As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Trabalhe com AWS Site-to-Site VPN
Você pode trabalhar com recursos de Site-to-Site VPN usando o console Amazon VPC ou o.AWS CLI
**Topics**
+ [Crie e gerencie concentradores de VPN](create-manage-vpn-concentrators.md)
+ [Criar uma conexão VPN](create-vpn-connection.md)
+ [Testar uma conexão VPN](HowToTestEndToEnd_Linux.md)
+ [Excluir uma conexão VPN e um gateway](delete-vpn.md)
+ [Modificar o gateway de destino de uma conexão VPN](modify-vpn-target.md)
+ [Modificar opções da conexão VPN](modify-vpn-connection-options.md)
+ [Modificar opções de túnel da VPN](modify-vpn-tunnel-options.md)
+ [Editar rotas estáticas para uma conexão VPN](vpn-edit-static-routes.md)
+ [Alterar o gateway do cliente para uma conexão VPN](change-vpn-cgw.md)
+ [Substituir credenciais comprometidas](CompromisedCredentials.md)
+ [Alternar os certificados de endpoint do túnel da VPN](rotate-vpn-certificate.md)
+ [VPN de IP privado com o Direct Connect](private-ip-dx.md)
# Crie e gerencie AWS Site-to-Site VPN concentradores
Site-to-SiteOs concentradores VPN permitem que você agregue e gerencie várias conexões VPN de sites remotos, fornecendo gerenciamento centralizado.
Depois de criar seus concentradores de Site-to-Site VPN, você pode visualizá-los e gerenciá-los na página principal dos concentradores de Site-to-Site VPN no console da Amazon VPC. Esse painel exibe todos os concentradores de VPN ativos que gerenciam conexões seguras entre a AWS e seus sites remotos.
**Topics**
+ [Crie um concentrador de VPN](create-vpn-concentrator.md)
+ [Gerenciar tags do VPN Concentrator](manage-vpn-concentrator-tags.md)
+ [Excluir um concentrador de VPN](delete-vpn-concentrator.md)
# Crie um AWS Site-to-Site VPN concentrador
Crie um concentrador usando o console da Amazon VPC, APIs o ou o. AWS CLI Antes de criar um concentrador, você deve primeiro ter criado um gateway de trânsito para associar ao concentrador. Para obter mais informações sobre a criação de gateways de trânsito, consulte [Criar um gateway de trânsito no Guia](https://docs.aws.amazon.com/vpc/latest/tgw/create-tgw.html) do *Amazon AWS VPC Transit Gateway*.
## Crie um concentrador de Site-to-Site VPN usando o console
Para criar um Site-to-Site VPN Concentrator usando o AWS Management Console, siga estas etapas:
**Para criar um Site-to-Site VPN Concentrator usando o console**
1. Abra o console do Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Site-to-Site VPN Concentrators**.
1. Escolha **Criar Site-to-Site VPN Concentrator**.
1. (Opcional) Em **Etiqueta de nome**, insira um nome para seu Site-to-Site VPN Concentrator.
1. Para **Transit Gateway**, selecione um gateway de trânsito existente.
1. (Opcional) Adicione tags para ajudar a identificar e organizar seu Site-to-Site VPN Concentrator.
1. Selecione **Adicionar nova tag**.
1. Em **Chave**, insira uma chave de tag (por exemplo,**Name**).
1. Em **Valor**, insira um valor de tag (por exemplo,**Production-VPN-Concentrator**).
1. Repita as etapas anteriores para adicionar outras tags conforme necessário.
1. Escolha **Criar Site-to-Site VPN Concentrator**.
Após a criação, o Site-to-Site VPN Concentrator estará em um `pending` estado enquanto estiver sendo provisionado. Quando estiver pronto, o estado mudará para `available` e você poderá começar a criar conexões VPN que usam o Site-to-Site VPN Concentrator.
## Crie um concentrador de Site-to-Site VPN usando a CLI
Antes de criar um Site-to-Site VPN Concentrator usando a CLI, verifique se você tem o seguinte:
+ Um Transit Gateway existente em sua AWS conta
+ Permissões apropriadas do IAM para criar Site-to-Site concentradores de VPN
+ O ID do Transit Gateway ao qual você deseja conectar o concentrador
O exemplo a seguir cria um concentrador de Site-to-Site VPN para o gateway de trânsito especificado:
```
aws ec2 create-vpn-concentrator --transit-gateway-id tgw-123456789
```
O seguinte mostra uma resposta bem-sucedida:
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "pending",
"TransitGatewayId": "tgw-123456789",
"CreationTime": "2025-09-29T17:26:31.000Z",
"Tags": []
}
}
```
## Crie um concentrador de Site-to-Site VPN usando a API
Você pode criar um concentrador de Site-to-Site VPN usando a CreateVpnConcentrators API.
A API aceita os seguintes parâmetros principais:
`TransitGatewayId`
O ID do Transit Gateway ao qual conectar o Site-to-Site VPN Concentrator.
`TagSpecification`
Tags a serem atribuídas ao Site-to-Site VPN Concentrator para organização e cobrança de recursos.
O exemplo a seguir mostra como criar um Site-to-Site VPN Concentrator conectado a um Transit Gateway:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConcentrator
&Version=2016-11-15
&TransitGatewayId=tgw-0123456789abcdef0
&TagSpecification.1.ResourceType=vpn-concentrator
&TagSpecification.1.Tag.1.Key=Name
&TagSpecification.1.Tag.1.Value=MyVpnConcentrator
```
Após a criação bem-sucedida, a API retorna detalhes sobre o Site-to-Site VPN Concentrator recém-criado:
```
12345678-1234-1234-1234-123456789012
vcn-0123456789abcdef0
pending
tgw-0123456789abcdef0
2024-01-15T10:30:00.000Z
-
Name
MyVpnConcentrator
```
# Gerenciar AWS Site-to-Site VPN tags do concentrador
As tags são pares de valores-chave que ajudam você a organizar e gerenciar seus concentradores de Site-to-Site VPN. Você pode usar tags para categorizar os concentradores de Site-to-Site VPN por finalidade, ambiente, centro de custo ou qualquer outro critério que faça sentido para sua organização.
## Gerenciar tags usando o console
Você pode adicionar ou excluir tags para um Site-to-Site VPN Concentrator usando o AWS Management Console.
**Para adicionar tags a um concentrador de Site-to-Site VPN**
1. Abra o console do Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Site-to-Site VPN Concentrators**.
1. Selecione o Site-to-Site VPN Concentrator que você deseja marcar.
1. Escolha a guia **Tags**.
1. Selecione **Gerenciar tags**.
1. Selecione **Adicionar nova tag**.
1. Em **Chave**, insira uma chave de tag (por exemplo,**Environment**).
1. Em **Valor**, insira um valor de tag (por exemplo,**Production**).
1. Escolha **Salvar alterações**.
**Para excluir tags de um concentrador de Site-to-Site VPN**
1. Abra o console do Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Site-to-Site VPN Concentrators**.
1. Selecione o Site-to-Site VPN Concentrator do qual você deseja remover as tags.
1. Escolha a guia **Tags**.
1. Selecione **Gerenciar tags**.
1. Para cada tag que você deseja remover, escolha **Remover**.
1. Escolha **Salvar alterações**.
## Gerencie tags usando a CLI
Você pode adicionar, modificar ou remover tags usando AWS CLI o.
**Adicionar tags.**
O exemplo a seguir adiciona tags a um Site-to-Site VPN Concentrator:
```
aws ec2 create-tags --resources vcn-0123456789abcdef0 --tags Key=Environment,Value=Production Key=Team,Value=NetworkOps
```
Esse comando não retorna nenhuma saída em caso de sucesso.
**Visualizar tags**
O exemplo a seguir descreve as tags de um Site-to-Site VPN Concentrator:
```
aws ec2 describe-tags --filters "Name=resource-id,Values=vcn-0123456789abcdef0"
```
A resposta a seguir será retornada:
```
{
"Tags": [
{
"Key": "Environment",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "Production"
},
{
"Key": "Team",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "NetworkOps"
}
]
}
```
**Remover marcações**
O exemplo a seguir remove as tags de um Site-to-Site VPN Concentrator:
```
aws ec2 delete-tags --resources vcn-0123456789abcdef0 --tags Key=Environment Key=Team
```
Esse comando não retorna nenhuma saída em caso de sucesso.
## Gerencie tags usando a API
Você pode gerenciar programaticamente as tags do Site-to-Site VPN Concentrator usando as operações de API da Amazon EC2 .
**CreateTags**
Use a `CreateTags` operação para adicionar ou atualizar tags:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.1.Value=Production
&Tag.2.Key=Team
&Tag.2.Value=NetworkOps
&Version=2016-11-15
```
A resposta a seguir será retornada:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
**DescribeTags**
Use a `DescribeTags` operação para recuperar as tags:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DescribeTags
&Filter.1.Name=resource-id
&Filter.1.Value.1=vcn-0123456789abcdef0
&Version=2016-11-15
```
A resposta a seguir será retornada:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
-
vcn-0123456789abcdef0
vpn-concentrator
Environment
Production
-
vcn-0123456789abcdef0
vpn-concentrator
Team
NetworkOps
```
**DeleteTags**
Use a `DeleteTags` operação para remover as tags:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.2.Key=Team
&Version=2016-11-15
```
A resposta a seguir será retornada:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
# Excluir um AWS Site-to-Site VPN concentrador
Quando você não precisar mais de um Site-to-Site VPN Concentrator, poderá excluí-lo para parar de incorrer em cobranças. A exclusão de um Site-to-Site VPN Concentrator o remove permanentemente e todas as configurações associadas.
## Pré-requisitos
Antes de excluir um Site-to-Site VPN Concentrator, verifique o seguinte:
+ Todas as conexões VPN associadas ao Site-to-Site VPN Concentrator são excluídas.
+ Você tem as permissões necessárias para excluir Site-to-Site VPN Concentrators (`ec2:DeleteVpnConcentrator`).
## Exclua um Site-to-Site VPN Concentrator usando o console
**Para excluir um Site-to-Site VPN Concentrator**
1. Abra o console do Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Concentradores site a site**.
1. Selecione o Site-to-Site VPN Concentrator que você deseja excluir.
1. Escolha **Ações** e, em seguida, escolha **Excluir Site-to-Site VPN Concentrator**.
1. Na caixa de diálogo de confirmação, digite **delete** para confirmar a exclusão.
1. Escolha **Excluir**.
## Exclua um Site-to-Site VPN Concentrator usando a CLI
Use o `delete-vpn-concentrator` comando para excluir um Site-to-Site VPN Concentrator. Você precisará do `vpn-concentrator-id` para excluí-lo.
O exemplo a seguir exclui um Site-to-Site VPN Concentrator:
```
aws ec2 delete-vpn-concentrator --vpn-concentrator-id vcn-0123456789abcdef0
```
A resposta a seguir será retornada:
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "deleting",
"Message": "The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account."
}
}
```
## Exclua um concentrador de Site-to-Site VPN usando a API
Use a `DeleteVpnConcentrator` operação para excluir um Site-to-Site VPN Concentrator. Você precisará do `VpnConcentratorId` para excluí-lo.
O exemplo a seguir exclui um Site-to-Site VPN Concentrator:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteVpnConcentrator
&VpnConcentratorId=vcn-0123456789abcdef0
&Version=2016-11-15
```
A resposta a seguir será retornada:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vcn-0123456789abcdef0
deleting
The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account.
```
# Crie uma AWS Site-to-Site VPN conexão
Você pode criar conexões Site-to-Site VPN que se conectam a gateways de trânsito ou redes globais Cloud WAN. Ambos os tipos de anexo oferecem suporte a IPv6 protocolos IPv4 e, opcionalmente, podem usar concentradores Site-to-Site VPN para conectar vários locais remotos de forma econômica.
## Crie uma conexão VPN usando o console
**Para criar uma conexão VPN usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Conexões Site-to-Site VPN**.
1. Escolha **Create VPN Connection** (Criar conexão VPN).
1. (Opcional) Em **Etiqueta de nome**, insira um nome para a conexão. Ao fazer isso, é criada uma tag com a chave `Name` e o valor especificado.
1. Para **o tipo de gateway de destino**, escolha uma das seguintes opções:
+ **Gateway privado virtual** - Crie uma nova conexão VPN de gateway privado virtual escolhendo um **gateway privado virtual** existente.
+ **Transit Gateway** - Crie uma nova conexão VPN do Transit Gateway escolhendo um **Transit Gateway** existente. Para obter mais informações sobre como criar um gateway de trânsito, consulte [Gateways de trânsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) em *Gateways de trânsito da Amazon VPC*.
+ **Site-to-Site VPN Concentrator** - Crie uma nova conexão Site-to-Site VPN Concentrator usando um Site-to-Site VPN Concentrator existente ou criando um novo. Escolha uma das seguintes opções:
+ **Existente** - Crie uma nova conexão Site-to-Site VPN Concentrator usando um Concentrador existente.
+ **Novo** - Insira um nome opcional para o Site-to-Site VPN Concentrator e escolha o gateway de trânsito a ser associado a ele.
+ **Não associada**: crie uma conexão VPN independente que possa ser associada posteriormente à Cloud WAN por meio do console ou da API do Network Manager. Para obter mais informações sobre anexos VPN e Cloud WAN, consulte [Anexos Site-to-site VPN na Cloud WAN no Guia do usuário da AWS*AWS Cloud* WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html).
1. Em **Customer Gateway** (Gateway do cliente), execute um dos procedimentos a seguir:
+ Para usar um gateway do cliente existente, escolha **Existente**, e selecione **ID do gateway do cliente**.
+ Para criar um novo gateway do cliente, escolha **Novo** e faça o seguinte:
+ Para o **endereço IP**, insira um endereço estático **IPv4**ou um **IPv6**endereço.
+ (Opcional) Em **ARN do certificado**, escolha o ARN do certificado privado (se estiver usando autenticação baseada em certificado).
+ Para **BGP ASN**, informe o Número de sistema autônomo (ASN) do Border Gateway Protocol (BGP) do gateway do cliente. Para obter mais informações, consulte [Opções de gateway do cliente](cgw-options.md).
1. Em **Opções de roteamento**, escolha **Dinâmico (requer BGP)** ou **Estático**.
**nota**
As conexões VPN Cloud WAN e as conexões VPN usando concentradores oferecem suporte somente ao roteamento BGP. O roteamento estático não é suportado para esses tipos de conexão.
1. Em **Armazenamento de chaves pré-compartilhadas**, escolha **Padrão** ou **Secrets Manager**. A seleção predefinida é **Padrão**. Para obter mais informações sobre o uso de AWS Secrets Manager, consulte [Segurança](security.md).
1. Para **túnel dentro da versão IP**, escolha **IPv4**ou **IPv6**.
1. (Opcional) Em **Habilitar aceleração**, marque a caixa de seleção para habilitar a aceleração. Para obter mais informações, consulte [Conexões VPN aceleradas](accelerated-vpn.md).
Se você habilitar a aceleração, criaremos dois aceleradores que são usados pela sua conexão VPN. Aplicam-se cobranças adicionais do .
1. (Opcional) Dependendo da versão de IP interna do túnel escolhida, siga um destes procedimentos:
+ IPv4 — Para **CIDR de IPv4 rede local**, especifique o intervalo de IPv4 CIDR no lado do gateway do cliente (local) que tem permissão para se comunicar pelos túneis VPN. Para **CIDR IPv4 de rede remota**, escolha o intervalo CIDR no AWS lado que tem permissão para se comunicar por túneis VPN. O valor padrão para ambos os campo é `0.0.0.0/0`.
+ IPv6 — Para **CIDR de IPv6 rede local**, especifique o intervalo de IPv6 CIDR no lado do gateway do cliente (local) que tem permissão para se comunicar pelos túneis VPN. Para **CIDR IPv6 de rede remota**, escolha o intervalo CIDR no AWS lado que tem permissão para se comunicar por túneis VPN. O valor padrão para ambos os campo é `::/0`.
1. Em **Tipo de endereço IP**, escolha uma das seguintes opções:
+ **Público IPv4** - (Padrão) Use IPv4 endereços para o túnel externo IPs.
+ **Privado IPv4** - Use um IPv4 endereço privado para uso em redes privadas.
+ **IPv6**- Use IPv6 endereços para o túnel externo IPs. Essa opção exige que seu dispositivo de gateway do cliente ofereça suporte IPv6 ao endereçamento.
**nota**
Se você selecionar **IPv6**o tipo de endereço IP externo, deverá criar um gateway do cliente com um IPv6 endereço
1. (Opcional) Em **Opções do túnel 1**, é possível especificar as seguintes informações para cada túnel:
+ Um bloco IPv4 CIDR de tamanho /30 do `169.254.0.0/16` intervalo dos endereços internos do túnel IPv4 .
+ Se você especificou **IPv6**a **versão IP do túnel interno**, um bloco IPv6 CIDR /126 do `fd00::/8` intervalo dos endereços do túnel IPv6 interno.
+ A chave pré-compartilhada do IKE (PSK). As seguintes versões são suportadas: IKEv1 ou IKEv2.
+ Para editar as opções avançadas do túnel, escolha **Editar opções de túnel**. Para obter mais informações, consulte [Opções de túnel VPN](VPNTunnels.md).
+ (Opcional) Escolha **Habilitar** para o **registro de atividades do túnel** para capturar mensagens de registro de IPsec atividades e mensagens do protocolo DPD.
+ (Opcional) Escolha **Ativar** em **Ciclo de vida do endpoint de túnel** para controlar o cronograma de substituições do endpoint. Para ter mais informações sobre o ciclo de vida de um endpoint de túnel, consulte [Ciclo de vida do endpoint de túnel](tunnel-endpoint-lifecycle.md).
1. (Opcional) Escolha **Opções do túnel 2** e siga as etapas anteriores para configurar um segundo túnel.
1. Escolha **Create VPN Connection** (Criar conexão VPN).
# Crie uma conexão AWS Site-to-Site VPN de gateway de trânsito usando a CLI ou a API
## Crie uma conexão VPN com o Transit Gateway usando a CLI
Use o [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)comando e especifique o ID do gateway de trânsito para a `--transit-gateway-id` opção.
O exemplo a seguir demonstra a criação de uma conexão VPN com túnel IPv6 externo IPs e túnel IPv6 IPs interno:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--transit-gateway-id tgw-12312312312312312 \
--customer-gateway-id cgw-001122334455aabbc \
--options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
Exemplo de resposta:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-001122334455aabbc",
"Type": "ipsec.1",
"TransitGatewayId": "tgw-12312312312312312",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false,
"OutsideIPAddressType": "Ipv6",
"TunnelInsideIpVersion": "ipv6"
}
}
}
```
## Crie uma conexão VPN com o Transit Gateway usando a API
Você pode criar uma conexão VPN usando a API do Amazon EC2. Esta seção fornece exemplos de mensagens de solicitação e resposta para criar uma conexão VPN de gateway de trânsito usando a API.
### Pré-requisitos
Antes de criar uma conexão VPN usando a API, verifique se você tem:
+ Um gateway de trânsito criado e disponível
+ Um gateway de cliente configurado com os detalhes do seu dispositivo local
O exemplo a seguir mostra como criar uma conexão VPN usando a ação `CreateVpnConnection` da API:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&TransitGatewayId=tgw-12345678901234567
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
Este exemplo cria uma conexão VPN com roteamento dinâmico (BGP) entre o gateway de trânsito especificado e o gateway do cliente.
Uma resposta bem-sucedida da API retorna os detalhes da conexão VPN:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vpn-1a2b3c4d5e6f78901
pending
cgw-12345678901234567
ipsec.1
tgw-12345678901234567
VPN
false
```
A resposta inclui o ID da conexão VPN, o estado atual e os detalhes da configuração. Inicialmente, a conexão estará em um estado “pendente” enquanto a AWS provisiona os túneis VPN.
# Crie uma conexão AWS Site-to-Site VPN Cloud WAN usando a CLI ou a API
Você pode criar uma conexão Site-to-Site VPN entre sua WAN local e a AWS Cloud WAN seguindo o procedimento abaixo. Para obter mais informações, consulte [Anexos de Site-to-site VPN na AWS Cloud WAN no Guia](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html) do *usuário da AWS Cloud WAN*.
## Crie uma conexão VPN com o Cloud WAN usando a CLI
Use o [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)comando para criar uma conexão VPN que será posteriormente conectada a uma rede global Cloud WAN. Isso cria uma conexão VPN não conectada que pode ser posteriormente associada ao Cloud WAN por meio do console ou da API do Network Manager.
**Pré-requisitos**
Antes de criar uma conexão VPN Cloud WAN, verifique se você tem o seguinte:
+ `customer-gateway-id`- Um recurso de gateway do cliente existente (`cgw-xxxxxxxxx`) que representa seu dispositivo VPN local.
+ **Rede global de WAN** em nuvem - Uma rede global de WAN em nuvem deve ser criada e configurada com segmentos de rede apropriados.
+ **Configuração BGP - As** conexões VPN Cloud WAN exigem roteamento BGP; o roteamento estático não é suportado. Você deve definir `StaticRoutesOnly=false` no parâmetro options
Esse comando cria uma conexão VPN sem especificar um gateway de destino. A conexão estará em um estado independente e poderá ser associada posteriormente à sua rede global Cloud WAN por meio do console ou da API do Network Manager. A `StaticRoutesOnly=false` opção ativa o roteamento BGP, que é obrigatório para anexos do Cloud WAN VPN, pois o roteamento estático não é suportado.
O exemplo a seguir cria uma conexão VPN não conectada para o Cloud WAN:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-0123456789abcdef0 \
--options StaticRoutesOnly=false
```
A resposta retorna o seguinte:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-0123456789abcdef0",
"Type": "ipsec.1",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
Depois de criar a conexão VPN, você pode conectá-la à sua rede global Cloud WAN usando o console do Network Manager ou a chamada de `create-site-to-site-vpn-attachment` API.
## Crie uma conexão VPN Cloud WAN usando a API
Você pode usar a API EC2 para criar uma conexão VPN para integração com o Cloud WAN. Isso envolve fazer uma chamada de `CreateVpnConnection` API que cria uma conexão VPN não conectada, que pode então ser associada à sua rede global Cloud WAN.
A solicitação da API cria uma conexão VPN sem especificar um gateway de destino, deixando-a em um estado independente, pronto para a integração com a Cloud WAN. A conexão usa o roteamento BGP, que é necessário para anexos do Cloud WAN VPN.
O exemplo a seguir mostra a solicitação HTTP para criar uma conexão Cloud WAN VPN:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConnection
&Type=ipsec.1
&CustomerGatewayId=cgw-0123456789abcdef0
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
A API retorna uma resposta bem-sucedida contendo os detalhes da conexão VPN. Inicialmente, a conexão estará em um `pending` estado enquanto AWS provisiona os túneis VPN, momento em que o status mudará para. `available`
```
12345678-1234-1234-1234-123456789012
vpn-0abcdef1234567890
pending
cgw-0123456789abcdef0
ipsec.1
VPN
false
```
**Detalhes da resposta**
A resposta da API fornece as seguintes informações principais:
+ **vpnConnectionId**- O identificador exclusivo da sua conexão VPN (por exemplo,`vpn-0abcdef1234567890`) que você usará para anexá-la à Cloud WAN
+ **estado** — Inicialmente “pendente”, enquanto a AWS provisiona os túneis VPN e, em seguida, muda para “disponível” quando estiver pronta para ser anexada
+ **categoria** - Mostra “VPN” indicando que esta é uma conexão VPN não conectada adequada para integração de Cloud WAN
+ **staticRoutesOnly**- Defina como “false” para ativar o roteamento BGP, que é necessário para anexos do Cloud WAN VPN
Quando a conexão VPN atingir o estado “disponível”, você poderá conectá-la à sua rede global Cloud WAN usando a `CreateSiteToSiteVpnAttachment` API do Network Manager ou por meio do console da AWS.
# Crie uma conexão AWS Site-to-Site VPN Concentrator usando a CLI ou a API
## Crie uma conexão Site-to-Site VPN Concentrator usando a CLI
Depois de criar um Site-to-Site VPN Concentrator, você precisa estabelecer conexões VPN individuais de seus sites remotos com o Site-to-Site VPN Concentrator. Cada local remoto exige sua própria conexão VPN que faça referência ao ID do Site-to-Site VPN Concentrator. Isso permite que vários sites remotos compartilhem a mesma infraestrutura do Site-to-Site VPN Concentrator, mantendo túneis separados e seguros para cada local.
Para estabelecer uma conexão VPN usando um Site-to-Site VPN Concentrator, especifique o Site-to-Site VPN Concentrator em vez do gateway de trânsito ao criar a conexão VPN. O exemplo a seguir cria uma conexão VPN usando um Site-to-Site VPN Concentrator:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-123456789 \
--vpn-concentrator-id vcn-0123456789abcdef0
```
Uma resposta bem-sucedida retorna o seguinte:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-123456789",
"Type": "ipsec.1",
"VpnConcentratorId": "vcn-0123456789abcdef0",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
## Crie uma conexão Site-to-Site VPN Concentrator usando a API
Você pode criar uma conexão VPN que usa um concentrador de Site-to-Site VPN usando a API do Amazon EC2. Esta seção fornece exemplos de mensagens de solicitação e resposta para criar uma conexão VPN com um Site-to-Site VPN Concentrator.
Antes de criar uma conexão VPN com um Site-to-Site VPN Concentrator usando a API, certifique-se de ter:
+ Um concentrador de Site-to-Site VPN criado e disponível
+ Um gateway de cliente configurado para seu local remoto
+ Configuração de rede que permite IPsec tráfego entre seu site e a AWS
O exemplo a seguir mostra como criar uma conexão VPN usando um Site-to-Site VPN Concentrator com a ação da `CreateVpnConnection` API:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&VpnConcentratorId=vcn-0123456789abcdef0
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
Este exemplo cria uma conexão VPN entre o Site-to-Site VPN Concentrator especificado e o gateway do cliente. O Site-to-Site VPN Concentrator atua como um terminal AWS lateral, permitindo que vários sites remotos se conectem por meio de um hub centralizado.
Uma resposta de API bem-sucedida retorna os detalhes da conexão VPN com as informações do Site-to-Site VPN Concentrator:
```
8b73d60f-458f-5gc5-a442-7f9fEXAMPLE
vpn-9z8y7x6w5v4u32109
pending
cgw-12345678901234567
ipsec.1
vcn-0123456789abcdef0
VPN
false
```
A resposta inclui a ID da conexão VPN e faz referência à Site-to-Site VPN Concentrator ID em vez de uma ID de gateway de trânsito. Essa conexão permite que seu site remoto se comunique com outros sites conectados ao mesmo Site-to-Site VPN Concentrator, habilitando topologias de hub-and-spoke rede.
# Exibir AWS Site-to-Site VPN conexões
## Exibir conexões VPN usando o console
Você pode visualizar suas conexões VPN e seus detalhes usando o AWS Management Console. Isso fornece uma interface visual para monitorar o status da conexão, a integridade do túnel e os detalhes da configuração.
**Para visualizar conexões VPN usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Site-to-Site VPN Connections** (Conexões VPN).
1. Selecione sua conexão VPN para ver informações detalhadas, incluindo:
+ Estado e status da conexão
+ Detalhes do túnel e estado de saúde
+ Informações sobre a rota
+ Parâmetros de configuração
O console exibe informações de status em tempo real e permite monitorar a conectividade do túnel, visualizar tabelas de roteamento e acessar detalhes de configuração para solucionar problemas.
## Visualize conexões VPN usando a CLI
Use a AWS CLI para consultar e recuperar informações detalhadas sobre suas conexões VPN de forma programática. Esse método permite automação, criação de scripts e integração com ferramentas de monitoramento.
Para consultar todas as conexões VPN em sua conta e região atuais da AWS, execute o `describe-vpn-connections` comando sem parâmetros. No entanto, se você quiser ver os detalhes sobre uma conexão VPN específica, precisará saber o ID da conexão VPN.
Para recuperar informações detalhadas de uma conexão VPN específica, especifique o ID da conexão como parâmetro. O exemplo a seguir mostra uma solicitação para ver detalhes sobre uma conexão VPN específica.
```
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0
```
A resposta inclui informações abrangentes sobre a conexão VPN, incluindo opções de túnel, detalhes de roteamento e status atual.
+ `State`- O estado atual da conexão VPN
+ `TunnelOptions`- Configuração e status de cada túnel
+ `OutsideIpAddress`- Os endereços IP públicos dos túneis VPN
+ `Routes`- Informações de roteamento para a conexão
Exemplo de trecho de resposta mostrando os principais detalhes da conexão:
```
{
"VpnConnections": [
{
"VpnConnectionId": "vpn-1234567890abcdef0",
"State": "available",
"CustomerGatewayId": "cgw-1234567890abcdef0",
"Type": "ipsec.1",
"Options": {
"StaticRoutesOnly": false,
"TunnelOptions": [
{
"OutsideIpAddress": "203.0.113.12",
"TunnelInsideCidr": "169.254.10.0/30",
"PreSharedKey": "example_key_1234567890abcdef0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
},
{
"OutsideIpAddress": "203.0.113.34",
"TunnelInsideCidr": "169.254.11.0/30",
"PreSharedKey": "example_key_0987654321fedcba0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
}
]
}
}
]
}
```
## Visualize conexões VPN usando a API
Faça chamadas diretas de API para o EC2 serviço da Amazon para recuperar informações de conexão VPN. Essa abordagem fornece flexibilidade máxima para aplicativos personalizados e integrações programáticas.
A ação `DescribeVpnConnections` da API consulta e retorna informações detalhadas sobre uma ou mais conexões VPN. Você pode aplicar filtros por ID de conexão, estado ou outros atributos para restringir seus resultados.
Veja a seguir um exemplo de solicitação para fornecer detalhes sobre uma única conexão VPN.
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20230101/us-east-1/ec2/aws4_request, SignedHeaders=host;x-amz-date, Signature=example_signature
Action=DescribeVpnConnections
&VpnConnectionId.1=vpn-1234567890abcdef0
&Version=2016-11-15
```
A resposta retorna detalhes sobre essa conexão VPN.
```
12345678-1234-1234-1234-123456789012
-
vpn-1234567890abcdef0
available
cgw-1234567890abcdef0
ipsec.1
false
-
203.0.113.12
169.254.10.0/30
example_key_1234567890abcdef0
-
203.0.113.34
169.254.11.0/30
example_key_0987654321fedcba0
```
# Testar uma conexão com o AWS Site-to-Site VPN
Após criar a conexão AWS Site-to-Site VPN e configurar o gateway do cliente, você pode executar uma instância e testar a conexão executando um ping na instância.
Antes de começar, certifique-se do seguinte:
+ Use uma AMI que responda a solicitações de ping. Recomendamos que você use uma das Amazon Linux AMIs.
+ Configure qualquer grupo de segurança ou network ACL na VPC que filtre o tráfego para a instância para permitir o tráfego ICMP de entrada e de saída. Isso permite que a instância receba solicitações `ping`.
+ Caso as instâncias executem o Windows Server, conecte-se à instância e permita o ICMPv4 de entrada no firewall do Windows para que o ping seja executado na instância.
+ (Roteamento estático) Certifique-se de que o dispositivo de gateway do cliente tenha uma rota estática para a VPC e que a conexão VPN tenha uma rota estática para que o tráfego possa retornar ao dispositivo de gateway do cliente.
+ (Roteamento dinâmico) Certifique-se de que o status BGP no dispositivo de gateway do cliente esteja estabelecido. Leva cerca de 30 segundos para que a sessão de emparelhamento de BGP seja estabelecida. Verifique se as rotas estão anunciadas com BGP corretamente e à mostra na tabela de rotas da sub-rede de modo que o tráfego possa voltar ao gateway do cliente. Verifique se os dois túneis estão configurados com roteamento BGP.
+ Verifique se você configurou o roteamento nas tabelas de rotas da sub-rede para a conexão VPN.
**Como testar a conectividade**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. No painel, escolha **Executar instância**.
1. (Opcional) Em **Nome**, insira um nome descritivo para a instância.
1. Em **Imagens de aplicações e sistemas operacionais (imagem de máquina da Amazon)**, escolha **Início rápido** e, depois, escolha o sistema operacional da instância.
1. Em **Nome do par de chaves**, escolha um par de chaves existente ou crie outro.
1. Em **Configurações de rede**, escolha **Selecionar grupo de segurança existente** e, depois, escolha o grupo de segurança que você configurou.
1. No painel **Resumo** painel, escolha **Iniciar instância**.
1. Depois que a instância estiver em execução, obtenha o endereço IP privado (por exemplo, 10.0.0.4). O console do Amazon EC2 exibe o endereço como parte dos detalhes da instância.
1. Em um computador na rede que esteja por trás do gateway do cliente, use o comando **ping** com o endereço IP privado da instância.
```
ping 10.0.0.4
```
Uma resposta bem-sucedida assemelha-se ao seguinte.
```
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```
Para testar o failover de túnel, é possível desabilitar temporariamente um dos túneis no dispositivo de gateway do cliente e repetir esta etapa. Não é possível desabilitar um túnel no lado da AWS da conexão VPN.
1. Para testar a conexão da AWS com sua rede on-premises, você pode usar SSH ou RDP para se conectar à instância pela rede. Depois, é possível executar o comando `ping` com o endereço IP privado de outro computador na rede, para verificar se ambos os lados da conexão podem iniciar e receber solicitações.
Para obter mais informações sobre como se conectar a uma instância do Linux, consulte [Conectar-se à instância do Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-linux-instance.html) no *Guia do usuário do Amazon EC2*. Para obter mais informações sobre como se conectar a uma instância do Windows, consulte [Conectar-se à instância do Windows](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connecting_to_windows_instance.html) no *Guia do usuário do Amazon EC2*.
# Excluir uma conexão do AWS Site-to-Site VPN e um gateway
É possível excluir uma conexão AWS Site-to-Site VPN caso não precise mais dela. Quando você exclui uma conexão da Site-to-Site VPN, não excluímos o gateway do cliente ou o gateway privado virtual associado à conexão da Site-to-Site VPN. Se você não precisar mais do gateway do cliente e do gateway privado virtual, poderá excluí-los.
**Atenção**
Se você excluir a conexão da Site-to-Site VPN e criar outra, será necessário baixar um novo arquivo de configuração e reconfigurar o dispositivo de gateway do cliente.
**Topics**
+ [Excluir uma conexão VPN](delete-vpn-connection.md)
+ [Excluir um gateway do cliente](delete-cgw.md)
+ [Desanexar e excluir um gateway privado virtual](delete-vgw.md)
# Exclusão de uma conexão do AWS Site-to-Site VPN
Depois de excluir a conexão da Site-to-Site VPN, ela permanece visível por um curto período com um estado de `deleted` e, depois, a entrada é removida automaticamente.
**Para excluir uma conexão VPN usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Conexões VPN de local a local**.
1. Selecione a conexão VPN e escolha **Ações**, **Excluir conexão VPN**.
1. Quando a confirmação for solicitada, insira **delete** e selecione **Excluir**.
**Para excluir uma conexão VPN usando a linha de comando ou a API**
+ [DeleteVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnection.html) (API de consulta do Amazon EC2)
+ [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html) (AWS CLI)
+ [Remove-EC2VpnConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnection.html) (AWS Tools for Windows PowerShell)
# Excluir um gateway do cliente do AWS Site-to-Site VPN
Caso não precise mais de um gateway do cliente, é possível excluí-lo. Não é possível excluir um gateway do cliente que está sendo usado em uma conexão da Site-to-Site VPN.
**Para excluir um gateway do cliente usando o console**
1. No painel de navegação, escolha **Gateways do cliente**.
1. Selecione o gateway do cliente e escolha **Ações**, **Excluir gateway do cliente**.
1. Quando a confirmação for solicitada, insira **delete** e selecione **Excluir**.
**Para excluir um gateway do cliente usando a linha de comando ou a API**
+ [DeleteCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteCustomerGateway.html) (API de consulta do Amazon EC2)
+ [delete-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-customer-gateway.html) (AWS CLI)
+ [Remove-EC2CustomerGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2CustomerGateway.html) (AWS Tools for Windows PowerShell)
# Desanexar e excluir um gateway privado virtual no AWS Site-to-Site VPN
Caso não precise mais de um gateway privado virtual para a VPC, desanexe-o dela.
**Para desanexar um gateway privado virtual usando o console**
1. No painel de navegação, escolha **Gateways privados virtuais**.
1. Selecione o gateway privado virtual e escolha **Actions**, **Detach from VPC**.
1. Escolha **Desanexar gateway privado virtual**.
Caso não precise mais de um gateway privado virtual desanexado, exclua-o. Não é possível excluir um gateway privado virtual que ainda esteja anexado à VPC. Depois de excluir o gateway privado virtual, ele permanecerá visível por um breve período com um estado de `deleted` e, em seguida, a entrada é removida automaticamente.
**Para excluir um gateway privado virtual usando o console**
1. No painel de navegação, escolha **Gateways privados virtuais**.
1. Selecione o gateway privado virtual e escolha **Ações**, **Excluir gateway privado virtual**.
1. Quando a confirmação for solicitada, insira **delete** e selecione **Excluir**.
**Para desanexar um gateway privado virtual usando a linha de comando ou a API**
+ [DetachVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DetachVpnGateway.html) (API de consulta do Amazon EC2)
+ [detach-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-vpn-gateway.html) (AWS CLI)
+ [Dismount-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Dismount-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
**Para excluir um gateway privado virtual usando a linha de comando ou a API**
+ [DeleteVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnGateway.html) (API de consulta do Amazon EC2)
+ [delete-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-gateway.html) (AWS CLI)
+ [Remove-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
# Modificar o gateway de destino de uma AWS Site-to-Site VPN conexão
Você pode modificar o gateway de destino de uma AWS Site-to-Site VPN conexão. As seguintes opções de migração estão disponíveis:
+ Um gateway privado virtual existente para um gateway de trânsito
+ Um gateway privado virtual existente para outro gateway privado virtual
+ Um gateway de trânsito existente para outro gateway de trânsito
+ Um gateway de trânsito existente para um gateway privado virtual
Depois de modificar o gateway de destino, sua conexão Site-to-Site VPN ficará temporariamente indisponível por um breve período enquanto provisionamos os novos endpoints.
As tarefas a seguir ajudam você a concluir a migração para um novo gateway.
**Topics**
+ [Etapa 1: Criar o gateway de destino](#step-create-gateway)
+ [Etapa 2: excluir as rotas estáticas (condicional)](#step-update-staic-route)
+ [Etapa 3: Migrar para um novo gateway](#step-migrate-gateway)
+ [Etapa 4: Atualizar tabelas de rotas da VPC](#step-update-routing)
+ [Etapa 5: Atualizar o roteamento do gateway de destino (condicional)](#step-update-transit-gateway-routing)
+ [Etapa 6: atualizar o ASN do gateway do cliente (condicional)](#step-update-customer-gateway-asn)
## Etapa 1: Criar o gateway de destino
Antes de realizar a migração para o novo gateway, é necessário configurá-lo. Para obter informações sobre como adicionar um gateway privado virtual, consulte [Criar um gateway privado virtual](SetUpVPNConnections.md#vpn-create-vpg). Para obter mais informações sobre como adicionar um gateway de trânsito, consulte [Criar um gateway de trânsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw) em *Gateways de trânsito da Amazon VPC*.
Se o novo gateway de destino for um gateway de trânsito, conecte-o VPCs ao gateway de trânsito. Para obter informações sobre anexos de VPC, consulte [Anexos do gateway de trânsito de uma VPC](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html) em *Gateways de trânsito da Amazon VPC*.
Ao modificar o destino de um gateway privado virtual para um gateway de trânsito, você pode, opcionalmente, definir o ASN do gateway de trânsito para ter o mesmo valor que o ASN do gateway privado virtual. Se você optar por ter um ASN diferente, deverá definir o ASN no dispositivo gateway do cliente como o ASN do gateway de trânsito. Para obter mais informações, consulte [Etapa 6: atualizar o ASN do gateway do cliente (condicional)](#step-update-customer-gateway-asn).
## Etapa 2: excluir as rotas estáticas (condicional)
Esta etapa é necessária quando você migra de um gateway privado virtual com rotas estáticas para um gateway de trânsito.
É necessário excluir as rotas estáticas antes de migrar para o novo gateway.
**dica**
Mantenha uma cópia da rota estática antes de excluí-la. Você precisará adicionar novamente essas rotas ao gateway de trânsito depois que a migração da conexão VPN for concluída.
**Para excluir uma rota da tabela**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Route Tables** (Tabelas de rotas) e selecione a tabela de rotas.
1. Na guia **Rotas**, escolha **Editar rotas**.
1. Escolha **Remover** para a rota estática do gateway privado virtual.
1. Escolha **Salvar alterações**.
## Etapa 3: Migrar para um novo gateway
**Como alterar o gateway de destino**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Conexões Site-to-Site VPN**.
1. Selecione a conexão VPN e escolha **Ações**, **Modificar conexão VPN**.
1. Em **Tipo de destino**, escolha o tipo de gateway.
1. Se o novo gateway de destino for um gateway privado virtual, escolha **Gateway VPN**.
1. Se o novo gateway de destino for um gateway de trânsito, escolha **Gateway de trânsito**.
1. Escolha **Salvar alterações**.
**Para modificar uma conexão Site-to-Site VPN usando a linha de comando ou a API**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html)(API de consulta do Amazon EC2)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html) (AWS CLI)
## Etapa 4: Atualizar tabelas de rotas da VPC
Depois de migrar para o novo gateway, talvez seja necessário modificar a tabela de rotas da VPC. Para obter mais informações, consulte [Tabelas de rotas](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) no *Guia do usuário da Amazon VPC*.
A tabela a seguir fornece informações sobre as atualizações da tabela de rotas da VPC a serem feitas após modificar o destino do gateway VPN.
| Gateway existente | Novo gateway | Alteração de tabela de rotas da VPC |
| --- | --- | --- |
| Gateway privado virtual com rotas propagadas | Transit gateway | Adicione uma rota que contenha o ID do gateway de trânsito. |
| Gateway privado virtual com rotas propagadas | Gateway privado virtual com rotas propagadas | Nenhuma ação é necessária. |
| Gateway privado virtual com rotas propagadas | Gateway privado virtual com rota estática | Adicione uma rota que contenha o ID do novo gateway privado virtual. |
| Gateway privado virtual com rotas estáticas | Transit gateway | Atualize a rota que contém o ID do gateway privado virtual para o ID do gateway de trânsito. |
| Gateway privado virtual com rotas estáticas | Gateway privado virtual com rotas estáticas | Atualize a rota que contém o ID do gateway privado virtual para o ID do novo gateway privado virtual. |
| Gateway privado virtual com rotas estáticas | Gateway privado virtual com rotas propagadas | Exclua a rota que contém o ID do gateway privado virtual. |
| Transit gateway | Gateway privado virtual com rotas estáticas | Atualize a rota que contém o ID do gateway de trânsito para o ID do gateway privado virtual. |
| Transit gateway | Gateway privado virtual com rotas propagadas | Exclua a rota que contém o ID de gateway de trânsito. |
| Transit gateway | Transit gateway | Atualize a rota que contém o ID do gateway de trânsito para o ID do novo gateway de trânsito. |
## Etapa 5: Atualizar o roteamento do gateway de destino (condicional)
Quando o novo gateway for um gateway de trânsito, modifique a tabela de rotas do gateway de trânsito para permitir o tráfego entre a VPC e a Site-to-Site VPN. Para obter mais informações, consulte [Tabelas de rota de Transit gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html) em *Amazon VPC Transit Gateway*.
Se você tiver excluído rotas estáticas de VPN, deverá adicionar essas rotas estáticas à tabela de rotas do gateway de trânsito.
Ao contrário de um gateway privado virtual, um gateway de trânsito define o mesmo valor para o discriminador de várias saídas (MED) em todos os túneis em um anexo da VPN. Se você está migrando de um gateway privado virtual para um gateway de trânsito e baseou-se no valor MED para seleção de túnel, recomendamos que faça alterações de roteamento para evitar problemas de conexão. Por exemplo, você pode anunciar rotas mais específicas em seu gateway de trânsito. Para obter mais informações, consulte [Tabelas de rotas e prioridade de AWS Site-to-Site VPN rotas](vpn-route-priority.md).
## Etapa 6: atualizar o ASN do gateway do cliente (condicional)
Quando o novo gateway tiver um ASN diferente do gateway antigo, atualize o ASN no dispositivo de gateway do cliente para apontar para o novo ASN. Consulte [Opções de gateway do cliente para sua conexão AWS Site-to-Site VPN](cgw-options.md) para obter mais informações.
# Modificar opções da conexão do AWS Site-to-Site VPN
É possível modificar as opções de conexão para sua conexão da Site-to-Site VPN. É possível modificar as opções a seguir:
+ Os intervalos CIDR IPv4 no lado local (gateway do cliente) e no lado remoto (AWS) da conexão VPN que pode se comunicar pelos túneis da VPN. O padrão é `0.0.0.0/0` para ambos os intervalos.
+ Os intervalos CIDR IPv6 no lado local (gateway do cliente) e no lado remoto (AWS) da conexão VPN que pode se comunicar pelos túneis da VPN. O padrão é `::/0` para ambos os intervalos.
Quando você modifica as opções de conexão VPN, os endereços IP do endpoint da VPN no lado da AWS não são alterados e as opções de túnel não são alteradas. A conexão VPN ficará temporariamente indisponível enquanto a conexão VPN for atualizada.
**Como modificar as opções de conexão VPN usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Conexões VPN de local a local**.
1. Selecione a conexão VPN e escolha **Ações**, **Modificar opções de conexão VPN**.
1. Insira novos intervalos de CIDR, conforme necessário.
1. Escolha **Salvar alterações**.
**Como modificar as opções de conexão VPN usando a linha de comando ou a API**
+ [modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html) (AWS CLI)
+ [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html) (API de consulta do Amazon EC2)
# Modificar opções de túnel de AWS Site-to-Site VPN
É possível modificar as opções dos túneis VPN em sua conexão da Site-to-Site VPN. É possível modificar um túnel VPN de cada vez.
**Importante**
Quando você modifica um túnel VPN, a conectividade pelo túnel é interrompida por até vários minutos. Planeje o tempo de inatividade esperado.
**Como modificar as opções de túnel VPN usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Conexões VPN de local a local**.
1. Selecione a conexão da Site-to-Site VPN e escolha **Ações**, **Modificar opções de túnel VPN**.
1. Em **Endereço IP externo do túnel VPN**, escolha o IP do endpoint do túnel VPN.
1. Escolha ou insira novos valores para as opções de túnel, conforme necessário. Para obter mais informações sobre as opções de túnel, consulte [Opções de túnel VPN](VPNTunnels.md).
**nota**
Algumas opções de túnel têm vários valores padrão. Clique para remover qualquer valor padrão. Esse valor padrão é então removido da opção de túnel.
1. Escolha **Salvar alterações**.
**Como modificar as opções de túnel VPN usando a linha de comando ou a API**
+ (AWS CLI) Use [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) para visualizar as opções de túnel atuais e [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) para modificar as opções de túnel.
+ (API de consulta do Amazon EC2) Use [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html) para visualizar as opções de túnel atuais e [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) para modificar as opções de túnel.
# Editar rotas estáticas para uma conexão do AWS Site-to-Site VPN
Para uma conexão da Site-to-Site VPN em um gateway privado virtual configurado para roteamento estático, você pode adicionar ou remover as rotas estáticas da configuração de VPN.
**Como adicionar ou remover uma rota estática usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Conexões VPN de local a local**.
1. Selecione a conexão VPN.
1. Escolha **Editar rotas estáticas**.
1. Adicione ou remova rotas, conforme necessário.
1. Escolha **Salvar alterações**.
1. Se a propagação da rota não estiver habilitada para a tabela de rotas, será preciso atualizar as rotas manualmente na tabela de rotas para, assim, refletir os prefixos IP estáticos atualizados na conexão VPN. Para obter mais informações, consulte [(Gateway privado virtual) Habilitar a propagação de rotas na tabela de rotas](SetUpVPNConnections.md#vpn-configure-routing).
1. Para uma conexão VPN em um gateway de trânsito, você adiciona, modifica ou remove as rotas estáticas na tabela de rotas do gateway de trânsito. Para obter mais informações, consulte [Tabelas de rota de Transit gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html) em *Amazon VPC Transit Gateway*.
**Para adicionar uma rota estática usando a linha de comando ou a API**
+ [CreateVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnectionRoute.html) (API de consulta do Amazon EC2)
+ [create-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection-route.html) (AWS CLI)
+ [New-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnConnectionRoute.html) (AWS Tools for Windows PowerShell)
**Para excluir uma rota estática usando a linha de comando ou a API**
+ [DeleteVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnectionRoute.html) (API de consulta do Amazon EC2)
+ [delete-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection-route.html) (AWS CLI)
+ [Remove-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnectionRoute.html) (AWS Tools for Windows PowerShell)
# Alterar o gateway do cliente para uma conexão do AWS Site-to-Site VPN
É possível alterar o gateway do cliente da sua conexão da Site-to-Site VPN usando o console da Amazon VPC ou uma ferramenta de linha de comando.
Depois de alterar o gateway do cliente, a conexão VPN ficará indisponível durante um breve período enquanto provisionamos os novos endpoints.
**Como alterar o gateway do cliente usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Conexões VPN de local a local**.
1. Selecione a conexão VPN.
1. Escolha **Ações**, **Modificar conexão VPN**.
1. Em **Tipo de destino**, escolha **Gateway do cliente**.
1. Em **Gateway do cliente de destino**, escolha o novo gateway do cliente.
1. Escolha **Salvar alterações**.
**Como excluir um gateway do cliente usando a linha de comando ou a API**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) (API de consulta do Amazon EC2)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html) (AWS CLI)
# Substitua credenciais comprometidas para uma conexão do AWS Site-to-Site VPN
Caso suspeite que as credenciais do túnel para sua conexão da Site-to-Site VPN tenham sido comprometidas, altere a chave pré-compartilhada IKE ou altere o certificado do ACM. O método usado depende da opção de autenticação usada para seus túneis de VPN. Para obter mais informações, consulte [AWS Site-to-Site VPNOpções de autenticação de túnel](vpn-tunnel-authentication-options.md).
**Alterar a chave pré-compartilhada IKE**
É possível modificar as opções de túnel para a conexão VPN e especificar uma nova chave IKE pré-compartilhada para cada túnel. Para obter mais informações, consulte [Modificar opções de túnel de AWS Site-to-Site VPN](modify-vpn-tunnel-options.md).
Como alternativa, é possível excluir a conexão VPN. Para obter mais informações, consulte [Excluir uma conexão VPN e um gateway](delete-vpn.md). Não é preciso excluir a VPC nem o gateway privado virtual. Depois, crie uma conexão VPN usando o mesmo gateway privado virtual e configure as novas chaves no dispositivo do gateway do cliente. É possível especificar suas próprias chaves pré-compartilhadas para os túneis ou deixar que a AWS gere novas chaves para você. Para obter mais informações, consulte [Criar uma conexão VPN](SetUpVPNConnections.md#vpn-create-vpn-connection). Os endereços internos e externos do túnel podem mudar quando se cria novamente a conexão VPN.
**Como alterar o certificado para o lado da AWS do endpoint do túnel**
Alterne o certificado. Para obter mais informações, consulte [Alternar os certificados de endpoint do túnel da VPN](rotate-vpn-certificate.md).
**Como alterar o certificado no dispositivo de gateway do cliente**
1. Crie um novo certificado. Para obter informações, consulte [Emissão e gerenciamento de certificados](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) no *Guia do usuário do AWS Certificate Manager*.
1. Adicione o certificado ao dispositivo de gateway do cliente.
# Alternar certificados de endpoint do túnel do AWS Site-to-Site VPN
É possível alternar os certificados nos endpoints do túnel no lado da AWS usando o console da Amazon VPC. Quando o certificado de um endpoint de túnel está próximo da expiração, a AWS alterna automaticamente o certificado usando a função vinculada ao serviço. Para obter mais informações, consulte [Funções vinculadas a serviços para VPN Site-to-Site](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).
**Como alternar o certificado de endpoint do túnel da Site-to-Site VPN usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Conexões VPN de local a local**.
1. Selecione a conexão da Site-to-Site VPN e escolha **Ações**, **Modificar certificado de túnel VPN**.
1. Selecione o endpoint do túnel.
1. Escolha **Salvar**.
**Para alternar o certificado de endpoint do túnel da Site-to-Site VPN usando a AWS CLI**
Use o comando [modify-vpn-tunnel-certificate](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-certificate.html).
# IP privado AWS Site-to-Site VPN com Direct Connect
Com a VPN IP privada, você pode implantar a IPsec VPN Direct Connect, criptografando o tráfego entre sua rede local e AWS sem o uso de endereços IP públicos ou equipamentos VPN adicionais de terceiros.
Um dos principais casos de uso da VPN IP privada Direct Connecté ajudar clientes dos setores financeiro, de saúde e federal a cumprir as metas regulatórias e de conformidade. A VPN IP privada Direct Connect garante que o tráfego entre redes locais AWS e redes locais seja seguro e privado, permitindo que os clientes cumpram suas exigências regulatórias e de segurança.
## Benefícios da VPN de IP privado
+ **Gerenciamento e operações de rede simplificados:** sem VPN IP privada, os clientes precisam implantar VPN e roteadores de terceiros para implementar Direct Connect redes privadas VPNs . Com o recurso da VPN de IP privado, os clientes não precisam implantar nem gerenciar sua própria infraestrutura de VPN. Isso resulta em operações de rede simplificadas e custos reduzidos.
+ **Postura de segurança aprimorada:** anteriormente, os clientes precisavam usar uma interface Direct Connect virtual pública (VIF) para criptografar o tráfego Direct Connect, o que exigia endereços IP públicos para endpoints de VPN. O uso público IPs aumenta a probabilidade de ataques externos (DOS), o que, por sua vez, obriga os clientes a implantar equipamentos de segurança adicionais para proteção da rede. Além disso, uma VIF pública abre o acesso entre todos os serviços AWS públicos e as redes locais do cliente, aumentando a gravidade do risco. O recurso VPN IP privado permite a criptografia em Direct Connect trânsito VIFs (em vez de pública VIFs), juntamente com a capacidade de configuração privada IPs. Isso fornece conectividade end-to-end privada, além da criptografia, melhorando a postura geral de segurança.
+ **Maior escala de rota:** as conexões VPN IP privadas oferecem limites de rota mais altos (5.000 rotas de saída e 1.000 rotas de entrada) em comparação com as Direct Connectúnicas, que atualmente têm um limite de 200 rotas de saída e 100 rotas de entrada.
## Como funciona a VPN de IP privado
A Site-to-Site VPN IP privada funciona em uma interface virtual de Direct Connect trânsito (VIF). Ele usa um Direct Connect gateway e um gateway de trânsito para interconectar suas redes locais com.AWS VPCs Uma conexão VPN IP privada tem pontos de terminação no gateway de trânsito na AWS lateral e no dispositivo de gateway do cliente no lado local. Você deve atribuir endereços IP privados às extremidades dos IPsec túneis do gateway de trânsito e do dispositivo de gateway do cliente. Você pode usar endereços IP privados de qualquer um RFC1918 ou de intervalos IPv4 de endereços RFC6598 privados.
Anexe uma conexão VPN de IP privado a um gateway de trânsito. Em seguida, você roteia o tráfego entre o anexo VPN e qualquer rede VPCs (ou outras) que também esteja conectada ao gateway de trânsito. Isso é feito associando uma tabela de rotas ao anexo da VPN. Na direção inversa, você pode VPCs rotear o tráfego do seu anexo IP VPN privado usando tabelas de rotas associadas ao VPCs.
A tabela de rotas associada ao anexo VPN pode ser a mesma ou diferente daquela associada ao Direct Connect anexo subjacente. Isso permite rotear tráfego criptografado e não criptografado simultaneamente entre sua rede VPCs e sua rede local.
Para obter mais detalhes sobre o caminho do tráfego que sai da VPN, consulte [Políticas de roteamento da interface virtual privada e da interface virtual de trânsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies) no *Guia do usuário do Direct Connect*.
## Pré-requisitos
A tabela a seguir descreve os pré-requisitos antes de criar uma VPN IP privada pelo Direct Connect.
| Item | Steps | Informações |
| --- | --- | --- |
| Prepare o gateway de trânsito para Site-to-Site VPN. | Crie o gateway de trânsito usando o console Amazon Virtual Private Cloud(VPC) ou usando a linha de comando ou a API. Consulte [Gateways de trânsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) no *Guia de gateways de trânsito da Amazon VPC*. | Um gateway de trânsito é um hub de trânsito de rede que você pode usar para interconectar sua rede com VPCs a rede local. É possível criar um gateway de trânsito ou usar um existente para a conexão da VPN de IP privado. Ao criar o gateway de trânsito ou modificar um existente, especifique um bloco CIDR de IP privado para a conexão. Ao especificar o bloco CIDR do gateway de trânsito a ser associado à VPN de IP privado, garanta que o bloco CIDR não se sobreponha a nenhum endereço IP referente a qualquer outro anexo de rede no gateway de trânsito. Se algum bloco CIDR IP se sobrepuser, isso poderá causar problemas de configuração com o dispositivo gateway do cliente. |
| Crie o Direct Connect gateway para Site-to-Site VPN. | Crie o gateway Direct Connect usando o console do Direct Connect ou usando a linha de comando ou a API. Consulte [Criar um gateway AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) no *Guia Direct Connect do usuário*. | Um gateway Direct Connect permite que você conecte interfaces virtuais (VIFs) em várias AWS regiões. Esse gateway é usado para se conectar à sua VIF. |
| Crie a associação de gateway de trânsito para Site-to-Site VPN. | Crie a associação entre o gateway Direct Connect e o gateway de trânsito usando o console Direct Connect ou a linha de comando ou API. Consulte [Associar ou desassociar Direct Connect com um gateway de trânsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) no *Guia do Direct Connect usuário*. | Depois de criar o Direct Connect gateway, crie uma associação de gateway de trânsito para o Direct Connect gateway. Especifique o CIDR de IP privado para o gateway de trânsito identificado anteriormente na lista de prefixos permitidos. |
**Topics**
+ [Benefícios da VPN de IP privado](#private-ip-dx-features)
+ [Como funciona a VPN de IP privado](#private-ip-dx-how)
+ [Pré-requisitos](#private-ip-dx-prereqs)
+ [Crie uma VPN IP privada por meio do Direct Connect](private-ip-dx-steps.md)
# Crie um IP privado AWS Site-to-Site VPN sobre Direct Connect
Para criar uma VPN IP privada, Direct Connect siga estas etapas. Antes de criar a VPN IP privada pelo Direct Connect, é preciso criar um gateway de trânsito e um gateway Direct Connect primeiro. Depois de criar os dois gateways, será preciso criar uma associação entre os dois. Esses pré-requisitos estão descritos na tabela a seguir. Depois de criar e associar os dois gateways, crie um gateway de cliente VPN e uma conexão usando essa associação.
## Pré-requisitos
A tabela a seguir descreve os pré-requisitos antes de criar uma VPN IP privada pelo Direct Connect.
| Item | Etapas | Informações |
| --- | --- | --- |
| Prepare o gateway de trânsito para Site-to-Site VPN. | Crie o gateway de trânsito usando o console Amazon Virtual Private Cloud (VPC) ou usando a linha de comando ou a API. Consulte [Gateways de trânsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) no *Guia de gateways de trânsito da Amazon VPC*. | Um gateway de trânsito é um hub de trânsito de rede que você pode usar para interconectar sua rede com VPCs a rede local. É possível criar um gateway de trânsito ou usar um existente para a conexão da VPN de IP privado. Ao criar o gateway de trânsito ou modificar um existente, especifique um bloco CIDR de IP privado para a conexão. Ao especificar o bloco CIDR do gateway de trânsito a ser associado à VPN de IP privado, garanta que o bloco CIDR não se sobreponha a nenhum endereço IP referente a qualquer outro anexo de rede no gateway de trânsito. Se algum bloco CIDR IP se sobrepuser, isso poderá causar problemas de configuração com o dispositivo gateway do cliente. |
| Crie o Direct Connect gateway para Site-to-Site VPN. | Crie o gateway Direct Connect usando o console do Direct Connect ou usando a linha de comando ou a API. Consulte [Criar um gateway AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) no *Guia Direct Connect do usuário*. | Um gateway Direct Connect permite que você conecte interfaces virtuais (VIFs) em várias AWS regiões. Esse gateway é usado para se conectar à sua VIF. |
| Crie a associação de gateway de trânsito para Site-to-Site VPN. | Crie a associação entre o gateway Direct Connect e o gateway de trânsito usando o console Direct Connect ou a linha de comando ou API. Consulte [Associar ou desassociar Direct Connect com um gateway de trânsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) no *Guia do Direct Connect usuário*. | Depois de criar o Direct Connect gateway, crie uma associação de gateway de trânsito para o Direct Connect gateway. Especifique o CIDR de IP privado para o gateway de trânsito identificado anteriormente na lista de prefixos permitidos. |
## Crie o gateway do cliente e a conexão para Site-to-Site VPN
Um gateway do cliente é um recurso que você cria em AWS. Ele representa o dispositivo de gateway do cliente na rede on-premises. Ao criar um gateway do cliente, você fornece informações sobre seu dispositivo para AWS. Consulte mais detalhes em [Gateway do cliente](how_it_works.md#CustomerGateway).
**Para criar um gateway do cliente usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Gateways do cliente**.
1. Escolha **Criar gateway do cliente**.
1. (Opcional) Em **Name** (Nome), insira um nome para o gateway do cliente. Ao fazer isso, é criada uma tag com a chave `Name` e o valor especificado.
1. Para **BGP ASN**, informe o Número de sistema autônomo (ASN) do Border Gateway Protocol (BGP) do gateway do cliente.
1. Em **IP address** (Endereço IP), insira o endereço IP privado do dispositivo de gateway do cliente.
**Importante**
Ao configurar o IP AWS privado AWS Site-to-Site VPN, você deve especificar seus próprios endereços IP de endpoint de túnel usando endereços RFC 1918. Não use os endereços point-to-point IP para o emparelhamento eBGP entre o roteador do gateway do cliente e o endpoint. Direct Connect AWS recomenda usar uma interface de loopback ou LAN no roteador de gateway do cliente como endereço de origem ou destino em vez de point-to-point conexões.
Para ter mais informações sobre a RFC 1918, consulte [Address Allocation for Private Internets](https://datatracker.ietf.org/doc/html/rfc1918).
1. (Opcional) Em **Dispositivo**, insira um nome para o dispositivo que hospeda esse gateway do cliente.
1. Escolha **Criar gateway do cliente**.
1. No painel de navegação, escolha **Conexões Site-to-Site VPN**.
1. Escolha **Create VPN Connection** (Criar conexão VPN).
1. (Opcional) Em **Etiqueta de nome**, insira um nome para sua conexão Site-to-Site VPN. Ao fazer isso, é criada uma tag com a chave `Name` e o valor especificado.
1. Em **Target gateway type** (Tipo de gateway de destino), escolha **Transit gateway** (Gateway de trânsito). Depois, selecione o gateway de trânsito identificado anteriormente.
1. Em **Customer gateway** (Gateway do cliente), selecione **Existing** (Existente). Depois, selecione o gateway do cliente criado anteriormente.
1. Escolha uma das opções de roteamento dependendo se o seu dispositivo de gateway do cliente é compatível com o Protocolo de Gateway da Borda (BGP):
+ Se o dispositivo de gateway do cliente for compatível com o BGP, selecione **Dynamic (requires BGP)** (Dinâmico [requer BGP]).
+ Se o dispositivo de gateway do cliente não oferecer suporte ao BGP, selecione **Static** (Estático).
1. Para **túnel dentro da versão IP**, especifique se os túneis VPN suportam IPv4 ou IPv6 tráfego.
1. (Opcional) Se você especificou **IPv4**o **túnel dentro da versão IP**, você pode, opcionalmente, especificar os intervalos de IPv4 CIDR para o gateway do cliente e AWS os lados que têm permissão para se comunicar pelos túneis VPN. O padrão é `0.0.0.0/0`.
Se você especificou **IPv6**a **versão Túnel dentro do IP**, você pode, opcionalmente, especificar os intervalos de IPv6 CIDR para o gateway do cliente e AWS os lados que têm permissão para se comunicar pelos túneis VPN. O padrão para ambos os intervalos é `::/0`.
1. Em **Tipo de endereço IP externo**, escolha **PrivateIpv4**.
1. Em **ID do anexo de transporte**, escolha o anexo do gateway de trânsito para o Direct Connect gateway apropriado.
1. Escolha **Create VPN Connection** (Criar conexão VPN).
**nota**
A opção **Enable acceleration** (Habilitar a aceleração) não é aplicável para conexões VPN sobre o Direct Connect.
**Para criar um gateway do cliente usando a linha de comando ou a API**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(API de consulta do Amazon EC2)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)