AWS Site-to-Site VPN: cómo ajustar el ancho de banda sin reiniciar túneles

Introducción

Hasta mayo de 2026, las organizaciones que usaban AWS Site-to-Site VPN para conectar sus redes on-premise con VPCs o Direct Connect debían recrear completamente un túnel cuando necesitaban ajustar su ancho de banda. El proceso implicaba:

• Eliminar el túnel existente
• Crear uno nuevo con la nueva capacidad
• Generar nuevas direcciones IP para los extremos
• Actualizar firewalls, routers y dispositivos VPN locales para reflejar los cambios

Este flujo no solo interrumpía el tráfico, sino que exigía coordinación con equipos de red, seguridad y aplicaciones para minimizar el downtime. Con el anuncio de AWS, ahora es posible modificar el ancho de banda de un túnel existente entre dos opciones predefinidas —standard (hasta 1.25 Gbps) y large (hasta 5 Gbps)—, sin afectar la conectividad activa ni requerir reconfiguración de los equipos locales.

Qué ocurrió

El 15 de mayo de 2026, AWS anunció soporte nativo para modificar el ancho de banda de túneles Site-to-Site VPN en conexiones ya creadas. La funcionalidad se implementó a través de una actualización del back-end de AWS Transit Gateway Network Manager y el API de EC2, permitiendo cambios en caliente sin interrupción del tráfico.

La novedad clave es la preservación de parámetros críticos:

• Direcciones IP públicas de ambos extremos
• Bloques CIDR asociados
• Claves precompartidas (PSK)
• Políticas de enrutamiento y reglas de seguridad

Esta capacidad se habilitó inicialmente en 27 regiones globales, incluyendo zonas sensibles como AWS GovCloud (US-West) y regiones con alta demanda como US East (N. Virginia), Europa (Frankfurt, España) y Asia-Pacífico (Tokyo, Mumbai). La lista completa de regiones soportadas está disponible en la documentación oficial.

Desde el punto de vista técnico, el cambio se implementó mediante:

• Un nuevo campo en el objeto ModifyVpnTunnelOptions del API de EC2 (versión 2016-11-15)
• Una modificación en el plano de control de AWS Transit Gateway para propagar los cambios sin reiniciar el plano de datos
• Validación automática de ancho de banda disponible en la región destino antes de aplicar el cambio

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Para equipos de DevOps y SRE

El impacto operativo es significativo:

• Reducción de ventanas de mantenimiento: antes, un ajuste de ancho de banda podía requerir 30 a 60 minutos de coordinación y downtime planeado; ahora se realiza en segundos.
• Automatización simplificada: los equipos pueden implementar scripts que ajusten el ancho de banda según métricas de tráfico (por ejemplo, usando CloudWatch y Lambda para escalar túneles en horas pico).
• Menor riesgo de error humano: al no recrear túneles, se eliminan pasos críticos como la actualización de firewalls o rutas BGP, reduciendo la superficie de fallos.

Ejemplo concreto: un equipo que opera una VPN estándar en US East (N. Virginia) con tráfico pico de 1.1 Gbps puede migrar a large sin interrumpir servicios, usando un comando como:

aws ec2 modify-vpn-tunnel-options \
  --vpn-connection-id vpn-1234567890abcdef0 \
  --tunnel-options T0.TunnelInsideCidr=169.254.100.0/30,T0.TunnelInsideCidr=169.254.101.0/30,T1.PreSharedKey=mi-clave-actualizada \
  --tunnel-options-specification Tunnel1Options=[{TunnelOptions={TunnelInsideCidr=169.254.100.0/30}] \
  --tunnel-id 0

Para equipos de Seguridad

Los equipos de seguridad deben considerar:

• Nuevos vectores de ataque: aunque el ancho de banda no expone directamente una vulnerabilidad, un túnel con mayor capacidad podría ser objetivo de inundación (DDoS) si no se ajustan los límites de ancho de banda en firewalls o WAFs locales.
• Auditoría: AWS guarda logs de los cambios en CloudTrail bajo el evento ModifyVpnTunnelOptions. Se recomienda configurar alarmas para detectar modificaciones no autorizadas.
• Cumplimiento: si el túnel opera bajo estándares como PCI DSS o HIPAA, verificar que el nuevo ancho de banda cumpla con los requisitos de ancho de banda mínimo/maximó de la normativa.

Para equipos de Cloud y Networking

El cambio afecta directamente a arquitecturas híbridas:

• AWS Direct Connect: los túneles VPN sobre Direct Connect pueden ajustarse dinámicamente, permitiendo escalar ancho de banda sin recrear la conexión física.
• Transit Gateway: al no requerir recreación, se simplifica la gestión de enrutamiento entre VPCs y redes on-premise.
• Regiones con alta latencia: en zonas como São Paulo o Cape Town, donde la latencia a veces limita el ancho de banda efectivo, poder ajustar la capacidad sin downtime es clave para operaciones 24/7.

Detalles técnicos

Limitaciones y restricciones

AWS impone las siguientes restricciones técnicas al modificar el ancho de banda:

• Solo dos opciones de ancho de banda:

– Large: hasta 5 Gbps (4 Gbps efectivos)

• Compatibilidad con protocolos:

– El túnel debe usar AES-256-GCM o AES-128-GCM para large.

• Regiones soportadas: las 27 regiones anunciadas inicialmente, pero no todas soportan ancho de banda large al momento del lanzamiento. Por ejemplo, en AWS GovCloud (US-West) solo está disponible standard.

Requisitos previos

1. Versión mínima del API de EC2:

– Verificar con:

     aws ec2 describe-availability-zones --region us-east-1
     

1. Configuración del túnel:

– Si el túnel usa BGP, el ASN debe ser compatible con la capacidad large (AWS recomienda ASN privados entre 64512 y 65534).

1. Ancho de banda disponible:

Proceso interno de AWS

Cuando se ejecuta ModifyVpnTunnelOptions, AWS realiza internamente:

1. Validación de capacidad: verifica que la región soporte el nuevo ancho de banda y que el túnel no supere límites de ancho de banda simultáneo.
2. Negociación IKEv2: si el túnel usa IKEv1, AWS fuerza una reconexión automática (esto puede generar una interrupción de 1-2 segundos).
3. Propagación de cambios: el nuevo ancho de banda se aplica en el plano de datos sin reiniciar el túnel, usando un mecanismo de «hot swap» en el hardware de AWS (basado en chips Nitro con soporte para actualizaciones en caliente).
4. Actualización de métricas: CloudWatch refleja el cambio en menos de 30 segundos.

Ejemplo de migración real

Un caso de uso típico es una empresa que migra de una VPN estándar a large durante una campaña de ventas:

# Configuración inicial (standard)
VpnConnection:
  Id: vpn-1234567890abcdef0
  TunnelOptions:
    - TunnelInsideCidr: 169.254.100.0/30
      PreSharedKey: clave-secreta-1
      IkeVersions: [ikev2]
      Phase1EncryptionAlgorithms: [AES256-GCM-16]
      Phase2EncryptionAlgorithms: [AES256-GCM-16]
    - TunnelInsideCidr: 169.254.101.0/30
      PreSharedKey: clave-secreta-2
      IkeVersions: [ikev2]

# Comando para migrar a large
aws ec2 modify-vpn-tunnel-options \
  --vpn-connection-id vpn-1234567890abcdef0 \
  --tunnel-options-specification Tunnel1Options=[{TunnelOptions={TunnelInsideCidr=169.254.100.0/30,Phase1EncryptionAlgorithms=[AES256-GCM-16],Phase2EncryptionAlgorithms=[AES256-GCM-16]}}] \
  --tunnel-options-specification Tunnel2Options=[{TunnelOptions={TunnelInsideCidr=169.254.101.0/30,Phase1EncryptionAlgorithms=[AES256-GCM-16],Phase2EncryptionAlgorithms=[AES256-GCM-16]}}] \
  --region us-east-1

Qué deberían hacer los administradores y equipos técnicos

Paso 1: Verificar compatibilidad regional y de configuración

1. Confirmar que la región donde opera la VPN está en la lista de soportadas:

   aws ec2 describe-regions --region us-east-1 --query "Regions[?RegionName=='ap-southeast-1'].RegionName" --output text
   

1. Verificar que el túnel no esté en un estado transitorio:

   aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0 \
     --query "VpnConnections[0].State" \
     --output text
   

1. Validar que el túnel use IKEv2:

   aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0 \
     --query "VpnConnections[0].Options.TunnelOptions[0].IkeVersions" \
     --output text
   

Paso 2: Probar en un entorno no productivo

1. Crear una réplica del túnel en staging:

   aws ec2 create-vpn-connection \
     --type ipsec.1 \
     --customer-gateway-id cgw-1234567890abcdef0 \
     --vpn-gateway-id vgw-1234567890abcdef0 \
     --options "TunnelOptions=[{TunnelInsideCidr=169.254.200.0/30,PreSharedKey=prueba-clave}]" \
     --region us-east-1
   

1. Aplicar el cambio en staging:

   aws ec2 modify-vpn-tunnel-options \
     --vpn-connection-id vpn-staging-abc \
     --tunnel-options-specification Tunnel1Options=[{TunnelOptions={TunnelInsideCidr=169.254.200.0/30}}] \
     --region us-east-1
   

1. Validar conectividad con un ping extendido:

   ping -c 10000 -i 0.1 169.254.200.1
   

Paso 3: Planificar la migración en producción

1. Ventana de mantenimiento: aunque el cambio es en caliente, AWS recomienda hacerlo en una ventana de 5-10 minutos para validar métricas post-cambio.
2. Comunicación interna: notificar a los equipos de seguridad, aplicaciones y redes sobre el cambio de ancho de banda (aunque no afecte IPs o PSKs).
3. Rollback plan: en caso de fallo, AWS permite revertir el cambio en segundos usando:

   aws ec2 modify-vpn-tunnel-options \
     --vpn-connection-id vpn-1234567890abcdef0 \
     --tunnel-options-specification Tunnel1Options=[{TunnelOptions={TunnelInsideCidr=169.254.100.0/30}}] \
     --region us-east-1
   

Paso 4: Monitorear y ajustar

1. Métricas clave en CloudWatch:

– TunnelState (debería permanecer UP durante el cambio)

– IkeSaEstablished (debería ser true en ambos túneles)

1. Ajustar firewalls locales: si el ancho de banda large permite más tráfico, verificar que los firewalls on-premise (Palo Alto, Fortinet, Cisco ASA) no limiten el ancho de banda en el puerto UDP 500/4500.

1. Escalar automáticamente: integrar con Lambda para ajustar el ancho de banda según métricas de tráfico:

   import boto3
   import json

   def lambda_handler(event, context):
       cloudwatch = boto3.client('cloudwatch')
       ec2 = boto3.client('ec2')

       # Obtener métrica de ancho de banda actual
       response = cloudwatch.get_metric_statistics(
           Namespace='AWS/VPN',
           MetricName='TunnelDataOut',
           Dimensions=[{'Name': 'VpnConnectionId', 'Value': 'vpn-1234567890abcdef0'}],
           StartTime=datetime.utcnow() - timedelta(minutes=5),
           EndTime=datetime.utcnow(),
           Period=300,
           Statistics=['Average']
       )
       avg_bandwidth = response['Datapoints'][0]['Average']

       # Si supera 1.1 Gbps, migrar a large
       if avg_bandwidth > 1100000000:  # 1.1 Gbps en bytes
           ec2.modify_vpn_tunnel_options(
               VpnConnectionId='vpn-1234567890abcdef0',
               TunnelOptionsSpecification=[
                   {
                       'TunnelOptions': {
                           'TunnelInsideCidr': '169.254.100.0/30'
                       }
                   }
               ]
           )
   

Conclusión

La capacidad de modificar el ancho de banda de túneles Site-to-Site VPN sin recrear las conexiones es un avance operativo clave para equipos de DevOps, SRE y networking. Elimina fricciones históricas como la generación de nuevas IPs, la actualización de firewalls y la coordinación con equipos externos, permitiendo ajustes dinámicos en arquitecturas híbridas con cero downtime.

Para equipos que operan con cargas de trabajo variables (por ejemplo, retail en Black Friday o SaaS con picos regionales), esta funcionalidad reduce la complejidad operativa y mejora la resiliencia. Sin embargo, es crítico:

• Validar compatibilidad con IKEv2 antes de migrar
• Probar el cambio en entornos staging
• Monitorear métricas post-cambio para evitar cuellos de botella en firewalls locales

AWS ya soporta esta funcionalidad en la mayoría de sus regiones globales, y aunque inicialmente limita el ancho de banda a dos opciones, es un primer paso hacia una gestión más flexible de túneles VPN en la nube.

FIN