil das fases 1 e 2, durante o qual o AWS lado da conexão VPN executa uma rechave IKE.
É possível especificar um número entre 60 e metade do valor de vida útil da fase 2.
A hora exata do rechaveamento é selecionada aleatoriamente com base no valor de fuzz de rechaveamento.
Padrão: 270 (4,5 minutos)
**Reproduzir pacotes de tamanho da janela**
O número de pacotes em uma janela de reprodução de IKE.
É possível especificar um valor entre 64 e 2048.
Padrão: 1024
**Ação de inicialização**
A ação a ser realizada ao estabelecer o túnel para uma conexão VPN. É possível especificar o seguinte:
+ `Start`: AWS inicia a negociação do IKE para abrir o túnel. Somente compatível se o gateway do cliente estiver configurado com um endereço IP.
+ `Add`: o dispositivo de gateway do cliente deve iniciar a negociação do protocolo IKE para ativar o túnel.
Para obter mais informações, consulte [AWS Site-to-Site VPN opções de iniciação de túnel](initiate-vpn-tunnels.md).
Padrão: `Add`
**Controle de ciclo de vida do endpoint de túnel**
O controle de ciclo de vida do endpoint de túnel oferece controle sobre o cronograma de substituições de endpoints.
Para obter mais informações, consulte [AWS Site-to-Site VPN controle do ciclo de vida do endpoint do túnel](tunnel-endpoint-lifecycle.md).
Padrão: `Off`
Você pode especificar as opções de túnel ao criar uma conexão Site-to-Site VPN ou pode modificar as opções de túnel para uma conexão VPN existente. Para saber mais, consulte os seguintes tópicos:
+ [Etapa 5: criar uma conexão VPN](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ [Modificar opções de túnel de AWS Site-to-Site VPN](modify-vpn-tunnel-options.md)
# AWS Site-to-Site VPNOpções de autenticação de túnel
É possível usar chaves pré-compartilhadas ou certificados para autenticar seus endpoints de túnel da Site-to-Site VPN.
## Chaves pré-compartilhadas
Uma chave pré-compartilhada (PSK) é a opção de autenticação padrão para túneis do Site-to-Site VPN. Ao criar um túnel, você pode especificar sua própria PSK ou permitir que a AWS gere uma para você automaticamente. A PSK é armazenada usando um dos seguintes métodos:
+ Diretamente no serviço Site-to-Site VPN. Para obter mais informações, consulte [AWS Site-to-Site VPN dispositivos de gateway do cliente](your-cgw.md).
+ No AWS Secrets Manager para aumentar a segurança. Para ter mais informações sobre como usar o Secrets Manager, consulte [Recursos de segurança aprimorados usando o Secrets Manager](enhanced-security.md).
A string da PSK é então usada ao configurar o dispositivo do gateway do cliente.
## Certificado privado do Autoridade de Certificação Privada da AWS
Se você não quiser usar chaves pré-compartilhadas, poderá usar um certificado privado do Autoridade de Certificação Privada da AWS para autenticar sua VPN.
Crie um certificado privado de uma CA subordinada usando o Autoridade de Certificação Privada da AWS (CA privada da AWS). Para assinar a CA subordinada do ACM, você pode usar uma CA raiz do ACM ou uma CA externa. Para obter mais informações sobre como criar um certificado privado, consulte [Criar e gerenciar uma CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) no *Guia do usuário do Autoridade de Certificação Privada da AWS*.
É necessário criar um perfil vinculado ao serviço para gerar e usar o certificado no lado da AWS do endpoint do túnel da Site-to-Site VPN. Para obter mais informações, consulte [Funções vinculadas a serviços para VPN Site-to-Site](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).
**nota**
Para facilitar a alternância contínua de certificados, qualquer certificado com a mesma cadeia de autoridade de certificação que a originalmente especificada na chamada de API `CreateCustomerGateway` é suficiente para estabelecer uma conexão VPN.
Se você não especificar o endereço IP do dispositivo de gateway do cliente, não verificaremos o endereço IP. Essa operação permite que você mova o dispositivo de gateway do cliente para um endereço IP diferente sem precisar reconfigurar a conexão VPN.
A Site-to-Site VPN realiza a verificação da cadeia de certificados no certificado do gateway do cliente quando você cria um certificado da Site-to-Site VPN. Além das verificações básicas de CA e validade, a Site-to-Site VPN verifica se as extensões X.509 estão presentes, incluindo Identificador de Chave de Autoridade, Identificador de Chave de Assunto e Restrições Básicas.
# AWS Site-to-Site VPN opções de iniciação de túnel
Por padrão, o dispositivo de gateway do cliente deve abrir os túneis da sua conexão Site-to-Site VPN gerando tráfego e iniciando o processo de negociação do Internet Key Exchange (IKE). Você pode configurar seus túneis VPN para especificar que, em vez disso, AWS devem iniciar ou reiniciar o processo de negociação do IKE.
## Opções de iniciação do protocolo IKE de túnel da VPN
As seguintes opções de iniciação do protocolo IKE estão disponíveis. Você pode implementar uma ou ambas as opções para um ou ambos os túneis em sua Site-to-Site conexão VPN. Consulte [Opções de túnel VPN](VPNTunnels.md) para obter mais detalhes sobre essas e outras configurações de opções de túnel.
+ **Ação de inicialização**: a ação a ser executada ao estabelecer o túnel da VPN para uma conexão VPN nova ou modificada. Por padrão, o dispositivo de gateway do cliente inicia o processo de negociação do protocolo IKE para ativar o túnel Você pode especificar que, em vez disso, AWS deve iniciar o processo de negociação do IKE.
+ **Ação de tempo limite do DPD**: a ação a ser executada após atingir o tempo limite do Dead Peer Detection (DPD). Por padrão, a sessão do protocolo IKE é interrompida, o túnel fica inativo e as rotas são removidas. Você pode especificar que AWS deve reiniciar a sessão IKE quando ocorrer o tempo limite do DPD ou pode especificar que não AWS deve realizar nenhuma ação quando o tempo limite do DPD ocorrer.
## Regras e limitações
As seguintes regras e limitações são aplicáveis:
+ Para iniciar a negociação do IKE, é AWS necessário o endereço IP público do seu dispositivo de gateway do cliente. Se você configurou a autenticação baseada em certificado para sua conexão VPN e não especificou um endereço IP ao criar o recurso de gateway do cliente AWS, deverá criar um novo gateway do cliente e especificar o endereço IP. Depois, modifique a conexão VPN e especifique o novo gateway do cliente. Para obter mais informações, consulte [Alterar o gateway do cliente para uma conexão do AWS Site-to-Site VPN](change-vpn-cgw.md).
+ A iniciação IKE (ação de inicialização) do AWS lado da conexão VPN é suportada apenas por IKEv2 .
+ Se estiver usando a iniciação IKE do AWS lado da conexão VPN, ela não inclui uma configuração de tempo limite. Ela tentará continuamente estabelecer uma conexão até conseguir. Além disso, o AWS lado da conexão VPN reiniciará a negociação do IKE ao receber uma mensagem SA de exclusão do gateway do cliente.
+ Se o dispositivo de gateway do cliente estiver protegido por um firewall ou outro dispositivo usando Network Address Translation (NAT), ele deverá ter uma identidade (IDr) configurada. Para obter mais informações sobre IDr, consulte [RFC 7296](https://datatracker.ietf.org/doc/html/rfc7296).
Se você não configurar a iniciação do IKE pela AWS lateral do túnel VPN e a conexão VPN passar por um período de inatividade (geralmente 10 segundos, dependendo da configuração), o túnel poderá cair. Para evitar isso, você pode usar uma ferramenta de monitoramento de rede que envie pings keepalive.
## Trabalhar com opções de iniciação de túnel da VPN
Para obter mais informações sobre como trabalhar com opções de iniciação de túnel da VPN, consulte os seguintes tópicos:
+ Para criar uma conexão VPN e especificar as opções de iniciação de túnel da VPN: [Etapa 5: criar uma conexão VPN](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ Para modificar as opções de iniciação de túnel da VPN em uma conexão VPN existente: [Modificar opções de túnel de AWS Site-to-Site VPN](modify-vpn-tunnel-options.md)
# AWS Site-to-Site VPN substituições de terminais de túneis
Sua conexão Site-to-Site VPN consiste em dois túneis VPN para redundância. Às vezes, um ou ambos os endpoints do túnel VPN são substituídos ao AWS realizar atualizações do túnel ou quando você modifica sua conexão VPN. Durante a substituição de um endpoint de túnel, a conectividade através do túnel pode ser interrompida enquanto o novo endpoint de túnel é provisionado.
**Topics**
+ [Substituições de endpoint iniciadas pelo cliente](#endpoint-replacements-for-vpn-modifications)
+ [Substituições de endpoints gerenciados pela AWS](#endpoint-replacements-for-aws-updates)
+ [AWS Site-to-Site VPN controle do ciclo de vida do endpoint do túnel](tunnel-endpoint-lifecycle.md)
## Substituições de endpoint iniciadas pelo cliente
Quando você modifica os seguintes componentes de sua conexão VPN, um ou ambos os endpoints do túnel são substituídos.
| Modificação | Ação da API | Impacto do túnel |
| --- | --- | --- |
| [Modificar o gateway de destino para a conexão VPN](modify-vpn-target.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | Ambos os túneis estão indisponíveis enquanto novos endpoints do túnel são provisionados. |
| [Alterar o gateway do cliente para a conexão VPN](change-vpn-cgw.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | Ambos os túneis estão indisponíveis enquanto novos endpoints do túnel são provisionados. |
| [Modificar as opções da conexão VPN](modify-vpn-connection-options.md) | [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html) | Ambos os túneis estão indisponíveis enquanto novos endpoints do túnel são provisionados. |
| [Modificar as opções do túnel da VPN](modify-vpn-tunnel-options.md) | [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) | O túnel modificado não está disponível durante a atualização. |
## Substituições de endpoints gerenciados pela AWS
AWS Site-to-Site VPN é um serviço gerenciado e aplica periodicamente atualizações aos endpoints do túnel VPN. Essas atualizações acontecem por vários motivos, incluindo os seguintes:
+ Como aplicar atualizações gerais, como patches, aprimoramentos de resiliência e outras melhorias
+ Para retirar o hardware subjacente
+ Quando o monitoramento automatizado determina que um endpoint de túnel da VPN não está íntegro
AWS aplica atualizações de endpoint de túnel a um túnel de sua conexão VPN por vez. Durante uma atualização de endpoint de túnel, sua conexão de VPN pode sofrer uma breve perda de redundância. Portanto, é importante configurar ambos os túneis em sua conexão VPN para alta disponibilidade.
# AWS Site-to-Site VPN controle do ciclo de vida do endpoint do túnel
O controle do ciclo de vida do endpoint do túnel fornece controle sobre o cronograma de substituições do endpoint e pode ajudar a minimizar as interrupções de conectividade durante as substituições gerenciadas do endpoint do túnel. AWS Com esse recurso, você pode optar por aceitar atualizações AWS gerenciadas para endpoints de túnel no momento que for melhor para sua empresa. Utilize esse recurso se você tiver necessidades comerciais de curto prazo ou puder comportar somente um túnel por conexão de VPN.
**nota**
Em raras circunstâncias, AWS pode aplicar atualizações críticas aos endpoints do túnel imediatamente, mesmo se o recurso de controle do ciclo de vida do endpoint do túnel estiver ativado.
**Topics**
+ [Como o controle de ciclo de vida do endpoint de túnel funciona](#how-elc-works)
+ [Habilitar o controle de ciclo de vida do endpoint de túnel do](enable-elc.md)
+ [Verificar se o controle de ciclo de vida do endpoint de túnel do está habilitado](view-elc-status.md)
+ [Verificar se há atualizações disponíveis](view-elc-updates.md)
+ [Aceitar uma atualização de manutenção](accept-update.md)
+ [Desativar o controle de ciclo de vida do endpoint de túnel do](turn-elc-off.md)
## Como o controle de ciclo de vida do endpoint de túnel funciona
Ative o recurso de controle de ciclo de vida do endpoint de túnel para túneis individuais em uma conexão de VPN. Ele pode ser habilitado no momento da criação da VPN ou modificando as opções de túnel para uma conexão de VPN existente.
Depois que o controle de ciclo de vida do endpoint de túnel for habilitado, você obterá visibilidade adicional sobre os próximos eventos de manutenção do túnel de duas maneiras:
+ Você receberá AWS Health notificações sobre futuras substituições de terminais de túneis.
+ [O status da manutenção pendente, junto com os carimbos de data/hora da **Manutenção **aplicada automaticamente após** e da Última manutenção aplicada**, pode ser visto no Console de gerenciamento da AWS ou usando o get-vpn-tunnel-replacement comando -status.](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) AWS CLI
Quando a manutenção de um endpoint de túnel estiver disponível, você terá a oportunidade de aceitar a atualização em um horário que seja conveniente para você, antes do determinado carimbo de data e hora **Manutenção aplicada automaticamente após**.
Se você não aplicar as atualizações antes da data de **aplicação automática da Manutenção**, AWS executará automaticamente a substituição do endpoint do túnel logo depois, como parte do ciclo regular de atualização de manutenção.
# Habilite o AWS Site-to-Site VPN controle do ciclo de vida do endpoint do túnel
O controle do ciclo de vida do endpoint pode ser ativado em uma conexão VPN nova ou existente. Isso pode ser feito usando o Console de gerenciamento da AWS ou AWS CLI.
**nota**
Por padrão, quando o recurso para uma conexão de VPN existente é ativado, uma substituição de endpoints de túnel é iniciada ao mesmo tempo. Se quiser ativar o recurso, mas não iniciar a substituição imediata do endpoint de túnel, você pode utilizar a opção **Ignorar substituição do túnel**.
------
#### [ Existing VPN connection ]
As etapas a seguir demonstram como habilitar o controle de ciclo de vida do endpoint de túnel em uma conexão de VPN existente.
**Para habilitar o controle do ciclo de vida do endpoint do túnel usando o Console de gerenciamento da AWS**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **No painel de navegação do lado esquerdo, escolha Site-to-Site Conexões VPN.**
1. Selecione a conexão apropriada em **Conexões de VPN**.
1. Selecione **Ações**, **Modificar opções de túnel de VPN**.
1. Selecione o túnel específico que você deseja modificar escolhendo o **Endereço IP externo do túnel VPN** apropriado.
1. Em **Controle de ciclo de vida do endpoint de túnel**, marque a caixa de seleção **Habilitar**.
1. (Opcional) Selecione **Ignorar substituição de túnel**.
1. Escolha **Salvar alterações**.
**Para habilitar o controle do ciclo de vida do endpoint do túnel usando o AWS CLI**
Use o [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)comando para ativar o controle do ciclo de vida do endpoint do túnel.
------
#### [ New VPN connection ]
As etapas a seguir demonstram como habilitar o controle de ciclo de vida do endpoint de túnel durante a criação de uma conexão de VPN.
**Para habilitar o controle do ciclo de vida do endpoint do túnel durante a criação de uma nova conexão VPN usando o Console de gerenciamento da AWS**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Site-to-Site VPN Connections** (Conexões VPN).
1. Escolha **Create VPN Connection** (Criar conexão VPN).
1. Nas seções de **Opões de túnel 1** e **Opções de túnel 2**, em **Controle de ciclo de vida do endpoint de túnel**, selecione **Habilitar**.
1. Escolha **Create VPN Connection** (Criar conexão VPN).
**Para habilitar o controle do ciclo de vida do endpoint do túnel durante a criação de uma nova conexão VPN usando o AWS CLI**
Use o [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)comando para ativar o controle do ciclo de vida do endpoint do túnel.
------
# Verifique se o controle AWS Site-to-Site VPN do ciclo de vida do endpoint do túnel está ativado
Você pode verificar se o controle do ciclo de vida do endpoint do túnel está habilitado em um túnel VPN existente usando a CLI ou Console de gerenciamento da AWS .
+ Se o controle do ciclo de vida do endpoint do túnel estiver desabilitado e você quiser habilitá-lo, consulte [Habilitar o controle de ciclo de vida do endpoint de túnel do ](enable-elc.md).
+ Se o controle do ciclo de vida do endpoint do túnel estiver ativado e você quiser desativá-lo, consulte [Desativar o controle de ciclo de vida do endpoint de túnel do ](turn-elc-off.md).
**Para verificar se o controle do ciclo de vida do endpoint do túnel está ativado usando o Console de gerenciamento da AWS**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **No painel de navegação do lado esquerdo, escolha Site-to-Site Conexões VPN.**
1. Selecione a conexão apropriada em **Conexões de VPN**.
1. Selecione a guia **Detalhes do túnel**.
1. Nos detalhes do túnel, procure **Controle de ciclo de vida do endpoint de túnel**, que informará se o recurso está **habilitado** ou **desabilitado**.
**Para verificar se o controle do ciclo de vida do endpoint do túnel está ativado usando o AWS CLI**
Use o [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)comando para verificar se o controle do ciclo de vida do endpoint do túnel está ativado.
# Verifique as atualizações de AWS Site-to-Site VPN túneis disponíveis
Depois de habilitar o recurso de controle de ciclo de vida do endpoint de túnel, você pode visualizar se uma atualização de manutenção está disponível para sua conexão de VPN utilizando o Console de gerenciamento da AWS ou a CLI. A verificação de uma atualização de túnel Site-to-Site VPN disponível não baixa e implementa automaticamente a atualização. É possível escolher quando deseja implantá-lo. Para obter as etapas para baixar e implantar uma atualização, consulte [Aceitar uma atualização de manutenção](accept-update.md).
**Para verificar as atualizações disponíveis usando o Console de gerenciamento da AWS**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **No painel de navegação do lado esquerdo, escolha Site-to-Site Conexões VPN.**
1. Selecione a conexão apropriada em **Conexões de VPN**.
1. Selecione a guia **Detalhes do túnel**.
1. Confira a coluna **Manutenção pendente**. O status será **Disponível** ou **Nenhum**.
**Para verificar as atualizações disponíveis usando o AWS CLI**
Use o comando [get-vpn-tunnel-replacement-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) para verificar as atualizações disponíveis.
# Aceitar uma atualização de manutenção AWS Site-to-Site VPN do túnel
Quando uma atualização de manutenção está disponível, você pode aceitá-la usando a CLI Console de gerenciamento da AWS ou. Você pode optar por aceitar a atualização de manutenção do túnel Site-to-Site VPN em um momento conveniente para você. Depois de aceitar a atualização de manutenção, ela será implantada.
**nota**
Se você não aceitar a atualização de manutenção, a AWS implantará automaticamente durante um ciclo regular de atualização de manutenção.
**Para aceitar uma atualização de manutenção disponível usando o Console de gerenciamento da AWS**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **No painel de navegação do lado esquerdo, escolha Site-to-Site Conexões VPN.**
1. Selecione a conexão apropriada em **Conexões de VPN**.
1. Selecione **Ações** e, depois, **Substituir túnel VPN**.
1. Selecione o túnel específico que você deseja substituir escolhendo o **Endereço IP externo do túnel VPN**.
1. Selecione **Replace (Substituir)**.
**Para aceitar uma atualização de manutenção disponível usando o AWS CLI**
Use o [replace-vpn-tunnel](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-vpn-tunnel.html)comando para aceitar uma atualização de manutenção disponível.
# Desative o AWS Site-to-Site VPN controle do ciclo de vida do endpoint do túnel
Se você não quiser mais usar o recurso de controle do ciclo de vida do endpoint de túnel, poderá desativá-lo usando o Console de gerenciamento da AWS ou o. AWS CLI Quando você desativar esse recurso, a AWS implantará as atualizações de manutenção automaticamente e periodicamente, e elas poderão ocorrer durante o horário comercial. Para evitar qualquer impacto, é altamente recomendável configurar os dois túneis em sua conexão de VPN para alta disponibilidade.
**nota**
Embora haja uma manutenção pendente disponível, você não pode especificar a opção **Ignorar substituição de túnel** ao desativar o recurso. Você sempre pode desativar o recurso sem usar a opção **ignorar a substituição do túnel**, mas AWS implantará automaticamente as atualizações de manutenção pendentes disponíveis iniciando imediatamente a substituição do endpoint do túnel.
**Para desativar o controle do ciclo de vida do endpoint do túnel usando o Console de gerenciamento da AWS**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **No painel de navegação do lado esquerdo, escolha Site-to-Site Conexões VPN.**
1. Selecione a conexão apropriada em **Conexões de VPN**.
1. Selecione **Ações**, **Modificar opções de túnel de VPN**.
1. Selecione o túnel específico que você deseja modificar escolhendo o **Endereço IP externo do túnel VPN** apropriado.
1. Para desativar o controle de ciclo de vida do endpoint de túnel, em **Controle de ciclo de vida do endpoint de túnel**, desmarque a caixa de seleção **Habilitar**.
1. (Opcional) Selecione **Ignorar substituição de túnel**.
1. Escolha **Salvar alterações**.
**Para desativar o controle do ciclo de vida do endpoint do túnel usando o AWS CLI**
Use o [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)comando para desativar o controle do ciclo de vida do endpoint do túnel.
# Opções de gateway do cliente para sua conexão AWS Site-to-Site VPN
A tabela a seguir descreve as informações necessárias para criar um recurso de gateway do cliente na AWS.
| Item | Descrição |
| --- | --- |
| (Opcional) Etiqueta de nome. | Cria uma etiqueta com a chave de “Nome” e um valor especificado por você. |
| (Apenas roteamento dinâmico) Número de sistema autônomo (ASN) do Border Gateway Protocol (BGP) do gateway do cliente. | ASN na faixa de 1–4.294.967.295 é compatível. É possível usar um ASN público já existente e atribuído para a rede, com exceção do seguinte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/cgw-options.html) Caso não possua um ASN público, você poderá usar um ASN privado no intervalo de 64.512 a 65.534 a 65.534 ou 4.200.000.000 a 4.294.967.294. O ASN padrão é 64512. Para obter mais informações sobre roteamento, consulte [AWS Site-to-Site VPN opções de roteamento](VPNRoutingTypes.md). |
| O endereço IP da interface externa do dispositivo de gateway do cliente. | O endereço IP deve ser estático e pode ser IPv4 ou IPv6. Para endereços IPv4: se o dispositivo de gateway do cliente estiver atrás de um dispositivo de conversão de endereços de rede (NAT), use o endereço IP do dispositivo NAT. Além disso, verifique se os pacotes UDP na porta 500 (e na porta 4500, se o NAT Traversal estiver sendo usado) têm permissão para passar entre sua rede e os endpoints do AWS Site-to-Site VPN. Consulte [Regras de firewall](FirewallRules.md) para obter mais informações. Para endereços IPv6: o endereço deve ser um endereço IPv6 válido e roteável pela internet. Endereços IPv6 só são compatíveis com conexões VPN em um gateway de trânsito ou Cloud WAN. Um endereço IP não é necessário quando você usa um certificado privado do Autoridade de Certificação Privada da AWS e uma VPN pública. |
| (Opcional) Certificado privado de uma CA subordinada usando o AWS Certificate Manager (ACM). | Se você quiser usar a autenticação baseada em certificado, forneça o ARN de um certificado privado do ACM que será usado no dispositivo de gateway do cliente. Ao criar um gateway do cliente, você pode configurá-lo para usar certificados privados do Autoridade de Certificação Privada da AWS para autenticar a VPN de local a local. Quando escolher usar essa opção, você criará uma Private Certificate Authority (CA) totalmente hospedada na AWS para uso interno por sua organização. O certificado CA raiz e os certificados CA subordinados são armazenados e gerenciados pelo CA privada da AWS. Antes de criar o gateway do cliente, crie um certificado privado de uma CA subordinado usando o Autoridade de Certificação Privada da AWS e especifique o certificado ao configurar o gateway do cliente. Para obter informações sobre como criar um certificado privado, consulte [Criar e gerenciar uma CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) no *Guia do usuário do Autoridade de Certificação Privada da AWS*. |
| (Opcional) Dispositivo. | Um nome para o dispositivo de gateway do cliente associado a esse gateway do cliente. |
## Opções de gateway de cliente IPv6
Ao criar um gateway de cliente com um endereço IPv6, considere o seguinte:
+ Os gateways de cliente IPv6 só são compatíveis com conexões VPN em um gateway de trânsito ou Cloud WAN.
+ O endereço IPv6 deve ser válido e roteável pela internet.
+ O dispositivo de gateway do cliente deve permitir endereçamento IPv6 e ser capaz de estabelecer túneis IPsec com endpoints IPv6.
+ Para criar um gateway de cliente IPv6 usando a AWS CLI, use um endereço IPv6 para o parâmetro `--ip-address`:
```
aws ec2 create-customer-gateway --ip-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```
# Conexões aceleradas AWS Site-to-Site VPN
Opcionalmente, você pode ativar a aceleração para sua conexão Site-to-Site VPN. Uma conexão Site-to-Site VPN acelerada (conexão VPN acelerada) é usada AWS Global Accelerator para rotear o tráfego da sua rede local para um ponto de AWS presença mais próximo do seu dispositivo de gateway do cliente.AWS Global Accelerator otimiza o caminho da rede, usando a rede AWS global livre de congestionamento para rotear o tráfego para o endpoint que fornece o melhor desempenho do aplicativo (para obter mais informações, consulte). [AWS Global Accelerator](https://aws.amazon.com/global-accelerator/) É possível usar uma conexão VPN acelerada para evitar interrupções de rede que possam ocorrer quando o tráfego é roteado pela Internet pública.
Quando você cria uma conexão VPN acelerada, criamos e gerenciamos dois aceleradores em seu nome, um para cada túnel VPN. Você não pode visualizar ou gerenciar esses aceleradores sozinho usando o AWS Global Accelerator console ou APIs.
Para obter informações sobre as AWS regiões que oferecem suporte a conexões VPN aceleradas, consulte a VPN [AWS acelerada Site-to-Site](https://aws.amazon.com/vpn/faqs/). FAQs
## Habilitar a aceleração
Por padrão, quando você cria uma conexão Site-to-Site VPN, a aceleração é desativada. Opcionalmente, você pode ativar a aceleração ao criar um novo anexo de Site-to-Site VPN em um gateway de trânsito. Para obter mais informações e etapas, consulte [Crie uma AWS Site-to-Site VPN conexão](create-vpn-connection.md).
As conexões VPN aceleradas usam um grupo separado de endereços IP para os endereços IP do endpoint do túnel. Os endereços IP dos dois túneis VPN são selecionados em duas [zonas de rede](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-components.html) separadas.
## Regras e restrições
Para usar uma conexão VPN acelerada, aplicam-se as seguintes regras:
+ A aceleração só é suportada para conexões Site-to-Site VPN conectadas a um gateway de trânsito. Os gateways privados virtuais não são compatíveis com conexões VPN aceleradas.
+ Uma conexão Site-to-Site VPN acelerada não pode ser usada com uma interface virtual AWS Direct Connect pública.
+ Você não pode ativar ou desativar a aceleração de uma conexão Site-to-Site VPN existente. Em vez disso, você pode criar uma nova conexão Site-to-Site VPN com aceleração ativada ou desativada conforme necessário. Em seguida, configure seu dispositivo de gateway do cliente para usar a nova conexão Site-to-Site VPN e excluir a conexão Site-to-Site VPN antiga.
+ O NAT-traversal (NAT-T) é necessário para uma conexão VPN acelerada e é habilitado por padrão. Se você fez download de um [arquivo de configuração](SetUpVPNConnections.md#vpn-download-config) do console da Amazon VPC, verifique a configuração NAT-T e ajuste-a, se necessário.
+ A negociação IKE para túneis VPN acelerados deve ser iniciada no dispositivo de gateway do cliente. As duas opções de túnel que afetam esse comportamento são `Startup Action` e `DPD Timeout Action`. Consulte [Opções de túnel VPN](VPNTunnels.md) e [Opções de iniciação do túnel da VPN](initiate-vpn-tunnels.md) para obter mais informações.
+ Site-to-Site As conexões VPN que usam autenticação baseada em certificado podem não ser compatíveis com AWS Global Accelerator, devido ao suporte limitado à fragmentação de pacotes no Global Accelerator. Para ter mais informações, consulte [Como o AWS Global Accelerator funciona](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html). Se for necessária uma conexão VPN acelerada que use a autenticação baseada em certificado, o dispositivo de gateway do cliente deverá ser compatível com a fragmentação IKE. Caso contrário, não habilite sua VPN para aceleração.
# AWS Site-to-Site VPN opções de roteamento
AWS recomenda anunciar rotas BGP específicas para influenciar as decisões de roteamento no gateway privado virtual. Verifique as informações sobre comandos específicos do dispositivo na documentação do fornecedor.
Ao criar várias conexões VPN, o gateway privado virtual envia tráfego de rede para a conexão VPN apropriada, usando rotas atribuídas estaticamente ou anúncios de rotas de BGP. Qual rota será usada dependerá de como a conexão VPN foi configurada. Quando há rotas idênticas no gateway privado virtual, deve-se preferir as rotas atribuídas estaticamente, em detrimento das rotas anunciadas pela BGP. Se você optar por usar o anúncio do BGP, não poderá especificar rotas estáticas.
Para obter mais informações sobre prioridade de rotas, consulte [Tabelas de rotas e prioridade de rota](vpn-route-priority.md).
Ao criar uma conexão Site-to-Site VPN, você deve fazer o seguinte:
+ Especifique o tipo de roteamento que você planeja usar (estático ou dinâmico)
+ Atualize a [tabela de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) da sub-rede
Existem cotas para o número de rotas que podem ser adicionadas a uma tabela de rotas. Para obter mais informações, consulte a seção Tabelas de rotas em [Cotas da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) no *Guia do usuário da Amazon VPC*.
**Topics**
+ [Roteamento estático e dinâmico](vpn-static-dynamic.md)
+ [Tabelas de rotas e prioridade de rota](vpn-route-priority.md)
+ [Roteamento durante atualizações de endpoint do túnel de VPN](routing-vpn-tunnel-updates.md)
+ [Tráfego IPv4 e IPv6](ipv4-ipv6.md)
# Roteamento estático e dinâmico em AWS Site-to-Site VPN
O tipo de roteamento selecionado pode depender da marca e do modelo do dispositivo de gateway do cliente. Se o dispositivo de gateway do cliente suportar o Border Gateway Protocol (BGP), especifique o roteamento dinâmico ao configurar sua Site-to-Site conexão VPN. Se o dispositivo de gateway do cliente não for compatível com BGP, especifique o roteamento estático.
**nota**
Site-to-Site Os concentradores VPN suportam somente o roteamento BGP. O roteamento estático não é suportado para conexões VPN que usam um Site-to-Site VPN Concentrator.
Se você usa um dispositivo compatível com publicidade BGP, não especifica rotas estáticas para a conexão Site-to-Site VPN porque o dispositivo usa o BGP para anunciar suas rotas para o gateway privado virtual. Caso use um dispositivo que não seja compatível com publicidade BGP, selecione o roteamento estático e insira as rotas (prefixos IP) para a rede que fazem a comunicação com o gateway privado virtual.
Recomendamos, quando disponíveis, o uso de dispositivos compatíveis com o protocolo BGP que verificam se a detecção é de boa qualidade, o quê pode ajudar o failover para o segundo túnel VPN, caso haja uma redução do primeiro túnel. Os dispositivos que não são compatíveis com o BGP também podem fazer a verificação de integridade, auxiliando o failover para o segundo túnel, quando necessário.
Você deve configurar seu dispositivo de gateway do cliente para rotear o tráfego da sua rede local para a conexão Site-to-Site VPN. A configuração depende da marca e do modelo do seu dispositivo. Para obter mais informações, consulte [AWS Site-to-Site VPN dispositivos de gateway do cliente](your-cgw.md).
# Tabelas de rotas e prioridade de AWS Site-to-Site VPN rotas
[Tabelas de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) determinam para onde o tráfego da VPC é direcionado. Na tabela de rotas da VPC, adicione uma rota à rede remota e especifique o gateway privado virtual como destino. Isso permite que o tráfego da VPC destinado para a rede remota seja roteado por meio do gateway privado virtual e sobre um dos túneis VPN. É possível habilitar a propagação automática de rotas da rede para a tabela de rotas.
Para determinar como o tráfego deve ser roteado, usamos a rota mais específica em sua tabela de rotas que corresponde ao tráfego (correspondência de prefixo mais longa). Se a tabela de rotas tiver rotas sobrepostas ou correspondentes, as seguintes regras serão aplicadas:
+ Se as rotas propagadas de uma conexão Site-to-Site VPN ou Direct Connect conexão se sobrepuserem à rota local da sua VPC, a rota local será a preferida, mesmo que as rotas propagadas sejam mais específicas.
+ Se as rotas propagadas de uma conexão ou Direct Connect conexão Site-to-Site VPN tiverem o mesmo bloco CIDR de destino de outras rotas estáticas existentes (a correspondência de prefixo mais longa não pode ser aplicada), priorizamos as rotas estáticas cujos destinos são um gateway de internet, um gateway privado virtual, uma interface de rede, um ID de instância, uma conexão de emparelhamento de VPC, um gateway NAT, um gateway de trânsito ou um gateway VPC endpoint.
Por exemplo, a tabela de rotas a seguir tem uma rota estática para um gateway da Internet e uma rota propagada para um gateway privado virtual. O destino de ambas as rotas é `172.31.0.0/24`. Nesse caso, todo tráfego destinado para `172.31.0.0/24` é roteado para o gateway da Internet – é uma rota estática e, portanto, tem prioridade sobre a rota propagada.
| Destino | Destino |
| --- | --- |
| 10.0.0.0/16 | Local |
| 172.31.0.0/24 | vgw-11223344556677889 (propagado) |
| 172.31.0.0/24 | igw-12345678901234567 (estático) |
Somente os prefixos IP que sejam conhecidos do gateway privado virtual, seja por meio de anúncios BGP ou de uma entrada da rota estática, podem receber o tráfego da VPC. O gateway privado virtual não roteia nenhum outro tráfego cujo destino seja fora dos anúncios BGP recebidos, das entradas de rota estática ou do CIDR da VPC anexada. Os gateways privados virtuais não oferecem suporte ao IPv6 tráfego.
Quando um gateway privado virtual recebe informações de roteamento, ele usa a seleção de caminho para determinar como rotear o tráfego. A correspondência de prefixo mais longa se aplicará se todos os endpoints estiverem íntegros. A integridade de um endpoint de túnel tem precedência sobre outros atributos de roteamento. Essa precedência se aplica a VPNs gateways privados virtuais e gateways de trânsito. Se os prefixos forem os mesmos, o gateway privado virtual prioriza as rotas da seguinte forma, da mais preferida para a menos preferida:
+ Rotas propagadas pelo BGP a partir de uma conexão Direct Connect
As rotas do Blackhole não são propagadas para um gateway de cliente Site-to-Site VPN via BGP.
+ Rotas estáticas adicionadas manualmente para uma conexão Site-to-Site VPN
+ Rotas propagadas pelo BGP a partir de uma conexão VPN Site-to-Site
+ Para combinar prefixos em que cada conexão Site-to-Site VPN usa BGP, o AS PATH é comparado e o prefixo com o AS PATH mais curto é preferido.
**nota**
AWS recomenda fortemente o uso de dispositivos de gateway do cliente que suportem roteamento assimétrico.
Para dispositivos de gateway do cliente compatíveis com roteamento assimétrico, nós *não* recomendamos usar o prefixo AS PATH, para garantir que os dois túneis tenham um AS PATH igual. Isso ajuda a garantir que o valor multi-exit discriminator (MED) que definimos em um túnel durante as [atualizações de endpoint do túnel VPN](routing-vpn-tunnel-updates.md) seja usado para determinar a prioridade do túnel.
Para dispositivos de gateway do cliente incompatíveis com o roteamento assimétrico, use no início AS PATH e a preferência local para escolher um túnel em vez do outro. No entanto, quando o caminho de saída muda, o tráfego pode cair.
+ Quando o PATHs AS tem o mesmo comprimento e se o primeiro AS no AS\$1SEQUENCE é o mesmo em vários caminhos, multi-exit discriminators (MEDs) são comparados. O caminho com o menor valor MED será o preferido.
A prioridade de rota é afetada durante as [atualizações de endpoint do túnel de VPN](routing-vpn-tunnel-updates.md).
Em uma conexão Site-to-Site VPN, AWS seleciona um dos dois túneis redundantes como o caminho de saída principal. Essa seleção pode mudar às vezes, e é altamente recomendável que você configure ambos os túneis para alta disponibilidade e permita o roteamento assimétrico. A integridade de um endpoint de túnel tem precedência sobre outros atributos de roteamento. Essa precedência se aplica a VPNs gateways privados virtuais e gateways de trânsito.
Para um gateway privado virtual, um túnel em todas as conexões Site-to-Site VPN no gateway será selecionado. Para usar mais de um túnel, recomendamos explorar o Equal Cost Multipath (ECMP), que é compatível com conexões Site-to-Site VPN em um gateway de trânsito. Para obter mais informações, consulte [Gateways de trânsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) em *Gateways de trânsito da Amazon VPC*. O ECMP não é compatível com conexões Site-to-Site VPN em um gateway privado virtual.
Para conexões Site-to-Site VPN que usam BGP, o túnel primário pode ser identificado pelo valor multi-exit discriminator (MED). Recomendamos anunciar rotas BGP mais específicas para influenciar as decisões de roteamento.
Para conexões Site-to-Site VPN que usam roteamento estático, o túnel primário pode ser identificado por estatísticas ou métricas de tráfego.
# Roteamento durante atualizações de endpoint do túnel de VPN
Uma conexão Site-to-Site VPN consiste em dois túneis VPN entre um dispositivo de gateway do cliente e um gateway privado virtual ou um gateway de trânsito. Recomendamos que você configure ambos os túneis para redundância. De tempos em tempos, AWS também realiza manutenção de rotina em sua conexão VPN, o que pode desativar brevemente um dos dois túneis da sua conexão VPN. Para obter mais informações, consulte [Notificações de substituição de endpoint do túnel](monitoring-vpn-health-events.md#tunnel-replacement-notifications).
Quando realizamos atualizações em um túnel de VPN, definimos um valor menor de multi-exit discriminator (MED) no outro túnel. Se você configurou o dispositivo de gateway do cliente para usar os dois túneis, a conexão VPN usará o outro túnel (ativo) durante o processo de atualização do endpoint do túnel.
**nota**
Para garantir que o túnel ativo com o valor MED inferior seja o preferencial, certifique-se de que o dispositivo de gateway do cliente use os mesmos valores de Peso e Preferência Local para ambos os túneis (Peso e Preferência Local têm prioridade mais alta do que MED).
# Tráfego IPv4 e IPv6 no AWS Site-to-Site VPN
A conexão do Site-to-Site VPN em um gateway de trânsito pode ser compatível com tráfego IPv4 ou IPv6 dentro dos túneis VPN. Por padrão, uma conexão da Site-to-Site VPN é compatível com o tráfego IPv4 dentro dos túneis VPN. É possível configurar uma nova conexão da Site-to-Site VPN para ser compatível com o tráfego IPv6 dentro dos túneis VPN. Depois, se a VPC e a rede local estiverem configuradas para endereçamento IPv6, você poderá enviar tráfego IPv6 pela conexão VPN.
Se você habilitar o IPv6 para os túneis VPN da conexão da Site-to-Site VPN, cada túnel terá dois blocos CIDR. Um é um bloco CIDR do IPv4 de tamanho /30 e o outro é um bloco CIDR do IPv6 de tamanho /126.
## Suporte a IPv4 e IPv6
As conexões do Site-to-Site VPN são compatíveis com as seguintes configurações de IP:
+ **Túnel externo IPv4 com pacotes internos IPv4**: o recurso básico de VPN IPv4 permitido em gateways privados virtuais, gateways de trânsito e Cloud WAN.
+ **Túnel externo IPv4 com pacotes internos IPv6**: permite aplicações/transporte IPv6 dentro do túnel VPN. Compatível com gateways de trânsito e Cloud WAN. Não há compatibilidade para gateways privados virtuais.
+ **Túnel externo IPv6 com pacotes internos IPv6**: permite a migração completa de IPv6 com endereços IPv6 para IPs de túnel externo e IPs de pacotes internos. Compatível tanto com gateways de trânsito quanto com Cloud WAN.
+ **Túnel externo IPv6 com pacotes internos IPv4**: permite endereçamento de túnel externo IPv6 ao mesmo tempo em que oferece suporte a aplicações IPv4 legadas dentro do túnel. Compatível tanto com gateways de trânsito quanto com Cloud WAN.
As seguintes regras se aplicam:
+ É possível usar endereços IPv6 para IPs de túnel externo somente em conexões do Site-to-Site VPN que são encerradas em um gateway de trânsito ou Cloud WAN. As conexões do Site-to-Site VPN em um gateway privado virtual não são compatíveis com IPv6 para IPs de túnel externo.
+ Ao usar IPv6 para IPs de túnel externo, você deve atribuir endereços IPv6 do lado da AWS da conexão VPN e no gateway do cliente para ambos os túneis VPN.
+ Não é possível habilitar o suporte a IPv6 para uma conexão existente do Site-to-Site VPN. Nesse caso, você deverá excluir a conexão existente e criar outra.
+ Uma conexão do Site-to-Site VPN não consegue processar tráfego IPv4 e IPv6 simultaneamente. Os pacotes encapsulados internos podem ser IPv6 ou IPv4, mas não ambos. Você precisa de conexões do Site-to-Site VPN para transportar pacotes IPv4 e IPv6.
+ As VPNs de IP privado não aceitam endereços IPv6 para IPs de túnel externo. Elas usam endereços RFC 1918 ou CGNAT. Para ter mais informações sobre o RFC 1918, consulte [Address Allocation for Private Internets](https://datatracker.ietf.org/doc/html/rfc1918), no “RFC 1918”.
+ As VPNs IPv6 comportam os mesmos limites de throughput (Gbps e PPS), MTU e rota das VPNs IPv4.
+ A criptografia IPSec e a troca de chaves funcionam da mesma forma para VPNs IPv4 e IPv6.
Para ter mais informações sobre como criar uma conexão VPN com suporte a IPv6, consulte [Criar uma conexão VPN](SetUpVPNConnections.md#vpn-create-vpn-connection) em “Comece com o Site-to-Site VPN”.
# AWS Site-to-Site VPN Concentradores
O AWS Site-to-Site VPN Concentrator é um novo recurso que simplifica a conectividade de vários sites para empresas distribuídas. O VPN Concentrator é adequado para clientes que precisam conectar mais de 25 locais remotos à AWS, com cada site precisando de baixa largura de banda (menos de 100 Mbps).
## Serviços e recursos de gateway compatíveis
Os concentradores de VPN são compatíveis somente com o Transit Gateway. Esse recurso não é compatível com o Cloud WAN ou o Virtual Private Gateway.
A tabela a seguir descreve os recursos suportados pelo Site-to-Site VPN Concentrator:
| Recurso | Compatível? |
| --- | --- |
| IPv6 | Sim |
| Conexões VPN privadas do Direct Connect | Não |
| VPN acelerada | Sim |
| Vários dispositivos de gateway de clientes do mesmo site | Sim. No entanto, cada dispositivo de gateway do cliente deve ter um endereço IP exclusivo. |
| Restrições geográficas | Não. Você pode anexar um site localizado em qualquer região a um concentrador em qualquer AWS região. |
| Site-to-Site Registros de VPN | Sim. Você pode gerar registros de VPN para todos os sites conectados ao Concentrator ou individualmente. |
| Suporte à criptografia do Transit Gateway | Não |
## Largura de banda
Atualmente, os concentradores Site-to-Site VPN suportam largura de banda agregada de 5 Gbps. Cada site pode suportar uma largura de banda máxima de 100 Mbps. No entanto, se você precisar de maior largura de banda, entre em contato com AWS Support.
## Roteamento
Site-to-Site Os concentradores VPN suportam somente o roteamento BGP (Border Gateway Protocol). O roteamento estático não é suportado.
Todos os gateways do cliente conectados ao Site-to-Site VPNConcentrator usam o mesmo anexo do Site-to-Site VPN Concentrator ao gateway de trânsito para roteamento. Cada site conectado ao Site-to-Site VPN Concentrator pode enviar no máximo 5.000 rotas do gateway de trânsito para um gateway do cliente e 1.000 rotas do gateway do cliente para o gateway de trânsito.
## Alocação de endereço IP
Cada conexão VPN por meio do Site-to-Site VPN Concentrator ainda terá um endereço IP exclusivo da AWS (um por túnel).
## Monitoramento
As conexões VPN via Site-to-Site VPN Concentrators suportam as mesmas métricas das conexões VPN regulares.
Ao ativar os registros de fluxo do Transit Gateway no anexo do VPN Concentrator, você verá os registros de fluxo de todo o tráfego que entra e sai de todos os sites remotos conectados ao concentrador.
## Manutenção do túnel
A manutenção do túnel funciona da mesma forma que os túneis Site-to-Site VPN padrão existentes para ambos os endpoints ao usar um Site-to-Site VPN Concentrator. Consulte [Substituições de endpoint](endpoint-replacements.md) para obter mais informações.
## Preços
Informações sobre preços do Site-to-Site VPN Concentrator podem ser encontradas na página de [preços de VPN da AWS](https://aws.amazon.com/vpn/pricing/).