本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Site-to-Site VPN 单个和多个 VPN 连接示例
<a name="Examples"></a>

下图展示的是单一和多个 Site-to-Site VPN 连接。

**Topics**
+ [单一 Site-to-Site VPN 连接](#SingleVPN)
+ [使用中转网关的单一 Site-to-Site VPN 连接](#SingleVPN-transit-gateway)
+ [多个 Site-to-Site VPN 连接](#MultipleVPN)
+ [使用中转网关的多个站点到站点 VPN 连接](#MultipleVPN-transit-gateway)
+ [与 之间的 Site-to-Site VPN 连接Direct Connect](#vpn-direct-connect)
+ [与 Direct Connect 之间的私有 IP 站点到站点 VPN 连接](#private-ip-direct-connect)

## 单一 Site-to-Site VPN 连接
<a name="SingleVPN"></a>

VPC 具有挂载的虚拟私有网关，您的本地（远程）网络内包括一个客户网关设备，您必须配置该设备以启用 VPN 连接。必须更新 VPC 路由表，以使从 VPC 通向网络的任何流量可以转至虚拟私有网关。

![一个 VPC，有一个挂载的虚拟私有网关，且与本地网络之间具有 VPN 连接。](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)


有关设置此方案的步骤，请参阅[开始使用 AWS Site-to-Site VPN](SetUpVPNConnections.md)。

## 使用中转网关的单一 Site-to-Site VPN 连接
<a name="SingleVPN-transit-gateway"></a>

VPC 具有挂载的中转网关，您的本地（远程）网络内包括一个客户网关设备，您必须配置该设备以启用 VPN 连接。必须更新 VPC 路由表，以使从 VPC 通向网络的任何流量可以转至中转网关。

![使用中转网关的单一 Site-to-Site VPN 连接。](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)


有关设置此方案的步骤，请参阅[开始使用 AWS Site-to-Site VPN](SetUpVPNConnections.md)。

## 多个 Site-to-Site VPN 连接
<a name="MultipleVPN"></a>

VPC 具有附加的虚拟私有网关，并且您有多个 Site-to-Site VPN 连接连到多个本地位置。您可以设置路由，以使从您的 VPC 通向您的网络的数据流可以被路由到虚拟专用网关中。

![多个 Site-to-Site VPN 布局](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/branch-offices-vgw.png)


当您创建到单个 VPC 的多个 Site-to-Site VPN 连接时，您可以配置第二个客户网关，以创建到同一外部地点的冗余连接。有关更多信息，请参阅 [用于失效转移的冗余 AWS Site-to-Site VPN 连接](vpn-redundant-connection.md)。

您还可以使用此方案创建与多个地理位置的站点到站点 VPN 连接，并提供各个站点之间的安全通信。有关更多信息，请参阅 [使用 VPN 在 AWS Site-to-Site VPN 连接之间进行安全通信 CloudHub](VPN_CloudHub.md)。

## 使用中转网关的多个站点到站点 VPN 连接
<a name="MultipleVPN-transit-gateway"></a>

VPC 具有附加的中转网关，并且您有多个 Site-to-Site VPN 连接连到多个本地位置。您可以设置路由，以使从 VPC 发往您的网络的任何流量都路由到中转网关中。

![使用中转网关的多个站点到站点 VPN 连接](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/branch-offices-tgw.png)


当您创建到单个中转网关的多个 Site-to-Site VPN 连接时，您可以配置第二个客户网关，以创建到同一外部地点的冗余连接。

您还可以使用此方案创建与多个地理位置的站点到站点 VPN 连接，并提供各个站点之间的安全通信。

## 与 之间的 Site-to-Site VPN 连接Direct Connect
<a name="vpn-direct-connect"></a>

VPC 具有附加的虚拟私有网关，并通过 连接到您的本地（远程）网络AWS Direct Connect 您可以配置 Direct Connect 公有虚拟接口，以便通过虚拟私有网关在您的网络与公有 AWS 资源之间建立专用网络连接。您可以设置路由，以使从 VPC 通向您的网络的任何流量都可路由到虚拟私有网关和 Direct Connect 连接。

![与 之间的 Site-to-Site VPN 连接Direct Connect](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/vpn-direct-connect.png)


当 Direct Connect 和 VPN 连接在同一个虚拟私有网关上设置时，添加或删除对象可能会导致虚拟私有网关进入“正在连接”状态。这表示正在对内部路由进行更改，该更改将在 Direct Connect 和 VPN 连接之间切换，以最大限度地减少中断和数据包丢失。此操作完成后，虚拟私有网关将返回到“已附加”状态。

## 与 Direct Connect 之间的私有 IP 站点到站点 VPN 连接
<a name="private-ip-direct-connect"></a>

使用私有 IP 站点到站点 VPN，您可以加密本地网络和 AWS 之间的 Direct Connect 流量，而无需使用公有 IP 地址。Direct Connect 上的私有 IP VPN 可确保 AWS 和本地网络之间的流量既安全又是私有的，并可让客户遵守法规和安全要求。

![与 Direct Connect 之间的私有 IP 站点到站点 VPN 连接](http://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/images/private-ip-dx.png)


有关更多信息，请参阅以下博客文章：[AWS Site-to-Site VPN 私有 IP VPN 简介](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-private-ip-vpns/)。