本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 的規則和最佳實務 AWS Client VPN
<a name="what-is-best-practices"></a>

下列各節說明使用 的規則和最佳實務 AWS Client VPN：

**Topics**
+ [網路和頻寬需求](#bp-nw)
+ [子網路和 VPC 組態](#bp-subnet)
+ [身分驗證和安全性](#bp-auth)
+ [連線和 DNS 需求](#bp-dns)
+ [限制](#bp-limits)

## 網路和頻寬需求
<a name="bp-nw"></a>
+ AWS Client VPN 是一種全受管服務，可自動擴展以適應額外的使用者連線和頻寬需求。每個使用者連線的基準頻寬上限為 50 Mbps。

  您透過 Client VPN 端點連線的實際頻寬可能會因多種因素而有所不同。這些因素包括封包大小、流量合成 (TCP/UDP 混合）、中繼網路上的網路政策 （成形或限流）、網際網路條件、應用程式特定需求，以及並行使用者連線的總數。如果您達到最大頻寬限制，您可以透過 AWS Support 請求增加頻寬。
+ 用戶端 CIDR 範圍與相關聯子網路所在的 VPC 的本機 CIDR 不可重疊，或與手動新增到 Client VPN 端點路由表的任何路由不可重疊。
+ 用戶端 CIDR 範圍必須有至少為 /22 且不可大於 /12 的區塊大小。
+ 用戶端 CIDR 範圍中的一部分位址用於支援 Client VPN 端點的可用性模型，而且無法指派給用戶端。因此，建議您指派 CIDR 區塊，其中包含您計劃在 Client VPN 端點上支援同時連線數目上限所需 IP 地址數目兩倍的 IP 地址數目。
+ 建立 Client VPN 端點之後，就無法變更用戶端 CIDR 範圍。
+ Client VPN 支援 IPv4, IPv6 和雙堆疊 (IPv4 和 IPv6) 流量。如需 IPv6 支援的詳細資訊，請參閱[的 IPv6 考量 AWS Client VPNIPv6 考量因素](ipv6-considerations.md)。
+ 
  + 來源 IP 地址會轉譯為 Client VPN 端點的 IP 地址。
  + 來自用戶端的原始來源連接埠號碼保持不變。
+ Client VPN 只有在並行使用者連線到相同的目標時，才會執行連接埠地址轉譯 (PAT)。連接埠轉譯是自動且必要的，可透過相同的 VPN 端點支援多個同時連線。
  + 對於來源 IP 轉譯，來源 IP 地址會轉譯為 Client VPN 的 IP 地址。
  + 對於單一用戶端連線的來源連接埠轉譯，原始來源連接埠號碼可能保持不變。
  + 對於連接到相同目的地 （相同目標 IP 地址和連接埠） 的多個用戶端的來源連接埠轉譯，Client VPN 會執行連接埠轉譯，以確保唯一連線。

  例如，當兩個用戶端用戶端 1 和用戶端 2 透過 Client VPN 端點連線至相同的目的地伺服器和連接埠時：
  + 用戶端 1 的原始連接埠，例如`9999`，可能翻譯為不同的連接埠，例如連接埠 `4306`。
  + 用戶端 2 的原始連接埠 - 例如 `9999` - 可能會轉譯為唯一的連接埠不同的格式用戶端 1 - 例如連接埠 `63922`。
+ 對於 IPv6 流量，Client VPN 不會執行網路位址轉譯 (NAT)。這可增強對連線使用者的 IPv6 地址的可見性。

## 子網路和 VPC 組態
<a name="bp-subnet"></a>
+ 與 Client VPN 端點相關聯的子網路必須位於同一個 VPC 中。
+ 您不能將來自相同可用區域的多個子網路與一個 Client VPN 端點建立關聯。
+ Client VPN 端點不支援專用租用 VPC 中的子網路關聯。
+ 對於 IPv6 或雙堆疊流量，關聯的子網路必須具有 IPv6 或雙堆疊 CIDR 範圍。
+ 對於雙堆疊端點，您無法為每個可用區域建立多個子網路的關聯。

## 身分驗證和安全性
<a name="bp-auth"></a>
+ 使用交互身分驗證進行身分驗證的用戶端無法使用自助式入口網站。
+ 如果您的 Active Directory 停用多重要素驗證 (MFA)，則使用者密碼不能使用下列格式。

  ```
  SCRV1:base64_encoded_string:base64_encoded_string
  ```
+ AWS Client VPN 中使用的憑證必須遵循 [RFC 5280：網際網路 X.509 公有金鑰基礎設施憑證和憑證撤銷清單 (CRL) 設定檔](https://datatracker.ietf.org/doc/html/rfc5280)，包括備註第 4.2 節中指定的憑證延伸。
+ 具有特殊字元的使用者名稱可能會導致連線錯誤。
+ 使用者名稱長度上限為 1024 個位元組。使用者名稱較長的連線將被拒絕。

## 連線和 DNS 需求
<a name="bp-dns"></a>
+ 我們不建議使用 IP 位址連線到 Client VPN 端點。由於 Client VPN 是受管服務，因此您偶爾會看到 DNS 名稱解析出的 IP 地址發生變更。此外，您也會在 CloudTrail 日誌中看到 Client VPN 網路界面已刪除並重新建立。建議使用提供的 DNS 名稱來連線到 Client VPN 端點。
+ Client VPN 服務需要用戶端連線的 IP 地址符合 Client VPN 端點 DNS 名稱解析的 IP。換句話說，如果您為 Client VPN 端點設定自訂 DNS 記錄，然後將流量轉送到端點 DNS 名稱解析的實際 IP 地址，則此設定無法使用最近 AWS 提供的用戶端。已新增此規則來緩解伺服器 IP 攻擊，如下所述：[TunnelCrack](https://tunnelcrack.mathyvanhoef.com/)。
+ 您可以使用 AWS 提供的用戶端連線到多個並行 DNS 工作階段。不過，若要讓名稱解析正常運作，所有連線的 DNS 伺服器都應有同步記錄。
+ Client VPN 服務要求用戶端裝置的本機區域網路 (LAN) IP 地址範圍在下列標準私有 IP 地址範圍內：`10.0.0.0/8`、`192.168.0.0/16`、 `172.16.0.0/12`或 `169.254.0.0/16`。如果偵測到用戶端 LAN 地址範圍超出上述範圍，則 Client VPN 端點會自動將 OpenVPN 指令 "redirect-gateway block-local" 推送至用戶端，強制將所有 LAN 流量傳入 VPN。因此，如果您在 VPN 連線期間需要 LAN 存取，建議您為 LAN 使用上面列出的傳統地址範圍。強制執行此規則是為了降低本機網路攻擊的機會，如下所述：[TunnelCrack](https://tunnelcrack.mathyvanhoef.com/)。
+ 在 Windows 中，使用完整通道端點時，無論端點的 IP 地址類型為何 (IPv4 IPv6 或雙堆疊），都會強制所有 DNS 流量通過通道。若要讓 DNS 正常運作，必須在通道內設定和連線 DNS 伺服器。

## 限制
<a name="bp-limits"></a>
+ 使用 AWS Client VPN 桌面應用程式時，目前不支援 IP 轉送。其他用戶端支援 IP 轉送。
+ Client VPN 不支援在 AWS Managed Microsoft AD中使用多區域複寫功能。Client VPN 端點必須與 AWS Managed Microsoft AD 資源位於相同的區域。
+ 如果有多個使用者已登入作業系統，則無法從電腦建立 VPN 連線。
+ IPv6 用戶端不支援Client-to-client用戶端通訊。如果 IPv6 用戶端嘗試與其他 IPv6 用戶端通訊，則會捨棄流量。
+ IPv6 和雙堆疊端點需要使用者裝置和網際網路服務提供者 (ISPs) 支援對應的 IP 組態。