本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Site-to-Site VPN 建筑场景
<a name="site-site-architectures"></a>

在以下方案中，您将创建具有一个或多个客户网关设备的多个 VPN 连接。

**使用同一客户网关设备的多个 VPN 连接**  
您可以使用相同的客户网关设备创建从您的本地位置到其他VPCs 位置的其他 VPN 连接。您可以为这些 VPN 连接中的每一个重复使用相同的客户网关 IP 地址。

**将多个客户网关设备连接到单个虚拟专用网关 (Site-to-Site VPN CloudHub)**  
您可以从多个客户网关建立多个 VPN 连接到单个虚拟私有网关。这使您可以将多个位置连接到 AWS VPN CloudHub。有关更多信息，请参阅 [使用 VPN 在 AWS Site-to-Site VPN 连接之间进行安全通信 CloudHub](VPN_CloudHub.md)。您在多个地理位置布置了客户网关设备后，各个设备应通告该位置专有的唯一 IP 地址集。

**使用第二个客户网关设备的冗余 VPN 连接**  
如需避免因您的客户网关设备不可用而造成连接中断，您可以使用第二个客户网关设置第二个 VPN 连接。有关更多信息，请参阅 [用于失效转移的冗余 AWS Site-to-Site VPN 连接](vpn-redundant-connection.md)。在单个位置建立了冗余客户网关设备后，两个设备均会通告相同的 IP 地址。

以下是常见的 Site-to-Site VPN 架构：
+ [单个和多个 VPN 连接](Examples.md)
+ [用于失效转移的冗余 AWS Site-to-Site VPN 连接](vpn-redundant-connection.md)
+ [使用 VPN 在 VPN 连接之间进行安全通信 CloudHub](VPN_CloudHub.md)

# AWS Site-to-Site VPN 单个和多个 VPN 连接示例
<a name="Examples"></a>

下图展示的是单一和多个 Site-to-Site VPN 连接。

**Topics**
+ [单一 Site-to-Site VPN 连接](#SingleVPN)
+ [使用中转网关的单一 Site-to-Site VPN 连接](#SingleVPN-transit-gateway)
+ [多个 Site-to-Site VPN 连接](#MultipleVPN)
+ [使用中转网关的多个站点到站点 VPN 连接](#MultipleVPN-transit-gateway)
+ [与 之间的 Site-to-Site VPN 连接Direct Connect](#vpn-direct-connect)
+ [与 Direct Connect 之间的私有 IP 站点到站点 VPN 连接](#private-ip-direct-connect)

## 单一 Site-to-Site VPN 连接
<a name="SingleVPN"></a>

VPC 具有挂载的虚拟私有网关，您的本地（远程）网络内包括一个客户网关设备，您必须配置该设备以启用 VPN 连接。必须更新 VPC 路由表，以使从 VPC 通向网络的任何流量可以转至虚拟私有网关。

![\[一个 VPC，有一个挂载的虚拟私有网关，且与本地网络之间具有 VPN 连接。\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)


有关设置此方案的步骤，请参阅[开始使用 AWS Site-to-Site VPN](SetUpVPNConnections.md)。

## 使用中转网关的单一 Site-to-Site VPN 连接
<a name="SingleVPN-transit-gateway"></a>

VPC 具有挂载的中转网关，您的本地（远程）网络内包括一个客户网关设备，您必须配置该设备以启用 VPN 连接。必须更新 VPC 路由表，以使从 VPC 通向网络的任何流量可以转至中转网关。

![\[使用中转网关的单一 Site-to-Site VPN 连接。\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)


有关设置此方案的步骤，请参阅[开始使用 AWS Site-to-Site VPN](SetUpVPNConnections.md)。

## 多个 Site-to-Site VPN 连接
<a name="MultipleVPN"></a>

VPC 具有附加的虚拟私有网关，并且您有多个 Site-to-Site VPN 连接连到多个本地位置。您可以设置路由，以使从您的 VPC 通向您的网络的数据流可以被路由到虚拟专用网关中。

![\[多个 Site-to-Site VPN 布局\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/branch-offices-vgw.png)


当您创建到单个 VPC 的多个 Site-to-Site VPN 连接时，您可以配置第二个客户网关，以创建到同一外部地点的冗余连接。有关更多信息，请参阅 [用于失效转移的冗余 AWS Site-to-Site VPN 连接](vpn-redundant-connection.md)。

您还可以使用此方案创建与多个地理位置的站点到站点 VPN 连接，并提供各个站点之间的安全通信。有关更多信息，请参阅 [使用 VPN 在 AWS Site-to-Site VPN 连接之间进行安全通信 CloudHub](VPN_CloudHub.md)。

## 使用中转网关的多个站点到站点 VPN 连接
<a name="MultipleVPN-transit-gateway"></a>

VPC 具有附加的中转网关，并且您有多个 Site-to-Site VPN 连接连到多个本地位置。您可以设置路由，以使从 VPC 发往您的网络的任何流量都路由到中转网关中。

![\[使用中转网关的多个站点到站点 VPN 连接\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/branch-offices-tgw.png)


当您创建到单个中转网关的多个 Site-to-Site VPN 连接时，您可以配置第二个客户网关，以创建到同一外部地点的冗余连接。

您还可以使用此方案创建与多个地理位置的站点到站点 VPN 连接，并提供各个站点之间的安全通信。

## 与 之间的 Site-to-Site VPN 连接Direct Connect
<a name="vpn-direct-connect"></a>

VPC 具有附加的虚拟私有网关，并通过 连接到您的本地（远程）网络AWS Direct Connect 您可以配置 Direct Connect 公有虚拟接口，以便通过虚拟私有网关在您的网络与公有 AWS 资源之间建立专用网络连接。您可以设置路由，以使从 VPC 通向您的网络的任何流量都可路由到虚拟私有网关和 Direct Connect 连接。

![\[与 之间的 Site-to-Site VPN 连接Direct Connect\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/vpn-direct-connect.png)


当 Direct Connect 和 VPN 连接在同一个虚拟私有网关上设置时，添加或删除对象可能会导致虚拟私有网关进入“正在连接”状态。这表示正在对内部路由进行更改，该更改将在 Direct Connect 和 VPN 连接之间切换，以最大限度地减少中断和数据包丢失。此操作完成后，虚拟私有网关将返回到“已附加”状态。

## 与 Direct Connect 之间的私有 IP 站点到站点 VPN 连接
<a name="private-ip-direct-connect"></a>

使用私有 IP 站点到站点 VPN，您可以加密本地网络和 AWS 之间的 Direct Connect 流量，而无需使用公有 IP 地址。Direct Connect 上的私有 IP VPN 可确保 AWS 和本地网络之间的流量既安全又是私有的，并可让客户遵守法规和安全要求。

![\[与 Direct Connect 之间的私有 IP 站点到站点 VPN 连接\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/private-ip-dx.png)


有关更多信息，请参阅以下博客文章：[AWS Site-to-Site VPN 私有 IP VPN 简介](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-private-ip-vpns/)。

# 使用 VPN 在 AWS Site-to-Site VPN 连接之间进行安全通信 CloudHub
<a name="VPN_CloudHub"></a>

如果您有多个 AWS Site-to-Site VPN 连接，则可以使用 AWS VPN 在站点之间提供安全的通信 CloudHub。这可使您的站点彼此进行通信，而不只是与 VPC 中的资源进行通信。VPN 的 CloudHub 运行 hub-and-spoke模式很简单，无论是否有 VPC，您都可以使用。如果您有多个分支机构和现有的互联网连接，并且希望为这些站点之间的主连接或备用连接实施一种方便、可能低成本的 hub-and-spoke模式，则此设计非常适合。

## 概述
<a name="vpn-cloudhub-overview"></a>

下图显示了 VPN CloudHub 架构。虚线显示远程站点之间通过 VPN 连接路由的网络流量。站点的 IP 范围不得重叠。

![\[CloudHub 架构图\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/AWS_VPN_CloudHub-diagram.png)


对于此场景，请执行以下操作：

1. 创建单个虚拟私有网关。

1. 创建多个客户网关，每个网关都使用该网关的公有 IP 地址。您必须为每个客户网关使用唯一的边界网关协议 (BGP) 自治系统编号 (ASN)。

1. 创建从每个客户网关到公共虚拟专用网关的动态路由 Site-to-Site VPN 连接。

1. 配置客户网关设备以向虚拟私有网关通告特定于站点的前缀（例如 10.0.0.0/24、10.0.1.0/24）。路由通告会被每个 BGP 对等体接收并重新通告，使每个站点都可以向其他站点发送或接受数据。这是使用 VPN 连接的 VPN 配置文件中的网络语句完成的 Site-to-Site。根据您使用的路由类型，网络声明可能会有稍许不同。

1. 在子网路由表中配置路由以使 VPC 中的实例能够与站点通信。有关更多信息，请参阅 [（虚拟私有网关）在路由表中启用路由传播](SetUpVPNConnections.md#vpn-configure-routing)。您可以在路由表中配置聚合路由（例如，10.0.0.0/16）。在客户网关设备和虚拟私有网关之间使用更具体的前缀。

使用虚拟专用网关 Direct Connect 连接的站点也可以成为 AWS VPN 的一部分 CloudHub。例如，您在纽约的公司总部可以与 VPC 建立 Direct Connect 连接，而您的分支机构可以使用 Site-to-Site VPN 连接到 VPC。洛杉矶和迈阿密的分支机构可以相互发送和接收数据，也可以与您的公司总部发送和接收数据，所有这些都使用 AWS VPN CloudHub。

## 定价
<a name="vpn-cloudhub-pricing"></a>

要使用 AWS VPN CloudHub，您需要支付典型的亚马逊 V Site-to-Site PC VPN 连接费率。您需要按小时承担 VPN 与虚拟专用网关的连接费用。当您使用 AWS VPN 将数据从一个站点发送到另一个站点时 CloudHub，将数据从您的站点发送到虚拟专用网关是免费的。对于从虚拟私有网关转继到您的端点的数据，您仅需支付标准 AWS 数据传输费用即可。

例如，如果您在洛杉矶有一个站点，在纽约有一个站点，并且两个站点都与虚拟专用网关有 Site-to-Site VPN连接，则您需要为每个 Site-to-Site VPN 连接支付每小时费率（因此，如果费率为每小时 0.05 美元，则总共为每小时 0.10 美元）。您还需要为通过每个 Site-to-Site VPN 连接从洛杉矶发送到纽约（反之亦然）的所有数据支付标准 AWS 数据传输费率。通过 Site-to-Site VPN 连接发送到虚拟专用网关的网络流量是免费的，但是通过 Site-to-Site VPN 连接从虚拟专用网关发送到终端节点的网络流量按标准 AWS 数据传输费率计费。

有关更多信息，请参阅 [Site-to-Site VPN 连接定价](https://aws.amazon.com/vpn/pricing/)。

# 用于失效转移的冗余 AWS Site-to-Site VPN 连接
<a name="vpn-redundant-connection"></a>

为避免因您的客户网关设备不可用而造成连接中断，您可通过添加第二个客户网关设备，为您的 VPC 和虚拟私有网关设置第二个 Site-to-Site VPN 连接。通过使用冗余 VPN 连接和客户网关设备，您可以在对其中一个设备进行维护时，保证数据流量可以继续流经第二个 VPN 连接。

下图演示了两个 VPN 连接。每个 VPN 连接都有其自己的隧道和其自己的客户网关。

![\[通过冗余 VPN 连接，连接到同一本地网络的两个客户网关。\]](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/Multiple_Gateways_diagram.png)


对于此场景，请执行以下操作：
+ 通过使用相同的虚拟私有网关并创建新的客户网关来设置第二个 Site-to-Site VPN 连接。第二个 Site-to-Site VPN 连接的客户网关 IP 地址必须可以公开访问。
+ 配置第二个客户网关设备。两个设备都应向虚拟私有网关通告相同的 IP 范围。我们使用 BGP 路由确定流量的路径。如果一个客户网关设备发生故障，则虚拟私有网关会将所有流量定向到正常工作的客户网关设备。

动态路由的 Site-to-Site VPN 连接使用边界网关协议（BGP）在您的客户网关和虚拟私有网关之间交换路由信息。静态路由的 Site-to-Site VPN 连接要求您输入在您这一端的客户网关的远程网络静态路由。通告 BGP 和静态输入的路由信息可以帮助两端的网关在出现故障时判断可用隧道，进而重新路由流量。我们建议您配置您的网络，使其使用 BGP 提供的路由信息 (若适用) 以选择可用路径。精确配置取决于您的网络架构。

有关创建和配置客户网关以及 Site-to-Site VPN 连接的更多信息，请参阅[开始使用 AWS Site-to-Site VPN](SetUpVPNConnections.md)。