As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# IP privado AWS Site-to-Site VPN com Direct Connect
Com a VPN IP privada, você pode implantar a IPsec VPN Direct Connect, criptografando o tráfego entre sua rede local e AWS sem o uso de endereços IP públicos ou equipamentos VPN adicionais de terceiros.
Um dos principais casos de uso da VPN IP privada Direct Connecté ajudar clientes dos setores financeiro, de saúde e federal a cumprir as metas regulatórias e de conformidade. A VPN IP privada Direct Connect garante que o tráfego entre redes locais AWS e redes locais seja seguro e privado, permitindo que os clientes cumpram suas exigências regulatórias e de segurança.
## Benefícios da VPN de IP privado
+ **Gerenciamento e operações de rede simplificados:** sem VPN IP privada, os clientes precisam implantar VPN e roteadores de terceiros para implementar Direct Connect redes privadas VPNs . Com o recurso da VPN de IP privado, os clientes não precisam implantar nem gerenciar sua própria infraestrutura de VPN. Isso resulta em operações de rede simplificadas e custos reduzidos.
+ **Postura de segurança aprimorada:** anteriormente, os clientes precisavam usar uma interface Direct Connect virtual pública (VIF) para criptografar o tráfego Direct Connect, o que exigia endereços IP públicos para endpoints de VPN. O uso público IPs aumenta a probabilidade de ataques externos (DOS), o que, por sua vez, obriga os clientes a implantar equipamentos de segurança adicionais para proteção da rede. Além disso, uma VIF pública abre o acesso entre todos os serviços AWS públicos e as redes locais do cliente, aumentando a gravidade do risco. O recurso VPN IP privado permite a criptografia em Direct Connect trânsito VIFs (em vez de pública VIFs), juntamente com a capacidade de configuração privada IPs. Isso fornece conectividade end-to-end privada, além da criptografia, melhorando a postura geral de segurança.
+ **Maior escala de rota:** as conexões VPN IP privadas oferecem limites de rota mais altos (5.000 rotas de saída e 1.000 rotas de entrada) em comparação com as Direct Connectúnicas, que atualmente têm um limite de 200 rotas de saída e 100 rotas de entrada.
## Como funciona a VPN de IP privado
A Site-to-Site VPN IP privada funciona em uma interface virtual de Direct Connect trânsito (VIF). Ele usa um Direct Connect gateway e um gateway de trânsito para interconectar suas redes locais com.AWS VPCs Uma conexão VPN IP privada tem pontos de terminação no gateway de trânsito na AWS lateral e no dispositivo de gateway do cliente no lado local. Você deve atribuir endereços IP privados às extremidades dos IPsec túneis do gateway de trânsito e do dispositivo de gateway do cliente. Você pode usar endereços IP privados de qualquer um RFC1918 ou de intervalos IPv4 de endereços RFC6598 privados.
Anexe uma conexão VPN de IP privado a um gateway de trânsito. Em seguida, você roteia o tráfego entre o anexo VPN e qualquer rede VPCs (ou outras) que também esteja conectada ao gateway de trânsito. Isso é feito associando uma tabela de rotas ao anexo da VPN. Na direção inversa, você pode VPCs rotear o tráfego do seu anexo IP VPN privado usando tabelas de rotas associadas ao VPCs.
A tabela de rotas associada ao anexo VPN pode ser a mesma ou diferente daquela associada ao Direct Connect anexo subjacente. Isso permite rotear tráfego criptografado e não criptografado simultaneamente entre sua rede VPCs e sua rede local.
Para obter mais detalhes sobre o caminho do tráfego que sai da VPN, consulte [Políticas de roteamento da interface virtual privada e da interface virtual de trânsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies) no *Guia do usuário do Direct Connect*.
## Pré-requisitos
A tabela a seguir descreve os pré-requisitos antes de criar uma VPN IP privada pelo Direct Connect.
| Item | Steps | Informações |
| --- | --- | --- |
| Prepare o gateway de trânsito para Site-to-Site VPN. | Crie o gateway de trânsito usando o console Amazon Virtual Private Cloud(VPC) ou usando a linha de comando ou a API. Consulte [Gateways de trânsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) no *Guia de gateways de trânsito da Amazon VPC*. | Um gateway de trânsito é um hub de trânsito de rede que você pode usar para interconectar sua rede com VPCs a rede local. É possível criar um gateway de trânsito ou usar um existente para a conexão da VPN de IP privado. Ao criar o gateway de trânsito ou modificar um existente, especifique um bloco CIDR de IP privado para a conexão. Ao especificar o bloco CIDR do gateway de trânsito a ser associado à VPN de IP privado, garanta que o bloco CIDR não se sobreponha a nenhum endereço IP referente a qualquer outro anexo de rede no gateway de trânsito. Se algum bloco CIDR IP se sobrepuser, isso poderá causar problemas de configuração com o dispositivo gateway do cliente. |
| Crie o Direct Connect gateway para Site-to-Site VPN. | Crie o gateway Direct Connect usando o console do Direct Connect ou usando a linha de comando ou a API. Consulte [Criar um gateway AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) no *Guia Direct Connect do usuário*. | Um gateway Direct Connect permite que você conecte interfaces virtuais (VIFs) em várias AWS regiões. Esse gateway é usado para se conectar à sua VIF. |
| Crie a associação de gateway de trânsito para Site-to-Site VPN. | Crie a associação entre o gateway Direct Connect e o gateway de trânsito usando o console Direct Connect ou a linha de comando ou API. Consulte [Associar ou desassociar Direct Connect com um gateway de trânsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) no *Guia do Direct Connect usuário*. | Depois de criar o Direct Connect gateway, crie uma associação de gateway de trânsito para o Direct Connect gateway. Especifique o CIDR de IP privado para o gateway de trânsito identificado anteriormente na lista de prefixos permitidos. |
**Topics**
+ [Benefícios da VPN de IP privado](#private-ip-dx-features)
+ [Como funciona a VPN de IP privado](#private-ip-dx-how)
+ [Pré-requisitos](#private-ip-dx-prereqs)
+ [Crie uma VPN IP privada por meio do Direct Connect](private-ip-dx-steps.md)
# Crie um IP privado AWS Site-to-Site VPN sobre Direct Connect
Para criar uma VPN IP privada, Direct Connect siga estas etapas. Antes de criar a VPN IP privada pelo Direct Connect, é preciso criar um gateway de trânsito e um gateway Direct Connect primeiro. Depois de criar os dois gateways, será preciso criar uma associação entre os dois. Esses pré-requisitos estão descritos na tabela a seguir. Depois de criar e associar os dois gateways, crie um gateway de cliente VPN e uma conexão usando essa associação.
## Pré-requisitos
A tabela a seguir descreve os pré-requisitos antes de criar uma VPN IP privada pelo Direct Connect.
| Item | Etapas | Informações |
| --- | --- | --- |
| Prepare o gateway de trânsito para Site-to-Site VPN. | Crie o gateway de trânsito usando o console Amazon Virtual Private Cloud (VPC) ou usando a linha de comando ou a API. Consulte [Gateways de trânsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) no *Guia de gateways de trânsito da Amazon VPC*. | Um gateway de trânsito é um hub de trânsito de rede que você pode usar para interconectar sua rede com VPCs a rede local. É possível criar um gateway de trânsito ou usar um existente para a conexão da VPN de IP privado. Ao criar o gateway de trânsito ou modificar um existente, especifique um bloco CIDR de IP privado para a conexão. Ao especificar o bloco CIDR do gateway de trânsito a ser associado à VPN de IP privado, garanta que o bloco CIDR não se sobreponha a nenhum endereço IP referente a qualquer outro anexo de rede no gateway de trânsito. Se algum bloco CIDR IP se sobrepuser, isso poderá causar problemas de configuração com o dispositivo gateway do cliente. |
| Crie o Direct Connect gateway para Site-to-Site VPN. | Crie o gateway Direct Connect usando o console do Direct Connect ou usando a linha de comando ou a API. Consulte [Criar um gateway AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) no *Guia Direct Connect do usuário*. | Um gateway Direct Connect permite que você conecte interfaces virtuais (VIFs) em várias AWS regiões. Esse gateway é usado para se conectar à sua VIF. |
| Crie a associação de gateway de trânsito para Site-to-Site VPN. | Crie a associação entre o gateway Direct Connect e o gateway de trânsito usando o console Direct Connect ou a linha de comando ou API. Consulte [Associar ou desassociar Direct Connect com um gateway de trânsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) no *Guia do Direct Connect usuário*. | Depois de criar o Direct Connect gateway, crie uma associação de gateway de trânsito para o Direct Connect gateway. Especifique o CIDR de IP privado para o gateway de trânsito identificado anteriormente na lista de prefixos permitidos. |
## Crie o gateway do cliente e a conexão para Site-to-Site VPN
Um gateway do cliente é um recurso que você cria em AWS. Ele representa o dispositivo de gateway do cliente na rede on-premises. Ao criar um gateway do cliente, você fornece informações sobre seu dispositivo para AWS. Consulte mais detalhes em [Gateway do cliente](how_it_works.md#CustomerGateway).
**Para criar um gateway do cliente usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Gateways do cliente**.
1. Escolha **Criar gateway do cliente**.
1. (Opcional) Em **Name** (Nome), insira um nome para o gateway do cliente. Ao fazer isso, é criada uma tag com a chave `Name` e o valor especificado.
1. Para **BGP ASN**, informe o Número de sistema autônomo (ASN) do Border Gateway Protocol (BGP) do gateway do cliente.
1. Em **IP address** (Endereço IP), insira o endereço IP privado do dispositivo de gateway do cliente.
**Importante**
Ao configurar o IP AWS privado AWS Site-to-Site VPN, você deve especificar seus próprios endereços IP de endpoint de túnel usando endereços RFC 1918. Não use os endereços point-to-point IP para o emparelhamento eBGP entre o roteador do gateway do cliente e o endpoint. Direct Connect AWS recomenda usar uma interface de loopback ou LAN no roteador de gateway do cliente como endereço de origem ou destino em vez de point-to-point conexões.
Para ter mais informações sobre a RFC 1918, consulte [Address Allocation for Private Internets](https://datatracker.ietf.org/doc/html/rfc1918).
1. (Opcional) Em **Dispositivo**, insira um nome para o dispositivo que hospeda esse gateway do cliente.
1. Escolha **Criar gateway do cliente**.
1. No painel de navegação, escolha **Conexões Site-to-Site VPN**.
1. Escolha **Create VPN Connection** (Criar conexão VPN).
1. (Opcional) Em **Etiqueta de nome**, insira um nome para sua conexão Site-to-Site VPN. Ao fazer isso, é criada uma tag com a chave `Name` e o valor especificado.
1. Em **Target gateway type** (Tipo de gateway de destino), escolha **Transit gateway** (Gateway de trânsito). Depois, selecione o gateway de trânsito identificado anteriormente.
1. Em **Customer gateway** (Gateway do cliente), selecione **Existing** (Existente). Depois, selecione o gateway do cliente criado anteriormente.
1. Escolha uma das opções de roteamento dependendo se o seu dispositivo de gateway do cliente é compatível com o Protocolo de Gateway da Borda (BGP):
+ Se o dispositivo de gateway do cliente for compatível com o BGP, selecione **Dynamic (requires BGP)** (Dinâmico [requer BGP]).
+ Se o dispositivo de gateway do cliente não oferecer suporte ao BGP, selecione **Static** (Estático).
1. Para **túnel dentro da versão IP**, especifique se os túneis VPN suportam IPv4 ou IPv6 tráfego.
1. (Opcional) Se você especificou **IPv4**o **túnel dentro da versão IP**, você pode, opcionalmente, especificar os intervalos de IPv4 CIDR para o gateway do cliente e AWS os lados que têm permissão para se comunicar pelos túneis VPN. O padrão é `0.0.0.0/0`.
Se você especificou **IPv6**a **versão Túnel dentro do IP**, você pode, opcionalmente, especificar os intervalos de IPv6 CIDR para o gateway do cliente e AWS os lados que têm permissão para se comunicar pelos túneis VPN. O padrão para ambos os intervalos é `::/0`.
1. Em **Tipo de endereço IP externo**, escolha **PrivateIpv4**.
1. Em **ID do anexo de transporte**, escolha o anexo do gateway de trânsito para o Direct Connect gateway apropriado.
1. Escolha **Create VPN Connection** (Criar conexão VPN).
**nota**
A opção **Enable acceleration** (Habilitar a aceleração) não é aplicável para conexões VPN sobre o Direct Connect.
**Para criar um gateway do cliente usando a linha de comando ou a API**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(API de consulta do Amazon EC2)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)