本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 VPN CloudHub 保護 AWS Site-to-Site VPN 連線之間的通訊
<a name="VPN_CloudHub"></a>

如果您有多個 AWS Site-to-Site VPN 連線，您可以使用 AWS VPN CloudHub 在網站之間提供安全通訊。這可讓您的站台彼此通訊，不只與 VPC 中的資源通訊。VPN CloudHub 在簡易的軸輻式模型中操作，可搭配或不搭配 VPC 使用。如果您有多個分公司及網際網路連線的客戶，且想要為這些站台的主要或備份連線實作方便、盡可能低成本的軸輻式模型，則此設計適合您。

## 概觀
<a name="vpn-cloudhub-overview"></a>

下圖顯示 VPN CloudHub 架構。虛線顯示透過 VPN 連線路由之遠端站台間的網路流量。這些站台絕不能有重疊的 IP 範圍。

![\[CloudHub 架構圖\]](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/AWS_VPN_CloudHub-diagram.png)


對於此案例，請執行下列動作：

1. 建立單一虛擬私有閘道。

1. 建立多個客戶閘道，每個閘道都具有閘道的公有 IP 地址。針對每個客戶閘道，您必須使用唯一的邊界閘道協定 (BGP) 自發系統編號 (ASN)。

1. 建立從每個客戶閘道到通用虛擬私有閘道的動態路由站台對站台 VPN 連接。

1. 將客戶閘道裝置設定為向虛擬私有閘道公告網站特定字首 (例如 10.0.0.0/24、10.0.1.0/24)。這些路由公告在收到後會重新公告到每個 BGP 對等，讓每個站台彼此傳送及接收資料。在站台對站台 VPN 連接的 VPN 組態檔案中使用網路陳述式，即可完成此作業。網路陳述式各有些微差異，視您使用的路由器類型而定。

1. 在子網路路由表中設定路由，讓 VPC 中的執行個體能與您的網站進行通訊。如需詳細資訊，請參閱[(虛擬私有閘道) 在路由表中啟用路由傳播](SetUpVPNConnections.md#vpn-configure-routing)。您可以在路由表中設定彙總路由 (例如 10.0.0.0/16)。在客戶閘道裝置及虛擬私有閘道之間使用更具體的字首。

使用虛擬私有閘道 Direct Connect 連線的站台也可以成為 AWS VPN CloudHub 的一部分。例如，您位於紐約的企業總部有 VPC 的 Direct Connect 連線，而分公司可使用 Site-to-Site VPN 連接到 VPC。洛杉磯和邁阿密的分支辦公室可以使用 AWS VPN CloudHub，彼此和公司總部傳送和接收資料。

## 定價
<a name="vpn-cloudhub-pricing"></a>

若要使用 AWS VPN CloudHub，您需要支付一般的 Amazon VPC Site-to-Site連接費率。每個 VPN 連線到虛擬私有閘道的每小時，都會向您收取連線費用。當您使用 AWS VPN CloudHub 從一個網站將資料傳送至另一個網站時，從網站將資料傳送至虛擬私有閘道無需付費。您只需支付將資料從虛擬私有閘道轉送到您端點的標準 AWS 資料傳輸費用。

例如，如果您在洛杉磯有一個站台，在紐約有第二個站台，而這兩個站台都有連往虛擬私有閘道的站台對站台 VPN 連接，則每條站台對站台 VPN 連接要按每小時費率支付費用 (所以，如果費率是每小時 .05 USD，總計為每小時 .10 USD)。您也需要為從洛杉磯傳送到紐約 （反之亦然） 的所有資料支付標準 AWS 資料傳輸率，這些資料會周遊每個Site-to-Site連接。透過Site-to-Site連接傳送至虛擬私有閘道的網路流量是免費的，但透過Site-to-Site連接從虛擬私有閘道傳送至端點的網路流量會依標準 AWS 資料傳輸率計費。

如需詳細資訊，請參閱 [站台對站台 VPN 連接定價](https://aws.amazon.com/vpn/pricing/)。