Domande frequenti su AWS VPN

D: In che modo sono definite le ore di connessione fatturabili di VPN?

R: Le ore di connessione di VPN sono calcolate secondo la quantità di tempo in cui le connessioni VPN sono in stato "disponibile". Puoi determinare lo stato di una connessione VPN tramite la Console di gestione AWS, l'interfaccia a riga di comando o le API. Se non desideri utilizzare una connessione VPN, puoi interromperla per non incorrere in tariffe aggiuntive.

D: I prezzi includono le tasse?

R: Salvo diversamente specificato, i prezzi sono al netto di eventuali tasse e imposte doganali, inclusa l'IVA ed eventuali imposte sulle vendite. Per i clienti con indirizzo di fatturazione in Giappone, l'utilizzo dei servizi AWS è soggetto all'imposta sul consumo giapponese. Ulteriori informazioni.

D: Quali sono le opzioni di connettività VPN per VPC?

R: Puoi connettere il tuo VPC al tuo data center aziendale tramite una connessione VPN hardware tramite un gateway virtuale privato.

D: In che modo le istanze senza indirizzi IP pubblici possono accedere a Internet?

R: Le istanze sprovviste di indirizzi IP pubblici possono accedere a Internet in due modi:

le istanze prive di indirizzi IP pubblici possono instradare il proprio traffico attraverso un gateway NAT oppure un'istanza NAT. Queste istanze usano l'indirizzo IP pubblico del gateway NAT o dell'istanza NAT per accedere a Internet. Il gateway NAT (o l'istanza NAT) consente le comunicazioni in uscita ma non permette alle macchine su Internet di avviare una connessione alle istanze con indirizzi privati.

Per i VPC con connessione VPN hardware o Direct Connect, le istanze possono instradare il traffico Internet all'interno del gateway virtuale privato fino al data center esistente. Da lì possono accedere a Internet tramite i punti di uscita esistenti e i dispositivi di protezione/monitoraggio della rete.

D: Come funziona una connessione AWS Site-to-Site VPN con Amazon VPC?

R: Una connessione AWS Site-to-Site VPN collega il VPC al tuo data center. Amazon supporta le connessioni VPN IPsec (Internet Protocol security). I dati trasferiti tra il VPC e il data center vengono instradati su una connessione VPN crittografata per proteggere la riservatezza e l'integrità dei dati in transito. Per stabilire connessioni Site-to-Site VPN non è invece necessario disporre di un Internet gateway.

D: Cosa significa IPsec?

R: IPsec è una suite di protocolli per proteggere le comunicazioni IP (Internet Protocol) mediante l'autenticazione e la crittografia dei singoli pacchetti IP del flusso di dati.

D: Quali dispositivi gateway del cliente è possibile usare per collegarsi ad Amazon VPC?

R: È possibile creare due tipi di connessioni AWS Site-to-Site VPN: con instradamento statico e con instradamento dinamico. I dispositivi gateway del cliente che supportano le connessioni VPN con instradamento statico devono essere in grado di:

Stabilire un'associazione di sicurezza tramite protocollo IKE utilizzando chiavi precondivise

Stabilire un'associazione di sicurezza tramite protocollo IPsec in modalità Tunnel

Utilizzare la funzione di crittografia AES 128 bit, 256 bit, 128 bit GCM-16 o 256-GCM-16

Utilizzare la funzione di hashing SHA-1, SHA-2 (256), SHA2 (384) o SHA2 (512)

Utilizzare lo scambio di chiavi Diffie-Hellman in modalità "Group 2" con Perfect Forward Secrecy o uno dei gruppi DH aggiuntivi supportati

Eseguire la frammentazione dei pacchetti prima della crittografia

Oltre alle funzioni fin qui citate, i dispositivi che supportano le connessioni Site-to-Site VPN con instradamento dinamico devono essere in grado di:

Configurare peer secondo il protocollo BGP (Border Gateway Protocol)

Unire tunnel a interfacce logiche (VPN basata sull'instradamento)

Utilizzare la funzione di Dead Peer Detection su protocollo IPsec

D: Quali gruppi Diffie-Hellman sono supportati?

R: I gruppi DH (Diffie-Hellman) supportati in Phase 1 e Phase 2 sono i seguenti.

Gruppi DH Phase 1: 2, 14-24.

Gruppi DH Phase 2: 2, 5, 14-24.

D: Quali algoritmi propone AWS quando è necessaria l'emissione di una nuova chiave IKE?

R: Per impostazione predefinita, poi endpoint VPN lato AWS proporrà AES-128, SHA-1 e gruppi DH 2. Se desideri che ti venga proposto qualcosa di specifico per una nuova emissione di chiave, ti consigliamo di utilizzare le opzioni di modifica del tunnel VPN per limitare le opzioni di tunnel agli specifici parametri VPN che desideri.

D: Quali dispositivi gateway del cliente sono compatibili con Amazon VPC?

R: Nel documento Network administrator guide, sono elencati i dispositivi che soddisfano i requisiti illustrati in alto e di cui è nota la compatibilità con le connessioni VPN hardware; inoltre, questi dispositivi supportano gli strumenti a riga di comando, consentendo la generazione automatica dei file di configurazione più adatti.

D: Se il dispositivo in uso non è tra quelli elencati, dove sono disponibili eventuali informazioni su come utilizzarlo con Amazon VPC?

R: Consigliamo di consultare il forum Amazon VPC, perché è possibile che altri clienti utilizzino lo stesso dispositivo.

D: Qual è, approssimativamente, il throughput massimo di una connessione Site-to-Site VPN?

R: Ciascuna connessione Site-to-Site VPN AWS ha due tunnel e ciascun tunnel supporta un throughput massimo fino a 1,25 Gbps. Se la tua connessione VPN è a un gateway virtuale privato, si applicheranno limiti di throughput aggregati.

D: Esiste un limite di throughput aggregato per gateway virtuale privato?

R: Il gateway virtuale privato ha un limite di throughput aggregato per tipo di connessione. Molteplici connessioni VPN allo stesso gateway virtuale privato sono legate da un limite di throughput aggregato da AWS a locale fino a 1,25 Gbps. Per la connessione AWS Direct Connect su un gateway virtuale privato, il throughput è legato dalla stessa porta fisica Direct Connect. Per collegare molteplici VPC e avere limiti di throughput più elevati, utilizza AWS Transit Gateway.

D: Quali fattori influenzano il throughput di una connessione VPN?

R: Vi sono diversi fattori che possono influenzare il throughput della connessione VPN. Per esempio la capacità del gateway del cliente, la velocità della connessione. le dimensioni medie dei pacchetti, il protocollo utilizzato (TCP o UDP) e la latenza della rete tra il gateway del cliente e il gateway virtuale privato.

D: Qual è, approssimativamente, il numero massimo di pacchetti al secondo di una connessione Site-to-Site VPN?

R: Ciascuna connessione Site-to-Site VPN AWS ha due tunnel e ciascun tunnel supporta un numero massimo di pacchetti al secondo fino a 140.000.  

D: Quali strumenti è possibile usare per risolvere i problemi di configurazione di Site-to-Site VPN?

R: L'API DescribeVPNConnection mostra lo stato della connessione VPN e dei singoli tunnel VPN ("attivo"/"non attivo"), inclusi gli eventuali messaggi di errore se uno dei tunnel non è attivo. Queste informazioni sono consultabili anche sulla Console di gestione AWS.

D: Come si collega un VPC al data center aziendale?

R: Stabilire una connessione VPN hardware tra la rete esistente e Amazon VPC consente di interagire con le istanze Amazon EC2 all'interno del VPC come se si trovassero all'interno della rete esistente. AWS non applica la funzione Network Address Translation (NAT) alle istanze Amazon EC2 dentro un VPC accessibile tramite connessione VPN.

D: È possibile usare la funzione NAT con un gateway del cliente protetto da router o firewall?

R: Sarà necessario utilizzare l'indirizzo IP pubblico del dispositivo NAT.

D: Quale indirizzo IP è possibile utilizzare per l'indirizzo del gateway del cliente?

R: Sarà necessario utilizzare l'indirizzo IP pubblico del dispositivo NAT.

D: Come si disabilita la funzione NAT-T su una connessione?

R: La funzione NAT-T va disabilitata sul dispositivo. Se non desideri usare la funzione NAT-T e sul dispositivo è abilitata, proveremo a stabilire un tunnel sulla porta UDP 4500. Se la porta non è aperta, non sarà stabilito alcun tunnel.

D: Quante associazioni di sicurezza tramite protocollo IPsec è possibile stabilire contemporaneamente in ogni tunnel?

R: Il servizio VPN di AWS è una soluzione basata sull'instradamento, perciò se usi una configurazione basata sull'instradamento non incorrerai in alcuna limitazione usando le associazioni di sicurezza. Se tuttavia usi una soluzione basata su policy, la limitazione sarà a una singola associazione di sicurezza poiché il servizio è una soluzione basata sull'instradamento.

D: È possibile mostrare l'intervallo di indirizzi IP pubblici di un VPC su Internet e instradare il traffico attraverso il data center (tramite Site-to-Site VPN) verso il VPC?

R: Sì, puoi instradare il traffico tramite connessione VPN e mostrare l'intervallo di indirizzi dalla rete domestica.

D: Qual è il numero massimo di instradamenti che la mia connessione VPN mostrerà al mio dispositivo gateway del cliente?

R: La tua connessione VPN mostrerà un massimo di 1.000 instradamenti al dispositivo gateway del cliente. Per le connessioni VPN su un gateway virtuale privato, le origini di instradamento visualizzate includono gli instradamenti VPC, altri instradamenti VPN e instradamenti da interfacce virtuali DX. Per le connessioni VPN su un AWS Transit Gateway, gli instradamenti visualizzati provengono dalla tabella di instradamento associata all'allegato VPN. Se si cerca di inviare più di 1.000 instradamenti, ne sarà visualizzato solo un sottoinsieme di 1.000 unità.  

D: Qual è il numero massimo di instradamenti dal mio dispositivo gateway del cliente che possono essere mostrati nella mia connessione VPN?

R: Puoi mostrare un massimo di 100 instradamenti nella tua connessione VPN Site-to-Site in un gateway virtuale privato dal dispositivo gateway del cliente o un massimo di 1000 instradamenti alla connessione VPN Site-to-Site su AWS Transit Gateway. Per le connessioni VPN con instradamenti statici, non potrai aggiungere più di 100 instradamenti statici. Per le connessioni VPN con BGP, la sessione BGP sarà ripristinata se proverai a mostrare più del massimo per il tipo di gateway.

D: Le connessioni VPN supportano il traffico IPv6?

R: Sì. Le connessioni VPN verso un AWS Transit Gateway possono supportare il traffico IPv4 o IPv6; è possibile specificare la preferenza durante la creazione di una nuova connessione VPN. Per selezionare IPv6 per il traffico VPN, imposta l'opzione Tunnel VPN per Versione IP interno su IPv6. Gli indirizzi IP dell'endpoint del tunnel e del gateway del cliente sono esclusivamente IPv4.

D: Quale lato del tunnel VPN avvia la sessione di Internet Key Exchange (IKE)?

R: Per impostazione predefinita, il gateway del cliente (CGW) deve avviare IKE. In alternativa, gli endpoint VPN di AWS possono essere avviati attivando le opzioni adeguate.

D: Le connessioni VPN supportano indirizzi IP privati?

R: Sì. La funzione VPN sito-sito IP privata consente di implementare connessioni VPN a un AWS Transit Gateway utilizzando indirizzi IP privati. Una VPN IP privata funziona su un'interfaccia virtuale di transito AWS Direct Connect (VIF). Puoi selezionare gli indirizzi IP privati come indirizzi IP del tunnel esterno durante la creazione di una nuova connessione VPN. Gli indirizzi IP dell'endpoint del tunnel e del gateway del cliente sono esclusivamente IPv4.

D: Ci sono differenze tra le interazioni di protocollo VPN IP pubbliche e private?

R: No, la crittografia IPSec e lo scambio di chiavi funzionano allo stesso modo per le connessioni VPN private sito-sito che per le connessioni VPN IP pubbliche.

D: Ho bisogno di un gateway Transit per una VPN IP privata?

R: Sì, è necessario un gateway Transit per distribuire connessioni VPN IP private. Inoltre, un collegamento VPN IP privato su Transit Gateway richiede un collegamento Direct Connect per il trasporto. È necessario specificare un collegamento ID Direct Connect durante la configurazione di una connessione VPN IP privata a un gateway Transit. Più connessioni VPN IP private possono utilizzare lo stesso collegamento Direct Connect per il trasporto.

D: Le VPN IP private supportano routing statico e BGP?

R: Sì, le VPN IP private supportano il routing statico e il routing dinamico utilizzando BGP. Se il dispositivo gateway del cliente supporta il Border Gateway Protocol (BGP), specificare il routing dinamico quando si configura la connessione VPN sito-sito. Se il dispositivo gateway del cliente non supporta BGP, specificare il routing statico. Consigliamo di utilizzare dispositivi compatibili con BGP, quando disponibili, dato che il protocollo BGP offre controlli di rilevamento della vivacità solidi che possono aiutare il failover al secondo tunnel VPN se il primo tunnel si interrompe.

D: Qual è la connessione route-table del gateway Transit e il comportamento di propagazione per i collegamenti VPN IP privati?

R: La connessione route-table e il comportamento di propagazione per un collegamento VPN IP privato sono gli stessi di qualsiasi altro collegamento del gateway di transito alla VPN. È possibile associare un route-table del gateway Transit al collegamento VPN IP privato e propagare il route del collegamento VPN IP privato a qualsiasi route-table del gateway Transit.

D: Quale velocità di trasmissione effettiva posso ottenere con VPN IP private?

R: Proprio come le normali connessioni VPN sito-sito, ogni connessione VPN IP privata supporta 1,25 Gbps di larghezza di banda. È possibile utilizzare ECMP (Equal Cost Multi-path) su più connessioni VPN IP private per aumentare la larghezza di banda effettiva. Ad esempio, per inviare 10Gbps di traffico DX tramite una VPN IP privata, è possibile utilizzare 4 connessioni VPN IP private (4 connessioni x 2 tunnel x larghezza di banda 1.25 Gbps) con ECMP tra una coppia di gateway Transit e gateway del cliente.

D: Posso utilizzare il traffico ECMP su una VPN IP privata e connessioni VPN IP pubbliche?

R: No, non è possibile gestire il traffico ECMP tra connessioni VPN IP pubbliche e private. ECMP per VPN IP private funziona solo su connessioni VPN con indirizzi IP privati.

D: Cos'è la MTU (Maximum Transmission Unit, ovvero Unità massima di trasmissione) della VPN IP privata?

R: Le connessioni VPN IP private supportano 1500 byte di MTU.

D: Una VPN IP privata può essere associata a un account proprietario diverso dal proprietario dell'account gateway Transit?

R: No, sia il gateway di transito che le connessioni VPN sito-sito devono essere di proprietà dello stesso account AWS.

D: In quali regioni AWS è disponibile il servizio VPN sito-sito AWS e la funzionalità VPN IP privata?

R: Il servizio VPN sito-sito AWS è disponibile in tutte le regioni commerciali ad eccezione delle regioni AWS Asia Pacifico (Pechino) e Asia Pacifico (Ningsia). La funzione VPN IP privata è supportata in tutte le regioni AWS in cui è disponibile il servizio VPN sito-sito AWS.

Q: Per quale motivo dovrei usare Accelerated Site-to-Site VPN?

R: Le connessioni VPN sono soggette a disponibilità e prestazioni inconsistenti poiché il traffico attraversa più reti pubbliche su Internet prima di raggiungere l'endpoint VPN in AWS. Queste reti pubbliche possono essere congestionate. Ogni hop può introdurre rischi di disponibilità e prestazioni. Accelerated Site-to-Site VPN rende l'esperienza utente più coerente usando la rete globale a elevata disponibilità e priva di congestioni di AWS.

D: Come faccio a creare una Accelerated Site-to-Site VPN?

R: Quando crei una connessione VPN, imposta l'opzione "Abilita accelerazione" su "true".

D: Come faccio a scoprire se la mia connessione VPN esistente è una Accelerated Site-to-Site VPN?

R: Nella descrizione della tua connessione VPN, il valore "Abilita accelerazione" deve essere impostato su "true".

D: Come faccio a convertire la mia Site-to-Site VPN in una Accelerated Site-to-Site VPN?

R: Crea una nuova Site-To-Site VPN, aggiorna il dispositivo gateway del cliente in modo che si colleghi a questa nuova connessione VPN, quindi elimina la connessione VPN esistente. Verranno assegnati nuovi indirizzi IP dell'endpoint del tunnel poiché le VPN accelerate usano intervalli di indirizzi IP separati rispetto alle connessioni VPN non accelerate.

D: Accelerated Site-to-Site VPN è supportata sia per il gateway virtuale sia per AWS Transit Gateway?

R: Solo Transit Gateway supporta Accelerated Site-to-Site VPN. Deve essere specificato un Transit Gateway al momento della creazione della connessione VPN. L'endpoint VPN sul lato AWS viene creato sul Transit Gateway.

D: Una connessione Accelerated Site-to-Site VPN offre due tunnel per l'alta disponibilità?

R: Sì, ogni connessione VPN offre due tunnel per l'alta disponibilità.

D: Esistono differenze di protocollo tra tunnel Accelerated Site-to-Site VPN e non?

R: NAT-T è obbligatorio ed è abilitato come impostazione predefinita per le connessioni Accelerated Site-to-Site VPN. Oltre a ciò, i tunnel VPN accelerati e non accelerati supportano gli stessi protocolli di sicurezza IP (IPSec) e di scambio di chiavi Internet (IKE) e offrono anche la stessa larghezza di banda, opzioni di tunnel, opzioni di routing e tipi di autenticazione.

D: Una connessione Accelerated Site-to-Site VPN offre due zone di rete per l'alta disponibilità?

R: Sì, selezioniamo gli indirizzi di protocollo Internet (IP) globali di AWS Global Accelerator da zone di rete indipendenti per i due endpoint del tunnel.

D: La Site-to-Site VPN accelerata è un'opzione in AWS Global Accelerator?

R: No, Accelerated Site-to-Site VPN può essere creata solo tramite Site-to-Site VPN di AWS. Le Accelerated Site-to-Site VPN non possono essere create tramite la console o l'API di AWS Global Accelerator.

D: Posso utilizzare la VPN accelerata su interfacce virtuali AWS Direct Connect pubbliche?

R: No, Accelerated Site-to-Site VPN tramite interfacce virtuali Direct Connect pubbliche non è disponibile. Nella maggior parte dei casi non vi è alcun vantaggio di accelerazione nell'utilizzare Accelerated Site-to-Site VPN su Direct Connect pubblica.

D: In quali regioni AWS è disponibile Accelerated Site-to-Site VPN?

R: VPN sito-sito accelerata è attualmente disponibile in queste regioni AWS: Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), Stati Uniti orientali (Ohio), Stati Uniti orientali (Virginia settentrionale), Sud America (Sao Paulo), Medio Oriente (Bahrein), Europa (Stoccolma), Europa (Parigi), Europa (Milano), Europa (Londra), Europa (Irlanda), Europa (Francoforte), Canada (Centrale), Asia Pacifico (Tokyo), Asia Pacifico (Sydney), Asia Pacifico (Singapore), Asia Pacifico (Seul), Asia Pacifico (Mumbai), Asia Pacifico (Hong Kong), Africa (Città del Capo).

D: Quali log sono supportati per VPN sito-sito AWS?

R: I log di connessione di VPN sito-sito includono i dettagli sull'attività di creazione del tunnel IP Security (IPsec), comprese le negoziazioni IKE (Internet Key Exchange) e i messaggi del protocollo DPD (Dead Peer Detection). Questi log vengono esportati periodicamente a intervalli di 5 minuti e vengono forniti ai log di CloudWatch in base al miglior sforzo possibile.

D: I log di VPN sito-sito sono offerti per le connessioni VPN sia ai gateway di transito che ai gateway virtuali?

R: Sì, puoi abilitare i log di VPN sito-sito sia per le connessioni VPN basate sul gateway di transito sia per quelle basate sul gateway virtuale.

D: Posso abilitare i log di VPN sito-sito sulle mie connessioni VPN esistenti?

R: Sì, puoi abilitare i log di VPN sito-sito tramite le opzioni del tunnel durante la creazione o la modifica della connessione.

D: Cosa succede quando abilito i log di VPN sito-sito sulla mia connessione VPN esistente?

R: Quando abiliti i log di VPN sito-sito su una connessione VPN esistente utilizzando le opzioni di modifica del tunnel, la tua connettività sul tunnel viene interrotta per diversi minuti. Ogni connessione VPN offre due tunnel per l'alta disponibilità. Puoi abilitare la registrazione su un tunnel alla volta e solo il tunnel modificato sarà interessato. Per maggiori informazioni, consulta Sostituzioni degli endpoint del tunnel di VPN sito-sito nella Guida per l’utente di VPN sito-sito AWS.

D: Come faccio ad abilitare la connettività verso altre reti?

R: Puoi abilitare la connettività verso altre reti come Amazon VPC con peering, reti in locale tramite gateway virtuali o servizi AWS (ad es. S3), tramite endpoint, reti tramite AWS PrivateLink o altre risorse attraverso Internet gateway. Per abilitare la connettività, aggiungi una route verso la rete specifica nella tabella di routing di Client VPN, quindi aggiungi le regole di autorizzazione in modo da abilitare l'accesso alla rete specifica.

D: L'endpoint di Client VPN può appartenere a un account diverso rispetto a quello associato alla sottorete?

R: No, la sottorete associata deve essere nello stesso account dell'endpoint di Client VPN.

D: Posso accedere alle risorse in un VPC all'interno di una regione diversa rispetto a quella in cui è configurata la sessione TLS, usando un indirizzo IP privato?

R: Puoi eseguire questa operazione seguendo due passaggi. Il primo passaggio prevede la configurazione di una connessione peer tra più regioni fra il VPC di destinazione (nella regione diversa) e il VPC associato a Client VPN. Il secondo passaggio prevede l'aggiunta di un route e una regola di accesso per il VPC di destinazione nell'endpoint Client VPN. Gli utenti possono ora accedere alle risorse nel VPC di destinazione che si trova in una regione diversa dall'endpoint di Client VPN.

D: Quali protocolli di trasporto sono supportati da Client VPN?

R: Puoi scegliere tra TCP o UDP per la sessione VPN.

D: AWS Client VPN supporta split tunnel?

R: Sì. È possibile scegliere di creare un endpoint con tunnel split abilitato o disabilitato. Se in precedenza è stato creato un endpoint con tunnel split disabilitato, è possibile scegliere di modificarlo per abilitare il tunnel diviso. Se il tunnel split è abilitato, il traffico destinato ai percorsi configurati sull'endpoint verrà instradato tramite il tunnel VPN. Tutto il resto del traffico verrà instradato tramite l'interfaccia di rete locale. Se il tunnel split è disabilitato, tutto il traffico dal dispositivo passerà lungo il tunnel VPN.

D: Quali log sono supportati per AWS Client VPN?

R: Client VPN esporta il log delle connessioni in modalità best effort verso CloudWatch Logs. Questi log vengono esportati periodicamente, a intervalli di 15 minuti. I log di connessione contengono informazioni sulle richieste di connessione create e interrotte.

D: Client VPN supporta i log Amazon VPC Flow nell'endpoint?

R: No. Puoi utilizzare i log di Amazon VPC Flow nel VPC associato.

D: Posso monitorare le connessioni attive?

R: Sì, utilizzando l'interfaccia da riga di comando o la console, è possibile visualizzare le connessioni attive correnti per un endpoint e terminare le connessioni attive.

D: Posso eseguire il monitoraggio in base all'endpoint usando CloudWatch?

R: Sì. Utilizzando CloudWatch è possibile visualizzare i byte Ingress ed Egress e le connessioni attive per ciascun endpoint Client VPN.

D: In cosa consiste questa funzionalità?

R: Per ogni nuovo gateway virtuale, l'uso di Autonomous System Number (ASN) privati permette ai clienti di impostare l'ASN della sessione BGP lato Amazon per le VPN e le interfacce virtuali private di AWS Direct Connect.

D: Quali costi prevede questa funzionalità?

R: Questa funzionalità non prevede costi aggiuntivi.

D: In che modo è possibile configurare o assegnare un numero ASN da pubblicizzare come ASN lato Amazon?

R: È possibile configurare o assegnare un numero ASN da pubblicizzare come ASN lato Amazon durante la creazione di un nuovo gateway virtuale privato. Puoi creare un gateway virtuale mediante la console di VPC o una chiamata all'API EC2/CreateVpnGateway.

D: Quali numeri ASN assegnava Amazon prima che entrasse in funzione questa funzionalità?

R: Amazon assegnava i seguenti numeri ASN: 9059 in UE occidentale (Dublino), 17493 in Asia Pacifico (Singapore) e 10124 in Asia Pacifico (Tokyo). A tutte le altre regioni veniva assegnato il numero ASN 7224. Questi ASN sono noti come "ASN pubblici legacy".

D: È possibile utilizzare un qualsiasi numero ASN, pubblico o privato?

R: È possibile assegnare qualsiasi numero ASN privato al lato Amazon. Fino al 30 giugno 2018, è possibile assegnare uno degli "ASN pubblici legacy"; non è possibile assegnare altri numeri ASN pubblici. Dopo il 30 giugno 2018, Amazon fornirà il numero ASN 64512.

D: Perché non è possibile assegnare un numero ASN pubblico per la parte relativa ad Amazon di una sessione BGP?

R: Non è Amazon a convalidare la proprietà dei numeri ASN, pertanto limita i numeri ASN lato Amazon ai numeri privati. Il nostro obiettivo è proteggere i clienti dallo spoofing BGP.

D: Quali numeri ASN è possibile scegliere?

R: È possibile scegliere qualsiasi numero ASN privato. Gli intervalli per i numeri ASN privati a 16 bit includono quelli tra 64512 e 65534. È anche possibile fornire numeri ASN a 32 bit tra 4200000000 e 4294967294.

Se non viene scelto alcun numero ASN per il gateway virtuale, Amazon ne fornirà uno di default. Fino al 30 giugno 2018, Amazon continuerà a fornire il numero "ASN pubblico legacy" delle rispettive regioni. Dopo il 30 giugno 2018, Amazon fornirà il numero ASN 64512.

D: Cosa accade se viene assegnato un numero ASN pubblico per la parte relativa ad Amazon di una sessione BGP?

R: Al momento della creazione del gateway virtuale, verrà chiesto di inserire nuovamente un numero ASN privato, a meno che non si tratti del numero "ASN pubblico legacy" della regione.

D: Se non viene fornito un numero ASN per la parte relativa ad Amazon di una sessione BGP, quale numero ASN assegnerà Amazon?

R: Se non viene scelto alcun numero ASN per il gateway virtuale, Amazon ne fornirà uno. Fino al 30 giugno 2018, Amazon continuerà a fornire il numero "ASN pubblico legacy" delle rispettive regioni. Dopo il 30 giugno 2018, Amazon fornirà il numero ASN 64512.

D: Dove è possibile visualizzare il numero ASN lato Amazon?

R: È possibile visualizzare il numero ASN lato Amazon nella pagina del gateway virtuale nella console di VPC o richiamando l'API EC2/DescribeVpnGateways.

D: Se è disponibile un numero ASN pubblico, può essere utilizzato con un numero ASN privato lato AWS?

R: Sì, puoi configurare la sessione BGP lato Amazon con un numero ASN privato e il tuo lato con un numero ASN pubblico.

D: Dispongo di un'interfaccia virtuale privata già configurata e desidero impostare un numero ASN lato Amazon differente per la sessione BGP su un'interfaccia virtuale esistente. In che modo è possibile apportare questa modifica?

R: Sarà necessario creare un nuovo gateway virtuale con il numero ASN desiderato e creare una nuova interfaccia virtuale con tale gateway appena creato. Anche la configurazione del dispositivo dovrà essere modificata di conseguenza.

D: Dispongono di connessioni VPN già configurate e desidero modificarne il numero ASN lato Amazon per la sessione BGP di tali VPN. In che modo è possibile apportare questa modifica?

R: Sarà necessario creare un nuovo gateway virtuale con il numero ASN desiderato e ricreare le connessioni VPN tra i gateway del cliente e il nuovo gateway virtuale.

D: Dispongo già di un gateway virtuale e di un'interfaccia virtuale privata o una connessione VPN configurati con un numero ASN pubblico assegnato da Amazon, 7224. Se Amazon genera automaticamente il numero ASN per il nuovo gateway virtuale privato, quale numero ASN sarà assegnato lato Amazon?

R: Amazon assegnerà il numero 64512 lato Amazon al nuovo gateway virtuale.

D: Dispongo di un gateway virtuale e di un'interfaccia virtuale privata o una connessione VPN configurati con un numero ASN pubblico assegnato da Amazon. Desidero utilizzare lo stesso numero ASN pubblico assegnato da Amazon per una nuova interfaccia virtuale privata o una nuova connessione VPN. Come si fa?

R: È possibile configurare o assegnare un numero ASN da pubblicizzare come ASN lato Amazon durante la creazione di un nuovo gateway virtuale privato. Il gateway virtuale può essere creato utilizzando la console o una chiamata all'API EC2/CreateVpnGateway. Come menzionato in precedenza, fino al 30 giugno 2018, Amazon continuerà a fornire il numero "ASN pubblico legacy" delle rispettive regioni. Dopo il 30 giugno 2018, Amazon fornirà il numero ASN 64512.

D: Dispongo di un gateway virtuale e di un'interfaccia virtuale privata o una connessione VPN configurati con un numero ASN pubblico assegnato da Amazon, 7224. Se Amazon genera automaticamente il numero ASN per la nuova interfaccia virtuale privata o connessione VPN utilizzando lo stesso gateway virtuale, quale numero ASN sarà assegnato lato Amazon?

R: Amazon assegnerà alla nuova interfaccia virtuale o nuova connessione VPN il numero ASN 7224. Il numero ASN lato Amazon per la nuova interfaccia virtuale privata o connessione VPN viene ereditato dal gateway virtuale esistente ed è il numero ASN di default.

D: Desidero collegare diverse interfacce virtuali private a un singolo gateway virtuale. È possibile assegnare un diverso numero ASN lato Amazon per ciascuna di esse?

R: No, è possibile assegnare o configurare diversi numeri ASN lato Amazon per ciascun gateway virtuale, ma non per ciascuna interfaccia virtuale. Il numero ASN lato Amazon per le interfacce virtuali viene ereditato dal gateway virtuale collegato.

D: Desidero creare diverse connessioni VPN per un singolo gateway virtuale. È possibile assegnare un diverso numero ASN lato Amazon per ciascuna di esse?

R: No, è possibile assegnare o configurare diversi numeri ASN lato Amazon per ciascun gateway virtuale, non per ciascuna connessione VPN. Il numero ASN lato Amazon per le connessioni VPN viene ereditato dal gateway virtuale.

D: Dove è possibile selezionare un numero ASN personalizzato?

R: Al momento della creazione di un gateway virtuale nella console di VPC, deseleziona la casella che chiede se desideri ottenere un numero ASN della sessione BGP generato automaticamente da Amazon e indica un numero ASN privato per il lato Amazon della sessione BGP. Una volta configurato il gateway virtuale con un numero ASN lato Amazon, le interfacce private virtuali o le connessioni VPN create tramite il gateway utilizzeranno tale numero ASN.

D. Sto usando CloudHub. Sarà necessario aggiornare la configurazione in futuro?

R: No, non sarà necessario apportare alcuna modifica.

D: Desidero selezionare un numero ASN a 32 bit. Quali intervalli di ASN privati a 32 bit sono disponibili?

R: Sono supportati i numeri ASN a 32 bit compresi tra 4200000000 e 4294967294.

D: Una volta creato il gateway virtuale, è possibile modificare il numero ASN lato Amazon?

R: No, non è possibile modificare il numero ASN lato Amazon dopo la creazione del gateway. È possibile eliminare il gateway virtuale e ricrearne un nuovo con l'ASN desiderato.

D: È disponibile una nuova API per configurare o assegnare il numero ASN lato Amazon?

R: No. Per eseguire questa operazione, è possibile utilizzare la stessa API di sempre: EC2/CreateVpnGateway. Tuttavia, all'API è stato aggiunto il nuovo parametro amazonSideAsn.

D: È disponibile una nuova API per visualizzare il numero ASN lato Amazon?

R: No. Per eseguire questa operazione, è possibile utilizzare la stessa API di sempre: EC2/DescribeVpnGateway. Tuttavia, all'API è stato aggiunto il nuovo parametro amazonSideAsn.

D: Quali ASN posso utilizzare per configurare il mio gateway del cliente (CGW)?

R: si possono usare ASN nell'intervallo 1 - 2147483647 con le eccezioni annotate. Consulta la sezione opzioni di gateway del cliente per la tua connessione VPN sito-sito AWS della guida utente AWS VPN.   

D: Voglio usare ASN a 32 bit per il mio gateway del cliente. È supportato l’intervallo privato a 32 bit ASN?

R: Sì. Ricorda che l'ASN privato nell'intervallo (da 4200000000 a 4294967294) NON è attualmente supportato per la configurazione del gateway del cliente. Consulta la sezione Opzioni di gateway del cliente per la connessione VPN sito-sito AWS della guida per l'utente di AWS VPN.