本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Network-to-Amazon VPC 连接选项
本节提供将远程网络与您的 Amazon VPC 环境连接起来的设计模式。这些选项可用于通过将您的内部网络扩展到 AWS 云来将 AWS 资源与您现有的现场服务(例如监控、身份验证、安全、数据或其他系统)集成。此网络扩展还允许您的内部用户无缝连接到 AWS 上托管的资源,就像任何其他面向内部的资源一样。
为每个连接的网络使用非重叠的 IP 范围时,最好实现 VPC 与远程客户网络的连接。例如,如果您想将一个或多个 VPCs 连接到公司网络,请确保它们配置了唯一的无类域间路由 (CIDR) 范围。我们建议为每个 VPC 分配一个连续、不重叠的 CIDR 块。有关 Amazon VPC 路由和限制的更多信息,请参阅[亚马逊 VPC 常见问题解答](https://aws.amazon.com/vpc/faqs/)。
| 选项 | 使用场景 | 优点 | 限制 |
| --- | --- | --- | --- |
| [AWS Site-to-Site VPN](aws-site-to-site-vpn.md) | AWS 托管 IPsec VPN 通过互联网连接到单个 VPC | 重复使用现有的 VPN 设备和流程 重复使用现有的互联网连接 AWS 托管的高可用性 VPN 服务 支持静态路由或动态边界网关协议 (BGP) 对等和路由策略 | 网络延迟、可变性和可用性取决于互联网条件 您负责实现冗余和故障转移(如果需要) 远程设备必须支持单跳 BGP(利用 BGP 进行动态路由时) |
| [AWS Transit Gateway \$1 AW Site-to-Site S](aws-transit-gateway-vpn.md) | AWS 托管 IPsec VPN 通过互联网连接到多个区域路由器 VPCs | 与上一个选项相同 AWS 管理了高可用性和可扩展性的区域网络中心,最多可容纳 5,000 个附件 | 与上一个选项相同 |
| [AWS Direct Connect](aws-direct-connect.md) | 通过专线进行专用网络连接 | 更可预测的网络性能 降低带宽成本 支持 BGP 对等和路由策略 | 可能需要额外的电信和托管服务提供商关系或配置新的网络线路 |
| [AWS Direct Connect \$1 AWS Transit Gateway](aws-direct-connect-aws-transit-gateway.md) | 通过专线连接到多个区域路由器的专用网络连接 VPCs | 与上一个选项相同 AWS 管理了高可用性和可扩展性的区域网络中心,最多可容纳 5,000 个附件 | 与之前的选项相同 |
| [AWS Direct Connect \$1 AWS Site-to-Site VPN](aws-direct-connect-site-to-site-vpn.md) | IPsec 通过私人线路进行的 VPN 连接 | 更可预测的网络性能 降低带宽成本 支持 BGP 对等和路由策略 AWS Direct Connect 重复使用现有的 VPN 设备和流程 AWS 托管的高可用性 VPN 服务 在 VPN 连接上支持静态路由或动态边界网关协议 (BGP) 对等和路由策略 | 可能需要额外的电信和托管服务提供商关系或配置新的网络电路 您负责实现冗余和故障转移(如果需要) 远程设备必须支持单跳 BGP(利用 BGP 进行动态路由时) |
| [AWS Direct Connect AWS Transit Gateway \$1 AWS Site-to-Site VPN](aws-direct-connect-aws-transit-gateway-vpn.md) | IPsec 通过专线与区域路由器进行多个 VPN 连接 VPCs | 与之前的选项相同 AWS 管理了高可用性和可扩展性的区域网络中心,最多可容纳 5,000 个附件 | 与之前的选项相同 |
| [Site-to-Site VPN CloudHub](aws-vpn-cloudhub.md) | 以主连接或备份连接 hub-and-spoke模式连接远程分支机构 | 重复使用现有的互联网连接和 Site-to-Site VPN 连接 AWS 托管的高可用性 VPN 服务 支持 BGP 用于交换路由和路由优先级 | 网络延迟、可变性和可用性取决于互联网 用户管理的分支机构端点负责实现冗余和故障转移(如果需要) |
| [AWS Transit Gateway \$1 软件定义广域网解决方案](aws-transit-gateway-sd-wan.md) | 使用 AWS 主干网或互联网作为传输网络,将远程分支机构和办公室与软件定义的广域网连接起来。 | 支持更多的 SD-WAN 供应商、产品和协议 一些供应商解决方案已与 AWS 原生服务集成。 | 如果将 SD-WAN 设备放置在 Amazon VPC 中,则您有责任实现高可用性(高可用性)。 |
| [软件 VPN](software-vpn.md) | 通过互联网进行基于软件设备的 VPN 连接 | 支持更多的 VPN 供应商、产品和协议 完全由客户管理的解决方案 | 您负责为所有 VPN 端点实施 HA(高可用性)解决方案(如果需要) |
# AWS Site-to-Site VPN
Amazon VPC 提供了通过互联网在您的远程网络和 Amazon VPC 之间创建 VP IPsec N 连接的选项,如下图所示。
![\[该图显示了如何通过互联网在您的远程网络和 Amazon VPC 之间创建 VP IPsec N 连接。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/aws-managed-vpn.png)
如果您想利用 AWS 托管的 VPN 终端节点,该终端节点包括 VPN 连接的 AWS 端内置的自动冗余和故障转移,请考虑采用这种方法。
虚拟专用网关还支持并鼓励使用多个用户网关连接,以便您可以在 VPN 连接的自己端实现冗余和故障转移,如下图所示。
![\[该图显示了多个用户网关连接。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/redundant-aws-site-to-site-vpn-connections.png)
提供了动态和静态路由选项,使您的路由配置更加灵活。动态路由使用 BGP 对等互连在 AWS 和这些远程终端节点之间交换路由信息。借助动态路由,您还可以在 BGP 广告中指定路由优先级、策略和权重(指标),并影响您的网络与 AWS 之间的网络路径。请务必注意,使用 BGP 时, IPsec 和 BGP 会话必须在同一个用户网关设备上终止,因此它必须能够终止两者 IPsec 和 BGP 会话。
## 其他 资源
+ [AWS Site-to-Site VPN 用户指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [对客户网关设备的要求](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#CGRequirements)
+ [使用 Amazon VPC 测试的客户网关设备](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#DevicesTested)
# AWS Transit Gateway \$1 AW Site-to-Site S
[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 是一个 AWS 托管的高可用性和可扩展性的区域网络中转中心,用于互连 VPCs和客户网络。使用 Transit Gatewa [y VPN 附件的 AWS Tr](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpn-attachments.html) ansit Gateway \$1 IPsec VPN 提供了通过互联网在远程网络和 Transit Gateway 之间创建 VPN 连接的选项,如下图所示。
![\[该图显示了您的远程网络和 Transit Gateway 之间的托管 IPsec VPN 连接。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/transit-gateway-and-site-to-site-vpn.png)
如果您想利用 AWS 托管的 VPN 终端节点连接到同一地区的多个 VPN 终端节点,而无需支付额外费用,也无需管理多个 VPCs Amazon 的多个 IPsec VPN 连接,则可以考虑使用这种方法。 VPCs
AWS Transit Gateway 还支持并鼓励使用多个用户网关连接,这样您就可以在 VPN 连接的自己端实现冗余和故障转移,如下图所示。
![\[该图显示了冗余和故障转移。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/transit-gateway-and-redundant-vpn.png)
提供了动态和静态路由选项,使您可以灵活地在 Transit Gateway VPN IPsec 连接上进行路由配置。动态路由使用 BGP 对等互连在 AWS 和这些远程终端节点之间交换路由信息。借助动态路由,您还可以在 BGP 广告中指定路由优先级、策略和权重(指标),并影响您的网络与 AWS 之间的网络路径。请务必注意,使用 BGP 时, IPsec 和 BGP 会话必须在同一个用户网关设备上终止,因此它必须能够终止两者 IPsec 和 BGP 会话。
每个 VPN 连接可以实现 1.25 Gbps 的吞吐量和每秒 140,000 个数据包。在 Transit Gateway 中终止 VPN 连接时,您可以使用等价多路径 (ECMP) 路由,通过聚合多个 VPN 隧道来获得更高的 VPN 带宽。要使用 ECMP,您需要在 VPN 连接中配置动态路由 — 使用静态路由不支持 ECMP。
此外,您还可以在 AWS Site-to-Site VPN 连接中启用加速。加速 VPN 连接使用 [AWS Global Ac](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html) celerator 将流量从您的网络路由到离您的客户网关设备最近的 AWS 边缘站点。您可以使用此选项来避免在通过公共 Internet 路由流量时可能发生的网络中断。只有连接到 Transit Gateway 的 VPN 连接才支持加速,如下图所示:
![\[该图显示了连接到 Transit Gateway 的 VPN 连接的加速。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/accelerated-site-to-site-vpn.png)
最后,关于 IP 寻址、 AWS Transit Gateway 支持的 Site-to-Site VPN 连接 IPv4 和 IPv6 流量。以下规则适用:
+ IPv6 仅支持 VPN 隧道的内部 IP 地址。 AWS 端点的外部 IP 地址是公有 IPv4 地址。客户网关 IP 地址应为公共 IPv4 地址。
+ Site-to-SiteVPN 连接不能同时支持 IPv4 和 IPv6 流量。如果您的混合连接需要双栈通信,则应为 IPv4 和 IPv6 流量创建不同的 VPN 隧道。
## 其他 资源
+ [中转网关 VPN 附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpn-attachments.html)
+ [客户网关](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)
+ [使用 Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/working-with-site-site.html)
+ [加速 Site-to-Site VPN 连接](https://docs.aws.amazon.com/vpn/latest/s2svpn/accelerated-vpn.html)
# AWS Direct Connect
[AWS Direct Connect](https://aws.amazon.com/directconnect/)可以轻松建立从本地网络到一个或多个本地网络的专用连接 VPCs。 Direct Connect 可以降低网络成本、增加带宽吞吐量,并提供比基于 Internet 的连接更稳定的网络体验。它使用行业标准 802.1Q 通过私有 VLANs IP 地址连接亚马逊 VPC。使用[虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html) (VIFs) 进行配置,您可以配置三种不同的类型 VIFs: VLANs
+ **公共虚拟接口**-在 AWS 公共端点与您的数据中心、办公室或托管环境之间建立连接。
+ **Transit 虚拟接口**-在您的数据中心、办公室或托管环境之间 AWS Transit Gateway 建立私有连接。此连接选项将在本节中介绍[AWS Direct Connect \$1 AWS Transit Gateway](aws-direct-connect-aws-transit-gateway.md)。
+ **私有虚拟接口**-在 Amazon VPC 资源与您的数据中心、办公室或托管环境之间建立私有连接。私 VIFs 有化的用法如下图所示。
![\[该图显示了 AWS Direct Connect。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/aws-direct-connect.png)
您可以 AWS Direct Connect 通过在 Direct Connect 位置建立与 Di [rect Connect 位置的 AWS 设备的交叉连接来建立与 AWS 主干网的连接](https://aws.amazon.com/directconnect/locations/)。您可以从我们的任何 Direct Connect 网点(中国除外)访问任何 AWS 区域。如果您在某个地点没有设备,则可以从 [WAN 服务提供商](https://aws.amazon.com/directconnect/partners/)生态系统中进行选择,将您的 AWS Direct Connect 终端节点与远程网络集成。 AWS Direct Connect
使用 AWS Direct Connect,您有两种类型的连接:
+ **专用连接**,其中物理以太网连接与单个客户关联。您可以订购 1、10 或 100 Gbps 的端口速度。您可能需要与合作伙伴计划中的合作伙伴合作,以帮助您在 AWS Direct Connect 连接与数据中心、办公室或托管环境之间建立网络回路。 AWS Direct Connect
+ **托管连接**,其中物理以太网连接由 AWS Direct Connect 合作伙伴配置并与您共享。您可以订购介于 50 Mbps 和 10 Gbps 之间的端口速度。您与合作伙伴在他们建立的 Direct Connect 连接以及连接与您的数据中心、办公室或托管环境之间的网络电路 AWS Direct Connect 方面进行合作。
对于专用连接,您还可以使用链路聚合组 (LAG) 在单个 AWS Direct Connect 终端节点上聚合多个连接。您可以将它们视为单一的托管连接。您最多可以聚合四个 1 或 10-Gbps 的连接,以及最多两个 100-Gbps 的连接。
在中讨论高可用性时 AWS Direct Connect,我们建议使用其他 Direct Connect 连接。R [Direct Connect esiliency Toolkit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_toolkit.html) 为在数据中心、办公室或托管环境之间 AWS 建立高弹性的网络连接提供了指导。下图显示了高弹性连接选项的示例,其中两个连接在两个 Direct Connect 不同的 Direct Connect 位置终止。
![\[显示高弹性连接选项的示意图示例。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/redundant-aws-direct-connect.png)
AWS Direct Connect 默认情况下未加密。对于 10 或 100 Gbps 的专用连接,您可以使用 MAC 安全 (MACsec) 作为加密选项。对于 1 Gbps 或更低的连接,您可以在连接之上创建 VPN 隧道——此选项将在[AWS Direct Connect \$1 AWS Site-to-Site VPN](aws-direct-connect-site-to-site-vpn.md)和[AWS Direct Connect AWS Transit Gateway \$1 AWS Site-to-Site VPN](aws-direct-connect-aws-transit-gateway-vpn.md)章节中介绍。
其中一项重要资源 AWS Direct Connect 是 Direct Connect 网关,它是一种全球可用的资源,可以跨不同地区或 AWS 账户连接到多个 Amazon VPCs 或 Transit Gateway。该资源还允许您从一个私有 VIF 或中转 VIF 连接到任何参与的 VPC 或 Transit Gateway,从而减少 AWS Direct Connect 管理,如下图所示。
![\[该图显示了从一个私有 VIF 或中转 VIF 连接到任何参与的 VPC 或 Transit Gateway。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/aws-direct-connect-gateway.png)
关于 IP 寻址, AWS Direct Connect 虚拟接口同时支持双栈 IPv4 操作和 IPv6 BGP 会话。
+ 私有和传输 VIFs IPv4 配置使用 AWS 生成 IPv4 的地址或由您配置的地址。对于公共 VIFs IPv4 BGP 对等互连,您必须指定自己拥有的唯一公共 /31 IPv4 CIDR(或提交请求以分配 CIDR 块)。
+ 对于所有类型的 VIFs IPv6 BGP 对等互连,AWS 会分配一个 /125 CIDR,这是不可配置的。
## 其他 资源
+ [AWS Direct Connect 用户指南](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS Direct Connect 虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)
+ [AWS Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)
+ [AWS Direct Connect 弹性工具包](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_toolkit.html)
+ [AWS Direct Connect MAC 安全](https://docs.aws.amazon.com/directconnect/latest/UserGuide/MACsec.html)
+ [AWS Direct Connect 地点](https://aws.amazon.com/directconnect/locations/)
+ [AWS Direct Connect 配送合作伙伴](https://aws.amazon.com/directconnect/partners/)
# AWS Direct Connect \$1 AWS Transit Gateway
[AWS Direct Connect](https://aws.amazon.com/directconnect/)\$1 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html),使用与 Di [rect Connect 网关的传输 VIF 连接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-dcg-attachments.html),使您的网络能够通过专用连接连接多个区域集中式路由器。下图显示了连接到两台路由器的情况。
![\[显示连接到三台路由器的示意图。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/aws-direct-connect-and-aws-transit-gateway.png)
每个都 AWS Transit Gateway 是一个网络 VPCs 中转枢纽,可在同一区域内互连,将 Amazon VPC 路由配置整合到一个地方。该解决方案简化了 Amazon VPC 与您的网络之间通过私有连接的连接的管理,与基于互联网的连接相比,可以降低网络成本、增加带宽吞吐量并提供更稳定的网络体验。
## 其他 资源
+ [AWS Direct Connect 用户指南](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [中的链路聚合组 AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/lags.html)
+ 博客文章:[将低于 1 Gbps 的托管连接与 AWS Transit Gateway 集成](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-sub-1-gbps-hosted-connections-with-aws-transit-gateway/)
# AWS Direct Connect \$1 AWS Site-to-Site VPN
使用 [AWS Direct Connect](https://aws.amazon.com/directconnect/)\$1 [AWS Site-to-Site VPN](https://aws.amazon.com/vpn/site-to-site-vpn/),您可以将 AWS Direct Connect 连接与 AWS 托管的 VPN 解决方案相结合。 AWS Direct Connect pub VIFs lic 在您的网络和公有 AWS 资源(例如 AWS Site-to-Site VPN 终端节点)之间建立专用的网络连接。建立与服务的连接后,您可以创建与相应的 Amazon VPC 虚拟私有网关的 IPsec 连接。下图说明了此选项。
![\[该图显示了建立与服务的连接,然后创建 IPsec 连接。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/aws-direct-connect-and-aws-site-to-site-vpn.png)
该解决方案将 end-to-end安全 IPsec 连接的优势与低延迟和更高的带宽相结合,可提供比基于互联网的 VPN 连接更稳定的网络体验。 AWS Direct Connect 在公共 VIF 上与您的路由器 AWS Direct Connect 之间建立 BGP 连接会话。将在 VP IPsec N 隧道上的虚拟专用网关和您的路由器之间建立另一个 BGP 会话或静态路由。
## 其他 资源
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/)
+ [AWS Direct Connect 虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)
+ [AWS Site-to-Site VPN 用户指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
# AWS Direct Connect AWS Transit Gateway \$1 AWS Site-to-Site VPN
使用 [AWS Direct Connect](https://aws.amazon.com/directconnect/)\$1 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)\$1 [AWS Site-to-Site VPN](https://aws.amazon.com/vpn/site-to-site-vpn/),您可以通过私有专用连接在您的网络和 Amazon VPCs 的区域集中式路由器之间启用 end-to-end IPsec加密连接。
您可以先使用 AWS Direct Connect 公共 VIFs 在您的网络与公有 AWS 资源(例如 AWS Site-to-Site VPN 终端节点)之间建立专用的网络连接。建立此连接后,您可以创建 IPsec 与的连接 AWS Transit Gateway。下图说明了此选项。
![\[显示创建 IPsec 连接的示意图。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/aws-direct-connect-transit-gateway-site-to-site-vpn-public-vif.png)
![\[显示直接连接、Transit Gateway 和 Site-to-Site VPN 的示意图。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/aws-direct-connect-and-aws-transit-gateway-and-vpn-with-transit-vif.png)
当您想要简化管理并最大限度地降低与同一地区多个 Amazon VPCs 的 IPsec VPN 连接的成本时,可以考虑采用这种方法,同时通过基于互联网的 VPN 使用私有专用连接具有低延迟和一致的网络体验优势。使用公共或中转 VIF 在路由器 AWS Direct Connect 与您的路由器之间建立 BGP 会话。将在 VP IPsec N 隧道上与您的路由器之间 AWS Transit Gateway 建立另一个 BGP 会话或静态路由。
## 其他 资源
+ [AWS Direct Connect 虚拟接口](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)
+ [中转网关 VPN 附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpn-attachments.html)
+ [对客户网关设备的要求](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#CGRequirements)
+ [使用 Amazon VPC 测试的客户网关设备](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#DevicesTested)
+ [AWS Site-to-Site VPN — 私有 IP VPN 带有 AWS Direct Connect](https://docs.aws.amazon.com/vpn/latest/s2svpn/private-ip-dx.html)
# Site-to-Site VPN CloudHub
基于前面介绍的 AWS 托管 VPN 选项,您可以使用安全地从一个站点与另一个站点进行通信 Site-to-Site VPN CloudHub。在一个简单 hub-and-spoke模型上 Site-to-Site VPN CloudHub 运行,无论是否有 VPC,您都可以使用该模型。如果您有多个分支机构和现有的互联网连接,并且希望为这些远程办公室之间的主连接或备份连接实施一种方便、可能低成本的 hub-and-spoke模式,请使用这种方法。
下图显示了 Site-to-Site VPN CloudHub 架构,其中的线条表示远程站点之间的网络流量通过其 Site-to-Site VPN 连接进行路由。
![\[Site-to-Site VPN CloudHub architecture showing connections between AWS 云 and multiple customer networks via IPsec VPN.\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/aws-vpn-cloudhub.png)
* Site-to-Site VPN CloudHub *
Site-to-Site VPN CloudHub 使用带有多个客户网关的 Amazon VPC 虚拟私有网关,每个网关使用唯一的 BGP 自治系统编号 (ASNs)。远程站点的 IP 范围不得重叠。您的网关通过其 VPN 连接通告相应的路由(BGP 前缀)。这些路由通告会被接收并重新通告给每个 BGP 对等体,以便每个站点都可以向其他站点发送数据和从其他站点接收数据。
## 其他 资源
+ [使用 VPN 在站点之间提供安全的通信 CloudHub](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html)
+ [AWS Site-to-Site VPN 用户指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [对客户网关设备的要求](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#CGRequirements)
+ [使用 Amazon VPC 测试的客户网关设备](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#DevicesTested)
# AWS Transit Gateway \$1 软件定义广域网解决方案
软件定义的广域网 (SD-WANs) 用于通过不同的传输网络(例如使用公共互联网、MPLS 网络或 AWS 主干网络)连接您的数据中心、办公室或托管环境,根据网络条件、应用程序类型或服务质量 (QoS AWS Direct Connect) 要求,在最合适、最有效的路径上自动动态地管理流量。
如果您的网络拓扑很复杂,有多个数据中心、办公室或托管环境需要相互通信以及与 AWS 进行通信,请使用这种方法。SD-WAN 解决方案可以帮助您高效管理此类网络。
在谈论 SD-WAN 网络与 AWS 的连接时, AWS Transit Gateway 提供了一个托管的、高度可用且可扩展的区域网络传输中心,用于互连 VPCs 您的 SD-WAN 网络。[Transit Gateway 连接附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html)提供了一种将您的 SD-WAN 基础设施和设备与 AWS 连接的原生方式。这使得无需进行设置即可轻松将软件定义广域网扩展到 AWS。 IPsec VPNs
Transit Gateway 连接附件支持通用路由封装 (GRE),与 VPN 连接相比,带宽性能更高。它支持用于动态路由的边界网关协议 (BGP),并且无需配置静态路由。这简化了网络设计并降低了相关的运营成本。此外,它与 T [ransit Gateway Network Manager](https://docs.aws.amazon.com/vpc/latest/tgwnm/what-is-network-manager.html) 的集成通过全球网络拓扑、连接级别性能指标和遥测数据提供了高级可见性。
使用连接附件将 SD-WAN 网络集成到 Transit Gateway 时,有两种常见的模式。第一个是将 SD-WAN 网络的虚拟设备放在 AWS 内的 VPC 中。然后,您可以使用 VPC 附件作为虚拟设备和 Transit Gateway 之间的 Transit Gateway 连接连接的底层传输,如下图所示。
![\[显示使用 VPC 连接作为底层传输的示意图。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/sd-wan-connectivity-with-transit-gateway.png)
或者,您无需添加额外的基础设施即可将您的 SD-WAN 流量扩展到 AWS 并将其分段。您可以使用连接作为底层传输来创建 Transit Gateway AWS Direct Connect 连接附件,如下图所示。
![\[显示使用 VPC 连接作为底层传输的示意图。\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/sd-wan-connectivity-with-transit-gateway-2.png)
使用 Transit Gateway 连接附件时,需要注意一些注意事项:
+ 您可以在现有公交网关上创建连接附件。
+ 第三方设备必须配置 GRE 隧道,才能使用连接附件发送和接收来自 Transit Gateway 的流量。设备必须配置 BGP 才能进行动态路由更新和运行状况检查。
+ Connect 附件不支持静态路由。
+ Transit Gateway 连接附件支持每个 GRE 隧道的最大带宽为五 Gbps。通过在多个 Connect 对等体(GRE 隧道)上为同一 Connect 附件通告相同的前缀,可以实现高于 5 Gbps 的带宽。
+ 每个连接连接最多支持四个 Connect 对等体。
+ Transit Gateway 通过 BGP 的多协议扩展(MBGP 或 MP-BGP)连接附件支持 IPv6 和动态路由通告。
## 其他 资源
+ [中转网关对等连接挂载](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html)
+ [要求和注意事项](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [博客文章:使用 AWS Transit Gateway Connect 简化软件定义广域网连接](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-sd-wan-connectivity-with-aws-transit-gateway-connect/)
# 软件 VPN
Amazon VPC 允许您在远程网络和亚马逊 VPC 网络中运行的软件 VPN 设备之间创建 VPN 连接,从而灵活地全面管理 Amazon VPC 连接的两端。如果您必须管理 VPN 连接的两端,无论是出于合规目的,还是为了利用 Amazon VPC 的 VPN 解决方案目前不支持的网关设备,则建议使用此选项。下图显示了此选项。
![\[AWS 云 VPC with public and private subnets connecting to customer network via VPN.\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/aws-vpc-connectivity-options/images/software-site-to-site-vpn.png)
*软件 Site-to-Site VPN*
您可以从多个合作伙伴和开源社区组成的生态系统中进行选择,这些社区生产了在亚马逊上运行的软件 VPN 设备 EC2。除此选择外,您还必须负责管理软件设备,包括配置、补丁和升级。
请注意,此设计在网络设计中引入了潜在的单点故障,因为软件 VPN 设备运行在单个 Amazon EC2 实例上。有关更多信息,请参阅软件 VPN 实例的[附录 A:软件 VPN 实例的高级高可用架构](appendix-a-high-level-ha-architecture-for-software-vpn-instances.md)架构。
## 其他 资源
+ [中提供的 VPN 设备 AWS Marketplace](https://aws.amazon.com/marketplace/search/results/ref%3Dbrs_navgno_search_box?searchTerms=vpn)
+ [技术简介-将 Cisco ASA 连接到 VPC EC2 实例 (IPsec)](https://aws.amazon.com/articles/8800869755706543)
+ [技术简报-将多个 EC2 实例 VPCs 与实例连接 (IPsec)](https://aws.amazon.com/articles/5472675506466066)
+ [技术简报-将多个 EC2 实例 VPCs 与实例连接 (SSL)](https://aws.amazon.com/articles/0639686206802544)