本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Site-to-Site VPN 单一和多个 VPN 连接示例
<a name="Examples"></a>

下图说明了单个和多个 Site-to-Site VPN 连接。

**Topics**
+ [单个 Site-to-Site VPN 连接](#SingleVPN)
+ [与传输网关的单个 Site-to-Site VPN 连接](#SingleVPN-transit-gateway)
+ [多个 Site-to-Site VPN 连接](#MultipleVPN)
+ [通过传输网关进行多个 Site-to-Site VPN 连接](#MultipleVPN-transit-gateway)
+ [Site-to-Site 与 VPN 的连接 Direct Connect](#vpn-direct-connect)
+ [私有 IP Site-to-Site VPN 连接与 Direct Connect](#private-ip-direct-connect)

## 单个 Site-to-Site VPN 连接
<a name="SingleVPN"></a>

VPC 具有挂载的虚拟私有网关，您的本地（远程）网络内包括一个客户网关设备，您必须配置该设备以启用 VPN 连接。必须更新 VPC 路由表，以使从 VPC 通向网络的任何流量可以转至虚拟私有网关。

![一个 VPC，有一个挂载的虚拟私有网关，且与本地网络之间具有 VPN 连接。](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)


有关设置此方案的步骤，请参阅[开始使用 AWS Site-to-Site VPN](SetUpVPNConnections.md)。

## 与传输网关的单个 Site-to-Site VPN 连接
<a name="SingleVPN-transit-gateway"></a>

VPC 具有挂载的中转网关，您的本地（远程）网络内包括一个客户网关设备，您必须配置该设备以启用 VPN 连接。必须更新 VPC 路由表，以使从 VPC 通向网络的任何流量可以转至中转网关。

![与传输网关的单个 Site-to-Site VPN 连接。](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)


有关设置此方案的步骤，请参阅[开始使用 AWS Site-to-Site VPN](SetUpVPNConnections.md)。

## 多个 Site-to-Site VPN 连接
<a name="MultipleVPN"></a>

VPC 有一个连接的虚拟专用网关，并且您有多个 Site-to-Site VPN 连接到多个本地位置。您可以设置路由，以使从您的 VPC 通向您的网络的数据流可以被路由到虚拟专用网关中。

![多个 Site-to-Site VPN 布局](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/branch-offices-vgw.png)


当您创建到单个 Site-to-Site VPC 的多个 VPN 连接时，您可以配置第二个客户网关以创建到同一外部位置的冗余连接。有关更多信息，请参阅 [用于失效转移的冗余 AWS Site-to-Site VPN 连接](vpn-redundant-connection.md)。

您还可以使用此场景创建到多个地理位置的 Site-to-Site VPN 连接，并在站点之间提供安全的通信。有关更多信息，请参阅 [使用 VPN 在 AWS Site-to-Site VPN 连接之间进行安全通信 CloudHub](VPN_CloudHub.md)。

## 通过传输网关进行多个 Site-to-Site VPN 连接
<a name="MultipleVPN-transit-gateway"></a>

VPC 有连接的传输网关，并且您有多个 Site-to-Site VPN 连接到多个本地位置。您可以设置路由，以使从 VPC 发往您的网络的任何流量都路由到中转网关中。

![通过传输网关进行多个 Site-to-Site VPN 连接](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/branch-offices-tgw.png)


当您创建与单个中转网关的多个 Site-to-Site VPN 连接时，您可以配置第二个客户网关以创建到同一外部位置的冗余连接。

您还可以使用此场景创建到多个地理位置的 Site-to-Site VPN 连接，并在站点之间提供安全的通信。

## Site-to-Site 与 VPN 的连接 Direct Connect
<a name="vpn-direct-connect"></a>

VPC 已连接虚拟专用网关，并通过连接到您的本地（远程）网络 AWS Direct Connect。您可以配置 Direct Connect 公共虚拟接口，通过虚拟专用网关在您的网络与公共 AWS 资源之间建立专用的网络连接。您可以设置路由，以便所有来自您网络的 VPC 流量都路由到虚拟私有网关和 Direct Connect 连接。

![Site-to-Site 与 VPN 的连接 Direct Connect](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/vpn-direct-connect.png)


在同一个虚拟专用网关上同时设置 Direct Connect 和 VPN 连接时，添加或删除对象可能会导致虚拟专用网关进入 “正在连接” 状态。这表示正在对内部路由进行更改，该更改将在 Direct Connect 和 VPN 连接之间切换，以最大限度地减少中断和数据包丢失。此操作完成后，虚拟私有网关将返回到“已附加”状态。

## 私有 IP Site-to-Site VPN 连接与 Direct Connect
<a name="private-ip-direct-connect"></a>

使用私有 IP Site-to-Site VPN，您 AWS 无需使用公有 IP 地址即可加密本地网络之间的 Direct Connect 流量。Private IP VPN Direct Connect 可确保 AWS 和本地网络之间的流量既安全又私密，从而使客户能够遵守监管和安全规定。

![私有 IP Site-to-Site VPN 连接与 Direct Connect](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/private-ip-dx.png)


有关选择正确的 VPN 解决方案的指导，请参阅[选择正确的 AWS VPN 解决方案：决策框架](https://aws.amazon.com/blogs/networking-and-content-delivery/selecting-the-right-aws-vpn-solution-a-decision-framework/)。

有关更多信息，请参阅以下博客文章：[AWS Site-to-Site VPN 私有 IP VPN 简介](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-private-ip-vpns/)。