本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Network-to-Amazon VPC 連線選項
本節提供將遠端網路與您的 Amazon VPC 環境連線的設計模式。這些選項有助於透過將內部網路擴展到 AWS 雲端,將 AWS 資源與您現有的現場服務 (例如監控、身分驗證、安全性、資料或其他系統) 整合。此網路擴充功能也可讓您的內部使用者無縫連線到 AWS 上託管的資源,就像任何其他內部面向的資源一樣。
對要連線的每個網路使用非重疊 IP 範圍時,最適合實現遠端客戶網路的 VPC 連線。例如,如果您想要將一或多個 VPCs 連線到您的公司網路,請確定它們已設定唯一的無類別網域間路由 (CIDR) 範圍。我們建議為每個 VPC 配置單一、連續、不重疊的 CIDR 區塊。如需 Amazon VPC 路由和限制條件的其他資訊,請參閱 [Amazon VPC 常見問答集](https://aws.amazon.com/vpc/faqs/)。
| 選項 | 使用案例 | 優點 | 限制 |
| --- | --- | --- | --- |
| [AWS Site-to-Site VPN](aws-site-to-site-vpn.md) | AWS 受管 IPsec VPN 透過網際網路連線至個別 VPC | 重複使用現有的 VPN 設備和程序 重複使用現有的網際網路連線 AWS 受管高可用性 VPN 服務 支援靜態路由或動態邊界閘道協定 (BGP) 對等和路由政策 | 網路延遲、變異性和可用性取決於網際網路條件 您負責實作備援和容錯移轉 (如果需要) 遠端裝置必須支援單一躍點 BGP (在利用 BGP 進行動態路由時) |
| [AWS Transit Gateway \$1 AWS Site-to-Site VPN](aws-transit-gateway-vpn.md) | AWS 受管 IPsec VPN 透過網際網路連線至多個 VPCs 的區域路由器 | 與上一個選項相同 AWS 受管的高可用性和可擴展性區域網路中樞,最多可連接 5,000 個附件 | 與上一個選項相同 |
| [AWS Direct Connect](aws-direct-connect.md) | 透過私有線路的專用網路連線 | 更可預測的網路效能 降低頻寬成本 支援 BGP 對等和路由政策 | 可能需要佈建額外的電信和託管供應商關係或新的網路線路 |
| [AWS Direct Connect \$1 AWS Transit Gateway](aws-direct-connect-aws-transit-gateway.md) | 透過私有線路的專用網路連線至多個 VPCs 的區域路由器 | 與上一個選項相同 AWS 受管的高可用性和可擴展性區域網路中樞,最多可連接 5,000 個附件 | 與上一個選項相同 |
| [AWS Direct Connect \$1 AWS Site-to-Site VPN](aws-direct-connect-site-to-site-vpn.md) | 透過私有線路的 IPsec VPN 連接 | 更可預測的網路效能 降低頻寬成本 支援 上的 BGP 對等和路由政策 AWS Direct Connect 重複使用現有的 VPN 設備和程序 AWS 受管高可用性 VPN 服務 支援 VPN 連線上的靜態路由或動態邊界閘道協定 (BGP) 對等和路由政策 | 可能需要佈建額外的電信和託管供應商關係或新的網路線路 您負責實作備援和容錯移轉 (如果需要) 遠端裝置必須支援單一躍點 BGP (在利用 BGP 進行動態路由時) |
| [AWS Direct Connect + AWS Transit Gateway \$1 AWS Site-to-Site VPN](aws-direct-connect-aws-transit-gateway-vpn.md) | IPsec VPN 透過私有線路連線至多個 VPCs 的區域路由器 | 與上一個選項相同 AWS 受管的高可用性和可擴展性區域網路中樞,最多可連接 5,000 個附件 | 與上一個選項相同 |
| [Site-to-Site VPN CloudHub](aws-vpn-cloudhub.md) | 在hub-and-spoke式模型中連接遠端分支辦公室,以進行主要或備份連線 | 重複使用現有的網際網路連線 Site-to-Site VPN AWS 受管高可用性 VPN 服務 支援 BGP 交換路由和路由優先順序 | 網路延遲、變異性和可用性取決於網際網路 使用者受管分支辦公室端點負責實作備援和容錯移轉 (如果需要) |
| [AWS Transit Gateway \$1 SD-WAN 解決方案](aws-transit-gateway-sd-wan.md) | 使用 AWS 骨幹或網際網路做為傳輸網路,以軟體定義的廣域網路連接遠端分支和辦公室。 | 支援更廣泛的 SD-WAN 廠商、產品和通訊協定 有些廠商解決方案與 AWS 原生服務整合。 | 如果 SD-WAN 設備放置在 Amazon VPC 中,則您需負責實作這些設備的 HA (高可用性)。 |
| [軟體 VPN](software-vpn.md) | 透過網際網路的軟體設備型 VPN 連線 | 支援更廣泛的 VPN 廠商、產品和通訊協定 完全客戶受管的解決方案 | 您負責為所有 VPN 端點 (如果需要) 實作 HA (高可用性) 解決方案 |
# AWS Site-to-Site VPN
Amazon VPC 提供透過網際網路在遠端網路和 Amazon VPC 之間建立 IPsec VPN 連線的選項,如下圖所示。
![\[圖表顯示如何在遠端網路與 Amazon VPC 之間透過網際網路建立 IPsec VPN 連線。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/aws-managed-vpn.png)
當您想要利用 AWS 受管 VPN 端點,其中包含內建於 VPN 連線 AWS 端的自動備援和容錯移轉時,請考慮採用此方法。
虛擬私有閘道也支援並鼓勵多個使用者閘道連線,因此您可以在 VPN 連線的 端實作備援和容錯移轉,如下圖所示。
![\[顯示多個使用者閘道連線的圖表。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/redundant-aws-site-to-site-vpn-connections.png)
動態和靜態路由選項都提供,讓您靈活地進行路由組態。動態路由使用 BGP 對等互連,在 AWS 和這些遠端端點之間交換路由資訊。透過動態路由,您也可以在 BGP 公告中指定路由優先順序、政策和權重 (指標),並影響網路和 AWS 之間的網路路徑。請務必注意,當您使用 BGP 時,IPsec 和 BGP 工作階段都必須在相同的使用者閘道裝置上終止,因此必須能夠同時終止 IPsec 和 BGP 工作階段。
## 其他資源
+ [AWS Site-to-Site VPN 使用者指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [客戶閘道裝置的需求](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#CGRequirements)
+ [使用 Amazon VPC 測試的客戶閘道裝置](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#DevicesTested)
# AWS Transit Gateway \$1 AWS Site-to-Site VPN
[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 是 AWS 受管的高可用性和可擴展性區域網路傳輸中樞,用於互連 VPCs和客戶網路。AWS Transit Gateway \$1 VPN 使用 [Transit Gateway VPN 連接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpn-attachments.html),提供在遠端網路與透過網際網路的 Transit Gateway 之間建立 IPsec VPN 連線的選項,如下圖所示。
![\[顯示遠端網路與傳輸閘道之間受管 IPsec VPN 連線的圖表。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/transit-gateway-and-site-to-site-vpn.png)
當您想要利用 AWS 受管 VPN 端點連線至相同區域中VPCs 時,請考慮使用此方法,而無須額外成本和管理多個 Amazon VPCs 的多個 IPsec VPN 連線。
AWS Transit Gateway 也支援並鼓勵多個使用者閘道連線,因此您可以在 VPN 連線的 端實作備援和容錯移轉,如下圖所示。
![\[顯示備援和容錯移轉的圖表。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/transit-gateway-and-redundant-vpn.png)
動態和靜態路由選項都提供,讓您在 Transit Gateway VPN IPsec 連接上的路由組態中具有彈性。動態路由使用 BGP 對等互連,在 AWS 和這些遠端端點之間交換路由資訊。透過動態路由,您也可以在 BGP 公告中指定路由優先順序、政策和權重 (指標),並影響網路和 AWS 之間的網路路徑。請務必注意,當您使用 BGP 時,IPsec 和 BGP 工作階段都必須在相同的使用者閘道裝置上終止,因此必須能夠同時終止 IPsec 和 BGP 工作階段。
每個 VPN 連線,您可以達到 1.25 Gbps 的輸送量和每秒 140,000 個封包。在傳輸閘道中終止 VPN 連線時,您可以使用等於成本多路徑 (ECMP) 路由,透過彙總多個 VPN 通道來取得更高的 VPN 頻寬。若要使用 ECMP,您需要在 VPN 連線中設定動態路由 – 不支援使用靜態路由的 ECMP。
此外,您可以在 AWS Site-to-Site VPN 連線中啟用加速。加速的 VPN 連接使用 [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html) 將流量從您的網路路由到最接近您客戶閘道裝置的 AWS 節點。您可以使用此選項來避免流量透過公有網際網路路由時可能發生的網路中斷。只有連接到 Transit Gateway 的 VPN 連線才支援加速,如下圖所示:
![\[圖表顯示連接至 Transit Gateway 的 VPN 連線加速。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/accelerated-site-to-site-vpn.png)
最後,關於 IP 定址, AWS Transit Gateway 上的Site-to-Site連線支援 IPv4 和 IPv6 流量。適用的規定如下:
+ 只有 VPN 通道的內部 IP 地址才支援 IPv6。 AWS 端點的外部 IP 地址是公有 IPv4 地址。客戶閘道 IP 地址應為公有 IPv4 地址。
+ 站台對站台 VPN 連接不能同時支援 IPv4 和 IPv6 流量。如果您的混合連線需要雙堆疊通訊,您應該為 IPv4 和 IPv6 流量建立不同的 VPN 通道。
## 其他資源
+ [傳輸閘道 VPN 連接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpn-attachments.html)
+ [ 客戶閘道](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)
+ [使用Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/working-with-site-site.html)
+ [加速Site-to-Site連接](https://docs.aws.amazon.com/vpn/latest/s2svpn/accelerated-vpn.html)
# AWS Direct Connect
[AWS Direct Connect](https://aws.amazon.com/directconnect/) 可讓您輕鬆地從內部部署網路建立與一或多個 VPCs專用連線。 Direct Connect 可以降低網路成本、增加頻寬輸送量,並提供比網際網路連線更一致的網路體驗。它使用業界標準的 802.1Q VLANs,使用私有 IP 地址連線至 Amazon VPC。VLANs 是使用[虛擬介面](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html) (VIFs設定,您可以設定三種不同類型的 VIFs:
+ **公有虛擬介面** - 建立 AWS 公有端點與資料中心、辦公室或主機代管環境之間的連線。
+ **傳輸虛擬介面** - 在 AWS Transit Gateway 與資料中心、辦公室或主機代管環境之間建立私有連線。此連線選項涵蓋於 區段[AWS Direct Connect \$1 AWS Transit Gateway](aws-direct-connect-aws-transit-gateway.md)。
+ **私有虛擬介面** - 在 Amazon VPC 資源與資料中心、辦公室或主機代管環境之間建立私有連線。下圖顯示私有 VIFs 的使用。
![\[顯示 AWS Direct Connect 的圖表。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/aws-direct-connect.png)
您可以使用 建立與 [Direct Connect 位置](https://aws.amazon.com/directconnect/locations/)中 AWS 裝置的交叉連線, AWS Direct Connect 以建立 AWS 與骨幹的連線。您可以從我們的任何 Direct Connect 位置 (中國除外) 存取任何 AWS 區域。如果您在某個位置沒有設備,您可以從 [WAN 服務供應商](https://aws.amazon.com/directconnect/partners/)的生態系統中進行選擇,以將 AWS Direct Connect 端點整合到與遠端網路的 AWS Direct Connect 位置。
使用 時 AWS Direct Connect,您有兩種連線類型:
+ **專用連線**,其中實體乙太網路連線與單一客戶相關聯。您可以訂購 1、10 或 100 Gbps 的連接埠速度。您可能需要與 合作夥伴計劃中的 AWS Direct Connect 合作夥伴合作,以協助您在 AWS Direct Connect 連線與資料中心、辦公室或主機代管環境之間建立網路線路。
+ **託管連線**,其中實體乙太網路連線是由 AWS Direct Connect 合作夥伴佈建並與您共用。您可以訂購介於 50 Mbps 和 10 Gbps 之間的連接埠速度。您在合作夥伴建立的 Direct Connect 連線和 AWS Direct Connect 連線與資料中心、辦公室或主機代管環境之間的網路電路中,都與合作夥伴合作。
對於專用連線,您也可以使用連結彙總群組 (LAG),在單一 AWS Direct Connect 端點彙總多個連線。您可以將它們視為單一受管連線。您最多可以彙總四個 1 或 10-Gbps 連線,以及最多兩個 100-Gbps 連線。
在 中討論高可用性時 AWS Direct Connect,建議使用其他 Direct Connect 連線。[Direct Connect 彈性工具組](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_toolkit.html)提供在 AWS 與資料中心、辦公室或主機代管環境之間建立高度彈性網路連線的指引。下圖顯示高彈性連線選項的範例,其中兩個 Direct Connect 連線終止於兩個不同的 Direct Connect 位置。
![\[顯示高彈性連線選項的圖表範例。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/redundant-aws-direct-connect.png)
AWS Direct Connect 預設不會加密。對於 10 或 100 Gbps 的專用連線,您可以使用 MAC 安全性 (MACsec) 作為加密選項。對於 1 Gbps 或以下的連線,您可以在連線上方建立 VPN 通道 – 此選項涵蓋在 [AWS Direct Connect \$1 AWS Site-to-Site VPN](aws-direct-connect-site-to-site-vpn.md)和 [AWS Direct Connect + AWS Transit Gateway \$1 AWS Site-to-Site VPN](aws-direct-connect-aws-transit-gateway-vpn.md)區段中。
中的一個重要資源 AWS Direct Connect 是 Direct Connect 閘道,這是全球可用的資源,可跨不同區域或 AWS 帳戶啟用與多個 Amazon VPCs 或 Transit Gateway 的連線。此資源也可讓您從一個私有 VIF 或傳輸 VIF 連線到任何參與的 VPC 或 Transit Gateway,減少 AWS Direct Connect 管理,如下圖所示。
![\[圖表顯示從一個私有 VIF 或傳輸 VIF 連線至任何參與 VPC 或傳輸閘道。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/aws-direct-connect-gateway.png)
關於 IP 定址, AWS Direct Connect 虛擬介面支援 IPv4 和 IPv6 BGP 工作階段進行雙堆疊操作。
+ 私有和傳輸 VIFs IPv4 組態會使用 AWS 產生的 IPv4 地址或您設定的地址。對於公有 VIFs IPv4 BGP 對等互連,您必須指定您擁有的唯一公有 /31 IPv4 CIDR (或提交請求以指派 CIDR 區塊)。
+ 對於所有類型的 VIFs IPv6 BGP 對等互連,AWS 會指派 /125 CIDR,這是無法設定的。
## 其他資源
+ [AWS Direct Connect 使用者指南](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS Direct Connect 虛擬介面](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)
+ [AWS Direct Connect 閘道](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)
+ [AWS Direct Connect 彈性工具組](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_toolkit.html)
+ [AWS Direct Connect MAC 安全性](https://docs.aws.amazon.com/directconnect/latest/UserGuide/MACsec.html)
+ [AWS Direct Connect 位置](https://aws.amazon.com/directconnect/locations/)
+ [AWS Direct Connect 交付合作夥伴](https://aws.amazon.com/directconnect/partners/)
# AWS Direct Connect \$1 AWS Transit Gateway
[AWS Direct Connect](https://aws.amazon.com/directconnect/) \$1 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)使用 Direct [Connect 閘道的傳輸 VIF 連接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-dcg-attachments.html),讓您的網路能夠透過私有專用連線連接多個區域集中式路由器。下圖顯示連線至兩個路由器。
![\[圖表顯示連接到三個路由器。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/aws-direct-connect-and-aws-transit-gateway.png)
每個 AWS Transit Gateway 都是網路傳輸中樞,可將相同區域中VPCs 互連,將 Amazon VPC 路由組態合併在一個位置。此解決方案可簡化透過私有連線管理 Amazon VPC 與網路之間的連線,進而降低網路成本、增加頻寬輸送量,並提供比網際網路連線更一致的網路體驗。
## 其他資源
+ [AWS Direct Connect 使用者指南](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [在 中連結彙總群組 AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/lags.html)
+ 部落格文章:[將 sub-1 Gbps 託管連線與 AWS Transit Gateway 整合](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-sub-1-gbps-hosted-connections-with-aws-transit-gateway/)
# AWS Direct Connect \$1 AWS Site-to-Site VPN
使用 [AWS Direct Connect](https://aws.amazon.com/directconnect/) \$1 [AWS Site-to-Site VPN](https://aws.amazon.com/vpn/site-to-site-vpn/),您可以將 AWS Direct Connect 連線與 AWS 受管 VPN 解決方案結合。 AWS Direct Connect 公有 VIFs會在您的網路與公有 AWS 資源之間建立專用網路連線,例如 AWS Site-to-Site VPN 端點。建立與服務的連線後,您就可以建立與對應 Amazon VPC 虛擬私有閘道的 IPsec 連線。下圖說明此選項。
![\[圖表顯示建立 服務的連線,然後建立 IPsec 連線。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/aws-direct-connect-and-aws-site-to-site-vpn.png)
此解決方案結合了end-to-end安全 IPsec 連線的優點,以及低延遲和增加的 頻寬 AWS Direct Connect ,可提供比網際網路 VPN 連線更一致的網路體驗。BGP 連線工作階段是在公有 VIF 上的 AWS Direct Connect 與路由器之間建立。虛擬私有閘道與 IPsec VPN 通道上的路由器之間將建立另一個 BGP 工作階段或靜態路由。
## 其他資源
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/)
+ [AWS Direct Connect 虛擬介面](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)
+ [AWS Site-to-Site VPN 使用者指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
# AWS Direct Connect + AWS Transit Gateway \$1 AWS Site-to-Site VPN
使用 [AWS Direct Connect](https://aws.amazon.com/directconnect/) \$1 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) \$1 [AWS Site-to-Site VPN](https://aws.amazon.com/vpn/site-to-site-vpn/),您可以透過私有專用連線,在網路與 Amazon VPCs 的區域集中式路由器之間啟用end-to-end IPsec 加密連線。
您可以使用 AWS Direct Connect 公VIFs,先在網路與公有 AWS 資源之間建立專用網路連線,例如 AWS Site-to-Site VPN 端點。一旦建立此連線,您就可以建立 IPsec 連線 AWS Transit Gateway。下圖說明此選項。
![\[顯示建立 IPsec 連線的圖表。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/aws-direct-connect-transit-gateway-site-to-site-vpn-public-vif.png)
![\[顯示 Direct Connect、Transit Gateway 和 Site-to-Site VPN 的圖表。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/aws-direct-connect-and-aws-transit-gateway-and-vpn-with-transit-vif.png)
當您想要簡化管理,並將相同區域中多個 Amazon VPCs 的 IPsec VPN 連線成本降至最低時,請考慮採用此方法,透過網際網路 VPN 的私有專用連線具有低延遲和一致的網路體驗優勢。BGP 工作階段是使用公有或傳輸 VIF 在 AWS Direct Connect 和路由器之間建立的。另一個 BGP 工作階段或靜態路由將在 IPsec VPN 通道上的 AWS Transit Gateway 與路由器之間建立。
## 其他資源
+ [AWS Direct Connect 虛擬介面](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)
+ [傳輸閘道 VPN 連接](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpn-attachments.html)
+ [客戶閘道裝置的需求](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#CGRequirements)
+ [使用 Amazon VPC 測試的客戶閘道裝置](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#DevicesTested)
+ [AWS Site-to-Site VPN – 使用 的私有 IP VPN AWS Direct Connect](https://docs.aws.amazon.com/vpn/latest/s2svpn/private-ip-dx.html)
# Site-to-Site VPN CloudHub
根據前述的 AWS 受管 VPN 選項,您可以使用 Site-to-Site VPN CloudHub 安全地從一個網站與另一個網站通訊。 Site-to-Site VPN CloudHub 會在簡單的hub-and-spoke式模型上運作,您可以搭配或不搭配 VPC 使用。如果您有多個分支辦公室和現有的網際網路連線,並想要實作方便、可能低成本的hub-and-spoke模型,以便在這些遠端辦公室之間進行主要或備份連線,請使用此方法。
下圖顯示 Site-to-Site VPN CloudHub 架構,其中 行指出透過其 Site-to-Site VPN 連線路由的遠端站台之間的網路流量。
![\[Site-to-Site VPN CloudHub architecture showing connections between AWS 雲端 and multiple customer networks via IPsec VPN.\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/aws-vpn-cloudhub.png)
* Site-to-Site VPN CloudHub *
Site-to-Site VPN CloudHub 使用具有多個客戶閘道的 Amazon VPC 虛擬私有閘道,每個閘道都使用唯一的 BGP 自治系統編號 (ASNs)。遠端站台不得有重疊的 IP 範圍。您的閘道會透過其 VPN 連線公告適當的路由 (BGP 字首)。這些路由公告會接收並重新公告至每個 BGP 對等,以便每個網站可以傳送資料至其他網站並從其他網站接收資料。
## 其他資源
+ [使用 VPN CloudHub 在網站之間提供安全通訊](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html)
+ [AWS Site-to-Site VPN 使用者指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [客戶閘道裝置的需求](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#CGRequirements)
+ [使用 Amazon VPC 測試的客戶閘道裝置](https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#DevicesTested)
# AWS Transit Gateway \$1 SD-WAN 解決方案
軟體定義的廣域網路 (SD-WANs) 用於透過不同的傳輸網路 (例如公有網際網路、MPLS 網路或 AWS 骨幹使用 AWS Direct Connect) 連接您的資料中心、辦公室或主機代管環境,根據網路條件、應用程式類型或服務品質 (QoS) 需求,自動且動態地跨最適當且有效的路徑管理流量。
如果您有複雜的網路拓撲,以及數個資料中心、辦公室或主機代管環境,需要自行與 AWS 通訊,請使用此方法。SD-WAN 解決方案可協助您有效率地管理這類網路。
討論 SD-WAN 網路與 AWS 的連線時, AWS Transit Gateway 提供受管、高可用性和可擴展的區域網路傳輸中樞,以互連 VPCs 和 SD-WAN 網路。[Transit Gateway 連接附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html)提供原生方式,將您的 SD-WAN 基礎設施和設備與 AWS 連接。這可讓您輕鬆地將 SD-WAN 擴展到 AWS,而不必設定 IPsec VPNs。
傳輸閘道連線附件支援一般路由封裝 (GRE),可提供比 VPN 連線更高的頻寬效能。它支援動態路由的邊界閘道協定 (BGP),並不需要設定靜態路由。這可簡化網路設計並降低相關的營運成本。此外,其與 [Transit Gateway Network Manager](https://docs.aws.amazon.com/vpc/latest/tgwnm/what-is-network-manager.html) 的整合透過全球網路拓撲、連接層級效能指標和遙測資料提供進階可見性。
使用連線附件將 SD-WAN 網路整合到 Transit Gateway 時,您有兩個常見的模式。第一個是將 SD-WAN 網路的虛擬設備放置在 AWS 內的 VPC 中。然後,您可以使用 VPC 連接做為虛擬設備與 Transit Gateway 之間 Transit Gateway 連接連接的基礎傳輸,如下圖所示。
![\[顯示使用 VPC 連接做為基礎傳輸的圖表。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/sd-wan-connectivity-with-transit-gateway.png)
或者,您可以將 SD-WAN 流量擴展和分割至 AWS,而無需新增額外的基礎設施。您可以使用 AWS Direct Connect 連線做為基礎傳輸來建立 Transit Gateway 連接附件,如下圖所示。
![\[顯示使用 VPC 連接做為基礎傳輸的圖表。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/sd-wan-connectivity-with-transit-gateway-2.png)
使用 Transit Gateway 連線附件時,需要注意一些注意事項:
+ 您可以在現有的 Transit Gateway 上建立連線附件。
+ 第三方設備必須使用 GRE 通道設定,以便使用連線附件從 Transit Gateway 傳送和接收流量。設備必須使用 BGP 設定,以進行動態路由更新和運作狀態檢查。
+ 連線附件不支援靜態路由。
+ Transit Gateway 連線附件支援每個 GRE 通道最多 5 Gbps 的頻寬。超過 5 Gbps 的頻寬可以透過在多個 Connect 對等 (GRE 通道) 中為相同的 Connect 連接公告相同的字首來實現。
+ 每個連線附件最多支援四個 Connect 對等。
+ Transit Gateway 連接附件支援透過 BGP 的多協定延伸 (MBGP 或 MP-BGP) 進行 IPv6 和動態路由公告。
## 其他資源
+ [傳輸閘道對等連接](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html)
+ [需求和考量 ](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [部落格文章:使用 AWS Transit Gateway Connect 簡化 SD-WAN 連線](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-sd-wan-connectivity-with-aws-transit-gateway-connect/)
# 軟體 VPN
Amazon VPC 可讓您在遠端網路與在 Amazon VPC 網路中執行的軟體 VPN 設備之間建立 VPN 連線,藉此靈活地完整管理 Amazon VPC 連線的兩側。如果您必須管理 VPN 連接的兩端,無論是基於合規目的,還是利用 Amazon VPC VPN 解決方案目前不支援的閘道裝置,都建議使用此選項。下圖顯示此選項。
![\[AWS 雲端 VPC with public and private subnets connecting to customer network via VPN.\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-vpc-connectivity-options/images/software-site-to-site-vpn.png)
* 軟體Site-to-Site VPN *
您可以從由多個合作夥伴和開放原始碼社群組成的生態系統中進行選擇,這些社群已產生在 Amazon EC2 上執行的軟體 VPN 設備。除了此選項之外,您還必須負責管理軟體設備,包括組態、修補程式和升級。
請注意,此設計會在網路設計中引入潛在的單點故障,因為軟體 VPN 設備會在單一 Amazon EC2 執行個體上執行。如需詳細資訊,請參閱 Software VPN 執行個體的[附錄 A:軟體 VPN 執行個體的高階 HA 架構](appendix-a-high-level-ha-architecture-for-software-vpn-instances.md)架構。
## 其他資源
+ [中可用的 VPN 設備 AWS Marketplace](https://aws.amazon.com/marketplace/search/results/ref%3Dbrs_navgno_search_box?searchTerms=vpn)
+ [技術簡介 - 將 Cisco ASA 連線至 VPC EC2 執行個體 (IPsec)](https://aws.amazon.com/articles/8800869755706543)
+ [技術簡介 - 使用 EC2 執行個體連接多個 VPCs (IPsec)](https://aws.amazon.com/articles/5472675506466066)
+ [技術簡介 - 使用 EC2 執行個體 (SSL) 連接多個 VPCs ](https://aws.amazon.com/articles/0639686206802544)