Preguntas frecuentes acerca de AWS VPN

Las horas de conexión de VPN se facturan siempre que las conexiones de VPN se encuentren en estado "disponible". Puede determinar el estado de una conexión de VPN por medio de la consola de administración, la CLI o la API de AWS. Si no desea seguir utilizando la conexión de VPN, solo tiene que terminar dicha conexión para evitar que se le facturen las horas adicionales de conexión de VPN.

Si no se especifica lo contrario, nuestros precios no incluyen los impuestos ni gravámenes correspondientes, como el IVA y cualquier otro impuesto sobre las ventas.  En el caso de los clientes con una dirección de facturación de Japón, el uso de los servicios de AWS está sujeto al impuesto de consumo nipón. Obtenga más información.

Sí. Puede utilizar la consola de administración de AWS para administrar conexiones IPsec VPN, como AWS Site-to-Site VPN.

Los detalles sobre los límites y cuotas de AWS Site-to-Site VPN se pueden consultar en nuestra documentación.

Puede conectar su VPC al centro de datos de su empresa mediante una conexión de VPN de hardware a través de la puerta de enlace privada virtual.

Las instancias sin direcciones IP públicas pueden obtener acceso a Internet de dos maneras distintas:

Las instancias sin direcciones IP públicas pueden direccionar el tráfico mediante una gateway de traducción de dirección de red (NAT) o una instancia NAT para obtener acceso a Internet. Estas instancias utilizan la dirección IP pública de la gateway de NAT o la instancia NAT para atravesar Internet. La gateway de NAT o la instancia NAT deja pasar las comunicaciones de salida, pero no permite que las máquinas de Internet inicien una conexión con las instancias con dirección privada.

Para las VPC que tienen una conexión de VPN de hardware o Direct Connect, las instancias pueden direccionar su tráfico de Internet por la gateway privada virtual hasta su centro de datos. Desde ahí, pueden obtener acceso a Internet por medio de los puntos de salida existentes y a través de los dispositivos de seguridad y monitorización que tenga instalados en la red.

Una conexión de AWS VPN de sitio a sitio conecta la VPC con el centro de datos. Amazon admite conexiones de VPN de seguridad de protocolo de Internet (IPsec). Los datos que se transfieren entre su VPC y su centro de datos se direccionan a través de una conexión de VPN cifrada para ayudar a mantener la confidencialidad y la integridad de los datos en tránsito. No se necesita una gateway de Internet para establecer una conexión de Site-to-Site VPN.

IPsec es un conjunto de protocolos para proteger las comunicaciones por protocolo de Internet (IP) mediante la autenticación y el cifrado de todos los paquetes IP de una secuencia de datos.

Puede crear dos tipos de conexiones de AWS Site-to-Site VPN: dirigidas estática o dinámicamente. Los dispositivos de gateway de cliente que admitan las conexiones de VPN dirigidas estáticamente deben ser capaces de:

Establecer una asociación de seguridad IKE utilizando claves previamente compartidas

Establecer asociaciones de seguridad IPsec en modo de túnel

Utilice la función de cifrado AES 128-bit, 256-bit, 128-bit-GCM-16 o 256-GCM-16

Utilice la función de hash SHA-1, SHA-2 (256), SHA2 (384) o SHA2 (512)

Utilizar la función Diffie-Hellman Perfect Forward Secrecy en modo de "Grupo 2"

Realizar la fragmentación de paquetes antes de cifrar

Además de las capacidades anteriores, los dispositivos que admitan las conexiones de Site-to-Site VPN dirigidas dinámicamente deben ser capaces de:

Establecer asociación entre pares con protocolo de gateway fronterizo (BGP)

Conectar túneles a interfaces lógicas (VPN basada en rutas)

Utilizar la detección IPsec de pares muertos

Se admiten los siguientes grupos Diffie-Hellman (DH) en Fase 1 y Fase 2.

Grupos 1 DH en Phase 2, 14-24.

Grupos 2 DH en Phase 2, 5, 14-24.

De manera predeterminada, luego el punto de enlace de VPN en lado de AWS propondrán los grupos 2 AES-128, SHA-1 y DH. Si desea especificar una propuesta para volver a general la clave, recomendamos que utilice Modify VPN Tunnel Options (Modificar opciones de túnel de VPN) para restringir el túnel de opciones a los parámetros de VPN específicos que solicita.

En la guía para administradores de red, encontrará una lista de dispositivos que cumplen los requisitos anteriores y cuyo funcionamiento con conexiones de VPN de hardware está comprobado. Además, permiten la generación automática de archivos de configuración adecuados para su dispositivo por medio de herramientas de línea de comandos.

Le recomendamos consultar el foro de Amazon VPC, ya que es posible que existan otros clientes que ya estén utilizando su dispositivo.

Cada conexión de Site-to-Site VPN de AWS tiene dos túneles y cada túnel admite un máximo rendimiento de hasta 1.25 Gbps. Si la conexión de VPN es para una gateway privada virtual, se aplicarán límites de rendimiento agregados.

Una puerta de enlace privada virtual tiene un límite de rendimiento agregado por tipo de conexión. Las conexiones de VPN múltiples para la misma gateway privada virtual están vinculados por un límite de rendimiento agregado de AWS en las instalaciones de hasta 1.25 Gbps. Para la conexión de AWS Direct Connect en una gateway privada virtual, el rendimiento está vinculado por el puerto físico de conexión directo. Para conectar múltiples VPC y lograr límites de rendimiento más altos, utilice AWS Transit Gateway.

El rendimiento de una conexión de VPN puede depender de varios factores, como la capacidad de la puerta de enlace de cliente, la capacidad de su conexión, el tamaño de paquete promedio, el protocolo utilizado, TCP o UDP, y la latencia de red entre su CGW y su gateway privada virtual.

Cada conexión de AWS Site-to-Site VPN tiene dos túneles y cada túnel admite un máximo de paquetes por segundo de hasta 140 000.  

La API DescribeVPNConnection indica el estado de la conexión de VPN, incluido el estado ("up"/"down") de cada túnel de VPN y los correspondientes mensajes de error si uno de los túneles no funciona ("down"). Esta información también se muestra en la consola de administración de AWS.

El establecimiento de una conexión de VPN de hardware entre su red existente y Amazon VPC permite interactuar con las instancias de Amazon EC2 en una VPC como si estuviesen en la red existente. AWS no lleva a cabo la traducción de direcciones de red (NAT) en las instancias de Amazon EC2 de una VPC a la que se obtiene acceso mediante una conexión de VPN de hardware.

Utilizará la dirección IP pública de su dispositivo de NAT.

Utilizará la dirección IP pública de su dispositivo de NAT.

Debe deshabilitar NAT-T en el dispositivo. Si no piensa utilizar NAT-T y este no está deshabilitado en el dispositivo, se intentará establecer un túnel a través del puerto UDP 4500. Si dicho puerto no está abierto, el túnel no se establecerá.

El servicio VPN de AWS se basa en rutas, por lo que al utilizar una configuración basada en rutas no encontrará ninguna limitación de asociaciones de seguridad. Sin embargo, si utiliza una solución basada en políticas deberá limitarse a una única asociación.

Sí, puede direccionar el tráfico mediante una conexión de VPN y anunciar el rango de direcciones desde su red doméstica.

Su conexión de VPN anunciará un máximo de 1000 rutas al dispositivo puerta de enlace de cliente. Para las VPN de una gateway privada virtual, las fuentes de rutas anunciadas incluyen rutas VPC, otras rutas VPN y rutas de interfaces virtuales DX. Para las VPN de AWS Transit Gateway, las rutas anunciadas provienen de la tabla de enrutamiento asociada a la conexión de VPN. Si se intentan enviar más de 1000 rutas, solo se anunciará un subconjunto de 1000.  

Puede anunciar un máximo de 100 rutas a su conexión de Site-to-Site VPN en una puerta de enlace privada virtual desde su dispositivo puerta de enlace de cliente o un máximo de 1000 rutas a su conexión de Site-to-Site VPN en AWS Transit Gateway. Para una conexión de VPN con rutas estáticas, no podrá agregar más de 100 rutas estáticas. Para una conexión de VPN con BGP, la sesión BGP se reiniciará si intenta anunciar más que el máximo permitido para el tipo de gateway.

Sí. Las conexiones de VPN a un AWS Transit Gateway pueden admitir tráfico ya sea IPv4 o IPv6 que se puede seleccionar a la vez que se crea una nueva conexión VPN. Para seleccionar IPv6 para el tráfico VPN, configure la opción de túnel VPN para la versión Inside IP a IPv6. Tenga en cuenta que el punto de enlace del túnel y las direcciones de IP del gateway de cliente son IPv4 únicamente.

La puerta de enlace de cliente (CGW) debe iniciar el IKE de forma predeterminada. Alternativamente, los puntos de conexión de la VPN de AWS pueden iniciarse habilitando las opciones apropiadas.

Sí. La función VPN de sitio a sitio de IP privada le permite implementar conexiones VPN a un AWS Transit Gateway utilizando direcciones IP privadas. La VPN con IP privada funciona a través de una interfaz virtual de tránsito de AWS Direct Connect. Puede seleccionar direcciones IP privadas como sus direcciones IP de túnel externo mientras crea una nueva conexión VPN. Tenga en cuenta que el punto de conexión del túnel y las direcciones de IP de la puerta de enlace de cliente son IPv4 únicamente.

No, el cifrado IPSec y el intercambio de claves funcionan de la misma manera para las conexiones de VPN de sitio a sitio de IP privada que para las conexiones de VPN de IP pública.

Sí, necesita una puerta de enlace Transit para implementar conexiones de VPN con IP privadas. Además, una conexión de VPN con IP privada en Transit Gateway requiere un adjunto de Direct Connect para el transporte. Debe especificar una identificación de conexión de Direct Connect al configurar una conexión VPN de IP privada a una Transit Gateway. Múltiples conexiones de VPN con IP privadas pueden usar la misma conexión de Direct Connect para el transporte.

Sí, las VPN con IP privadas admiten el enrutamiento estático y el enrutamiento dinámico mediante BGP. Si su dispositivo de puerta de enlace de cliente es compatible con el protocolo de puerta de enlace fronteriza (BGP), especifique el enrutamiento dinámico cuando configure su conexión VPN de sitio a sitio. Si su dispositivo de puerta de enlace de cliente no es compatible con el BGP, especifique el enrutamiento estático. Recomendamos que utilice dispositivos compatibles con el BGP, cuando estén disponibles, porque el protocolo BGP ofrece comprobaciones sólidas de detección de ejecución que pueden ayudar a la conmutación por error al segundo túnel VPN si el primer túnel deja de funcionar.

El comportamiento de asociación y propagación de la tabla de enrutamiento para una conexión de VPN con IP privada es el mismo que para cualquier otra conexión de puerta de enlace de tránsito. Puede asociar una tabla de enrutamiento de Transit Gateway a la conexión de VPN con IP privada y propagar rutas desde la conexión de VPN con IP privada a cualquiera de las tablas de enrutamiento de Transit Gateway.

Al igual que las conexiones de VPN normales de sitio a sitio, cada conexión VPN con IP privada admite 1,25 Gbps de ancho de banda. Puede usar ECMP (múltiples rutas de igual costo) en múltiples conexiones de VPN con IP privada para aumentar el ancho de banda efectivo. Como ejemplo, para enviar 10 Gbps de tráfico DX a través de una VPN con IP privada, puede usar 4 conexiones de VPN con IP privadas (4 conexiones x 2 túneles x 1,25 Gbps de ancho de banda) con ECMP entre un par de Transit Gateway y la puerta de enlace de cliente.

No, no puede dirigir tráfico ECMP a través de conexiones de VPN con IP públicas y privadas. ECMP para VPN con IP privada solo funcionará en conexiones VPN que tengan direcciones IP privadas.

Las conexiones de VPN con IP privadas admiten 1500 bytes de MTU.

No, tanto la puerta de enlace Transit como las conexiones de VPN de sitio a sitio deben ser propiedad de la misma cuenta de AWS.

El servicio de AWS Site-to-Site VPN está disponible en todas las regiones comerciales, excepto en las regiones de AWS Asia-Pacífico (Pekín) y Asia-Pacífico (Ningxia). La función VPN con IP privada es compatible con todas las regiones de AWS donde el servicio AWS Site-to-Site VPN está disponible.

Las conexiones VPN enfrentan disponibilidad y desempeño inconsistentes a medida que el tráfico viaja a través de varias redes públicas de Internet antes de alcanzar el punto de enlace VPN de AWS. Dichas redes públicas pueden estar congestionadas. Cada salto puede traer riesgos de disponibilidad y desempeño. Una Site-to-Site VPN acelerada hace que la experiencia de usuario sea más consistente gracias al uso de la red global de alta disponibilidad y libre de congestión de AWS.

Cuando esté creando una conexión VPN, establezca “Enable Acceleration” (Habilitar aceleración) en “true”.

En la descripción de su conexión VPN, el valor “Enable Acceleration” (Habilitar aceleración) debe estar establecido como “true”.

Después de crear una nueva Site-to-Site VPN acelerada, actualice su dispositivo de puerta de enlace de cliente para conectarse a esta nueva conexión de VPN y, a continuación, elimine su conexión de VPN existente. Obtendrá nuevas direcciones IP del punto de enlace del túnel dado que las VPN aceleradas utilizan rangos de direcciones IP diferentes de las conexiones VPN no aceleradas.

Solo Transit Gateway es compatible con Site-to-Site VPN aceleradas. Debe especificarse una gateway de tránsito cuando se cree una conexión VPN. El punto de enlace de VPN en el lado de AWS se crea en Transit Gateway.

Sí, cada conexión VPN ofrece dos túneles para una alta disponibilidad.

Se requiere NAT-T y se activa de forma predeterminada para las conexiones Site-to-Site VPN aceleradas. Aparte de eso, los túneles de VPN aceleradas y no aceleradas admiten el mismo tipo de protocolos de seguridad IP (IPsec) e intercambio de claves por red (IKE), además de ofrecer el mismo ancho de banda, opciones de túnel, opciones de direccionamiento y tipos de autenticación.

Sí, seleccionamos direcciones de protocolos de IP globales de AWS Global Accelerator de zonas de red independientes para los puntos de enlace de los dos túneles.

No, las Site-to-Site VPN aceleradas solo se puede crear mediante AWS Site-to-Site VPN. Las Site-to-Site VPN aceleradas no pueden crearse mediante la consola o la API de AWS Global Accelerator.

No, no se admiten Site-to-Site VPN aceleradas en interfaces virtuales públicas de Direct Connect. En la mayor parte de los casos no hay ningún beneficio de aceleración al usar una Site-to-Site VPN acelerada en Direct Connect.

Accelerated Site-to-Site VPN está actualmente disponible en estas regiones de AWS: Oeste de EE. UU. (Oregón), Oeste de EE. UU. (Norte de California), Este de EE. UU. (Ohio), Este de EE. UU. (Norte de Virginia), América del Sur (São Paulo), Oriente Medio (Baréin), Europa (Estocolmo), Europa (París), Europa (Milán), Europa (Londres), Europa (Irlanda), Europa (Fráncfort), Canadá (centro), Asia-Pacífico (Tokio), Asia-Pacífico (Sídney), Asia-Pacífico (Singapur), Asia-Pacífico (Seúl), Asia-Pacífico (Bombay), Asia-Pacífico (Hong Kong), África (Ciudad del Cabo).

Los registros de conexión de Site-to-Site VPN incluyen detalles sobre la actividad de establecimiento de túneles de seguridad IP (IPsec), incluidas las negociaciones de intercambio de claves de Internet (IKE) y los mensajes de protocolo de detección de pares muertos (DPD). Estos registros se exportan periódicamente a intervalos de 5 minutos y se entregan a los registros de CloudWatch en la medida de lo posible.

Sí, se pueden habilitar los registros de Site-to-Site VPN para conexiones VPN basadas en puertas de enlace de tránsito y virtuales.

Sí, puede habilitar los registros de Site-to-Site VPN a través de las opciones de túnel al crear o modificar su conexión.

Cuando habilita los registros de Site-to-Site VPN a una conexión VPN existente al utilizar las opciones de modificación del túnel, su conectividad a través del túnel se interrumpe durante varios minutos. Cada conexión VPN ofrece dos túneles para una alta disponibilidad. Puede habilitar el inicio de sesión en un túnel a la vez y solo se verá afectado el túnel modificado. Para obtener más información, consulte Reemplazos del punto de enlace del túnel de Site-to-Site VPN en la Guía del usuario de AWS Site-to-Site VPN.

El administrador de TI crea un punto de enlace de Client VPN, asocia una red de destino a ese punto de enlace y configura las políticas de acceso para permitir la conectividad del usuario final. El administrador de TI distribuye el archivo de configuración de Client VPN a los usuarios finales. Estos deberán descargar un cliente OpenVPN y utilizar el archivo de configuración de Client VPN para crear una sesión de VPN.

El usuario final debe descargar un cliente OpenVPN en su dispositivo. A continuación, el usuario importará el archivo de configuración de AWS Client VPN al cliente OpenVPN e iniciará una conexión VPN.

Puede habilitar la conectividad con otras redes como VPC de Amazon interconectadas, redes locales a través de puertas de enlace virtuales o servicios de AWS, como S3, mediante puntos de enlace, redes a través de AWS PrivateLink u otros recursos a través de puertas de enlace de Internet. Para habilitar la conectividad, agregue una ruta a la red específica en la tabla de ruteo de Client VPN y una regla de autorización que permita el acceso a dicha red.

No, la subred asociada tiene que estar en la misma cuenta que el punto de enlace de Client VPN.

Puede hacerlo si sigue estos pasos: Primero, configure una interconexión entre regiones entre su VPC de destino (aquella ubicada en una región diferente) y la VPC asociada de Client VPN. Segundo, debe agregar una ruta y una regla de acceso para la VPC de destino en el punto de enlace de Client VPN. Una vez hecho esto, sus usuarios podrán acceder a los recursos de la VPC de destino que se encuentra en una región diferente desde su punto de enlace de Client VPN.

Puede elegir TCP o UDP para la sesión de VPN.

Sí. Puede optar por crear un punto de enlace con el túnel dividido habilitado o deshabilitado. Si ya ha creado un punto de enlace con el túnel dividido deshabilitado, puede optar por modificarlo para habilitar el túnel dividido. Si el túnel dividido está habilitado, el tráfico destinado a las rutas configuradas en el punto de enlace se enrutará a través del túnel de VPN. El resto del tráfico se enrutará a través de su interfaz de red local. Si el túnel dividido está deshabilitado, todo el tráfico del dispositivo atravesará el túnel de VPN.

AWS Client VPN es compatible con la autenticación con Active Directory mediante AWS Directory Service, la autenticación basada en certificados y la autenticación federada mediante SAML-2.0.

Sí. AWS Client VPN se integra con AWS Directory Service para que pueda conectarse a Active Directory en las instalaciones.

Sí, AWS Client VPN es compatible con la autenticación mutua. Cuando se habilita la autenticación mutua, el cliente debe cargar el certificado raíz utilizado para emitir el certificado del cliente en el servidor.

Sí, AWS Client VPN es compatible con las listas de anulación de certificados (CRL) configuradas estáticamente.

Sí. Debe cargar el certificado, el certificado de autoridad de certificación (CA) raíz y la clave privada del servidor. Los tres elementos deben cargarse en AWS Certificate Manager.

Sí. Puede utilizar ACM como una CA subordinada encadenada a una CA raíz externa. ACM generará el certificado de servidor. En este caso, ACM también realiza la rotación de certificados de servidor.

No. AWS Client VPN no admite la evaluación de posturas. Otros servicios de AWS, como Amazon Inspectors, sí son compatibles con la evaluación de posturas.

Sí, AWS Client VPN admite MFA a través de Active Directory mediante AWS Directory Services y a través de proveedores de identidad externos (Okta, por ejemplo).

Usted debe configurar reglas de autorización que limiten los usuarios que pueden acceder a una red. Para una red de destino en particular, puede configurar el grupo de Active Directory o el grupo del proveedor de identidad al que se concede acceso. Solo los usuarios que pertenezcan a este grupo de Active Directory o grupo del proveedor de identidad podrán acceder a la red especificada.

Client VPN es compatible con grupos de seguridad. Puede especificar un grupo de seguridad para el grupo de asociaciones. Cuando se asocia una subred, aplicaremos automáticamente el grupo de seguridad predeterminado del VPC de la subred.

Para su aplicación, puede especificar que permite solo el acceso desde los grupos de seguridad aplicados a la subred asociada. De ese modo, solo podrán acceder usuarios conectados a través de Client VPN.

Sí, puede cargar un nuevo documento de metadatos al proveedor de identidad de IAM asociado al punto de enlace de Client VPN. Los metadatos actualizados se verán reflejados de 2 a 4 horas más tarde.

No, debe usar el cliente de software de AWS Client VPN para conectarse al punto de enlace.

Client VPN exporta el registro de conexión como el mejor esfuerzo hacia los registros de CloudWatch. Estos registros se exportan periódicamente cada 15 minutos. Los registros de conexión incluyen información sobre las solicitudes de conexión creadas y finalizadas.

No. Puede utilizar los registros de flujo de Amazon VPC en la VPC asociada.

Sí, puede visualizar las conexiones activas de un punto de enlace y finalizarlas a través de la CLI o la consola.

Sí. A través del monitor de CloudWatch puede consultar los bytes de entrada y salida y las conexiones activas de cada punto de enlace de Client VPN.

El cliente de software para AWS Client VPN es compatible con las configuraciones existentes de AWS Client VPN. El cliente puede agregar perfiles utilizando el archivo de configuración OpenVPN generado por el servicio AWS Client VPN. Una vez que se creó el perfil, el cliente se conectará a su punto de enlace según su configuración.

El cliente de software se proporciona de manera gratuita. Solo deberá pagar el uso del servicio AWS Client VPN.

En la actualidad, el cliente de escritorio es compatible con los dispositivos con Windows 10, macOS (Mojave, Catalina y Big Sur) y Ubuntu Linux (18.04 y 20.04) de 64 bits. 

No. Sin embargo, los administradores de TI pueden proporcionar archivos de configuración para que el despliegue del cliente de software preconfigure los ajustes.

Sí. Necesita acceso de administrador para instalar la aplicación tanto en Windows como en Mac. Después de ese punto, no se requiere acceso de administrador.

AWS Client VPN, incluido el cliente de software, admite el protocolo OpenVPN.

Sí. El cliente admite todas las características proporcionadas por el servicio AWS Client VPN.

Sí, puede acceder a su red de área local cuando está conectado a AWS VPN Client.

El cliente de software de AWS Client VPN es compatible con todos los mecanismos de autenticación ofrecidos por el servicio de AWS Client VPN: la autenticación con Active Directory mediante AWS Directory Service, la autenticación basada en certificados y la autenticación federada mediante SAML-2.0.

Cuando un usuario intenta conectarse, se registran los detalles de la configuración de la conexión. Los intentos de conexión se guardan durante un máximo de 30 días con un tamaño máximo de archivo de 90 MB.

Sí, suponiendo que el tipo de autenticación definida en el punto de enlace de AWS Client VPN sea compatible con el cliente OpenVPN basado en estándares.

Puede descargar el cliente genérico sin ninguna personalización desde la página de producto de AWS Client VPN. Los administradores de TI pueden optar por alojar la descarga en su sistema.

Se recomienda no ejecutar varios clientes VPN en un dispositivo. Esto puede generar conflictos o los clientes VPN pueden interferir entre sí y provocar fallas en las conexiones. Aclarado este punto, es posible instalar el cliente VPN de AWS junto con otro cliente VPN.

Para cualquier puerta de enlace virtual nueva, un número de sistema autónomo (ASN) privado permite a los clientes definir el ASN en el extremo de Amazon de la sesión BGP para VPN y VIF privadas de AWS Direct Connect.

No se aplican cargos adicionales por el uso de esta característica.

Puede configurar/asignar un ASN para que se publique como el ASN del extremo de Amazon durante la creación de la nueva puerta de enlace privada virtual (puerta de enlace virtual). Puede crear una gateway virtual mediante el uso de la consola de VPC o una llamada a la API EC2/CreateVpnGateway.

Amazon asignó los siguientes ASN: UE Oeste (Dublín) 9059; Asia Pacífico (Singapur) 17493 y Asia Pacífico (Tokio) 10124. A las demás regiones se les asignó un ASN de 7224; a estos ASN se los denomina "ASN públicos heredados" de la región.

Puede asignar cualquier ASN privado al lado de Amazon. Puede asignar el "ASN público heredado" de la región hasta el 30 de junio de 2018. No puede asignar ningún otro ASN público. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

Amazon no valida la titularidad de los ASN, por lo tanto, estamos restringiendo el ASN del extremo de Amazon a los ASN privados. Queremos proteger a los clientes de la suplantación de BGP.

Puede elegir cualquier ASN privado. El rango de los ASN privados de 16 bits va de 64512 a 65534. También puede suministrar ASN de 32 bits entre 4200000000 y 4294967294.

Amazon proveerá un ASN predeterminado para la gateway virtual si usted no elige uno. Hasta el 30 de junio de 2018, Amazon continuará suministrando el “ASN público heredado” de la región. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

Solicitaremos que vuelva a escribir un ASN privado cuando intente crear la puerta de enlace virtual, a menos que sea el “ASN público heredado” de la región.

Si usted no elige uno, Amazon proporcionará un ASN para la puerta de enlace virtual. Hasta el 30 de junio de 2018, Amazon continuará suministrando el “ASN público heredado” de la región. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

Puede ver el ASN del extremo de Amazon en la página de la puerta de enlace virtual de la consola de la VPC y en la respuesta de la API EC2/DescribeVpnGateways.

Sí, puede configurar el lado de Amazon de la sesión BGP con un ASN privado y su lado con un ASN público.

Deberá crear una puerta de enlace virtual nueva con el ASN deseado y una VIF nueva con la puerta de enlace virtual creada recientemente. La configuración de su dispositivo también debe modificarse respectivamente.

Deberá crear una puerta de enlace virtual nueva con el ASN deseado y volver a crear las conexiones de VPN entre las puertas de enlace de cliente y las nuevas puertas de enlace virtuales creadas.

Amazon asignará un ANS de 64512 al extremo de Amazon para la nueva puerta de enlace virtual.

Puede configurar/asignar un ASN para que se publique como el ASN del extremo de Amazon durante la creación de la nueva puerta de enlace privada virtual (puerta de enlace virtual). Puede crear una gateway virtual con la consola o la llamada a la API EC2/CreateVpnGateway. Como se mencionó anteriormente, hasta el 30 de junio de 2018, Amazon continuará suministrando el “ASN público heredado” de la región. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

Amazon asignará 7224 al ASN del extremo de Amazon para la nueva conexión de VIF/VPN. El ASN del extremo de Amazon para su nueva conexión de VIF/VPN privada se hereda de su gateway virtual existente y se asigna de manera predeterminada a dicho ASN.

No, es posible asignar/configurar un ASN del extremo de Amazon diferente para cada puerta de enlace virtual, pero no para cada VIF. El ASN del extremo de Amazon para la VIF se hereda del ASN del extremo de Amazon de la gateway virtual adjunta.

No, es posible asignar/configurar un ASN del extremo de Amazon diferente para cada puerta de enlace virtual, pero no para cada conexión de VPN. El ASN del extremo de Amazon para la conexión de VPN se hereda del ASN del extremo de Amazon de la gateway virtual.

Cuando cree una puerta de enlace virtual en la consola de VPC, desactive la casilla que pregunta si desea generar automáticamente el BGP ASN de Amazon y especifique su propio ASN privado para la mitad de Amazon de la sesión BGP. Una vez que la gateway virtual esté configurada con el ASN del extremo de Amazon, las VIF privadas o las conexiones de VPN creadas con la gateway virtual usarán su ASN del extremo de Amazon.

No deberá hacer ninguna modificación.

Admitiremos ASN de 32 bits de 4200000000 a 4294967294.

No, no puede modificar el ASN del lado de Amazon con posterioridad a la creación. Puede eliminar la gateway virtual y crear una nueva con el ASN que desee.

Puede hacerlo con la API anterior (EC2/CreateVpnGateway). Tan solo añadimos un parámetro nuevo (amazonSideAsn) al API.

Puede ver el ASN del extremo de Amazon con la misma API EC2/DescribeVpnGateways. Tan solo añadimos un parámetro nuevo (amazonSideAsn) al API.

Se puede usar ASN en el rango entre 1 y 2147483647 con las excepciones indicadas. Consulte las opciones de puerta de enlace del cliente para la sección de conexión de AWS Site-to-Site VPN de la guía del usuario de AWS VPN.   

Sí. Tenga en cuenta que el ASN privado en el rango de 4200000000 a 4294967294 NO se admite actualmente para la configuración de puerta de enlace de cliente. Consulte las opciones de puerta de enlace del cliente para la sección de conexión de AWS Site-to-Site VPN de la guía del usuario de AWS VPN.