本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用案例：VPN 連線的人力資源
<a name="vpn-workforce"></a>

此使用案例涵蓋的情況是，您在 Megaport 位置使用虛擬 VPN 集中器做為向內緩衝 Direct Connect。在此案例中，您有遠端分支辦公室或工作者，其具有連線至 VPNs 集中器site-to-site VPN。

使用 Megaport MVE 搭配第三方虛擬防火牆，為您的遠端工作者 Direct Connect 提供 Salesforce Hyperforce 的私有連線。遠端工作者從分支辦公室的網際網路連線路由器，或從在其裝置上執行的 VPN 用戶端連接到 VPN 集中器。然後，遠端工作者會使用 Megaport 位置 Direct Connect 向 緩衝。

![搭配防火牆使用 Megaport MVE Direct Connect 並連線至 Salesforce Hyperforce。](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/salesforce-hyperforce-connectivity-dx-megaport/images/hyperforce-mve.png)


## 要求
<a name="vpn-workforce-req"></a>
+ 您的遠端工作者會透過私有網路連線存取 Salesforce。
+ 您在分支辦公室的遠端工作者或使用者可透過網際網路與啟用 Megaport 的 據點進行site-to-site VPN 連線。
+ 您擁有 AWS 帳戶 來管理與 Megaport 的 Direct Connect 託管連線。

## 使用 VXC 設定 Megaport MVE
<a name="vpn-workforce-vxc"></a>

使用 VXC 設定的 Megaport MVE 提供私有第 2 層網路區段 AWS。MVE 是一種虛擬解決方案，不需要連接埠。 不過，您必須指定要部署的第三方虛擬網路設備。無論您使用連接埠、MVE 或 MCR，VXC 部署程序和功能都相同。 Direct Connect 應該佈建為託管連線並連接到公有 VIF。

如需概觀和step-by-step說明，請參閱下列 Megaport 文件：
+ [介紹 MVE](https://docs.megaport.com/mve/)
+ [設定和維護 AWS 託管連線](https://docs.megaport.com/cloud/megaport/aws/hosted-connection/)

## 設定 VNF 應用程式
<a name="vpn-workforce-vnf"></a>

MVE 支援來自 Aruba、Cisco、Fortinet、Palo Alto Networks、Versa Networks 和 VMware 等廠商的第三方虛擬網路函數 (VNF) 設備。您可以選擇廠商來處理 MVE 的路由、安全性和 SSL VPN 函數。如需 MVE 整合合作夥伴的完整清單，請參閱 [Megaport 文件](https://docs.megaport.com/mve/#sd-wan-and-next-generation-firewall-partners)。

例如，此使用案例描述了一個高階架構，其中 Megaport MVE 支援來自區域分支辦公室的 VPN/SD-WAN 連線，以及具有 SSL VPN 連線的遠端使用者。此 MVE 與 對等， AWS 並私下將這些連線路由至 Hyperforce Direct Connect。

此架構的關鍵元素包括：
+ 限制相關 Hyperforce 執行個體字 AWS 首的路由篩選條件
+ 以 Hyperforce 完整網域名稱 (FQDN) 和 IP 地址範圍為基礎的 SSL VPN 政策
+ 面向單一公有 IP 地址後方 Hyperforce 使用者的 NAT 政策 AWS

## 設定路由篩選條件
<a name="vpn-workforce-filters"></a>

當 VNF 已與 AWS 公有 VIF 建立 BGP 對等互連時，路由表應填入所有 AWS 公有服務和 Hyperforce 的字首。 您可以使用 IP 清單或 BGP 社群標籤來套用路由篩選。 我們建議您設定包含 中 Hyperforce 執行個體範圍的字首路由對應 AWS 區域。

**備註：**  
當您建立公 AWS 有 VIF AWS 管理主控台 時，會在 中設定從路由器公告至 的 BGP 字首。
公告的字首 Direct Connect 不得超出連線的網路邊界。例如，這類字首不得納入到任何的公有網際網路路由表。如需詳細資訊，請參閱 文件中的 Direct Connect [公有虛擬介面路由政策](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#routing-policies)。

## 設定 Direct Connect
<a name="vpn-workforce-dx"></a>

**接受託管連線**

在 中 AWS 帳戶，接受先前建立的 VXC 做為託管連線。如需說明，請參閱 [Direct Connect 文件](https://docs.aws.amazon.com/directconnect/latest/UserGuide/hosted_connection.html#accept-hosted-connection)。 

**建立公有 VIF**

在您的帳戶中，在您從 Megaport 接受的連線下佈建公有 VIF。建立此 VIF 之前，您需要取得下列項目：
+ VNF 設備的 BGP ASN。
+ 用於對等互連的公有 IPv4 地址 （通常是 `/31` CIDR)。您可以擁有這些項目或從中請求。 支援如需詳細資訊，請參閱 文件中[虛擬介面的先決條件](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html#vif-prerequisites)一節中的*對等 IP 地址*。 Direct Connect 

若要建立公有 VIF，請遵循 [Direct Connect 文件](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-vif.html#create-public-vif)中的步驟。

建立公有 VIF 之後，您需要確保 BGP 身分驗證金鑰與 BGP 對等的兩端相符，才能讓對等狀態變成可用。

**注意**  
使用公有 VIF AWS 從內部部署環境連線至 會變更流量路由到內部部署位置的方式 AWS。我們建議您使用字首篩選條件 （路由對應），以確保接受的 Amazon 字首僅限於 Hyperforce 基礎設施和任何其他必要的 AWS 資源。如需詳細資訊，請參閱 文件中的 Direct Connect [公有虛擬界面字首公告規則](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html#advertise-prefixes)。

## 使用 SEC 設定 Megaport MVE
<a name="vpn-workforce-sec"></a>

在某些情況下，Hyperforce 登入請求會重新導向至 Salesforce 管理的資料中心。 若要在私有網路上保留此流量，您可以使用 SEC 將 Megaport VXC 新增至 Salesforce。您可以使用 Salesforce 登入 FQDN，以規則設定 VNF 安全政策。這與本指南先前所述的 Direct Connect 架構類似。

如需step-by-step說明，請參閱 Megaport 文件中的[連線至 Salesforce Express Connect](https://docs.megaport.com/cloud/megaport/salesforce/)。

## 設定 Salesforce Hyperforce
<a name="vpn-workforce-hyperforce"></a>

若要啟用從公司網路到 Salesforce 的傳入連線，您需要設定 Hyperforce 的傳入存取作為安全措施。若要[允許必要的網域](https://help.salesforce.com/s/articleView?id=sf.setup_domains.htm)，請遵循 Salesforce 文件中的[允許 Salesforce Classic 中 Salesforce 主控台的網域](https://help.salesforce.com/s/articleView?id=sf.console2_allowed_domains.htm)中的指示。請勿使用 IP 地址。