本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Client VPN 用戶端路由強制執行
<a name="cvpn-working-cre"></a>

Client Route Enforcement 有助於在透過 VPN 連線的裝置上強制執行管理員定義的路由。此功能可確保來自連線用戶端的網路流量不會不小心傳送到 VPN 通道之外，以協助改善您的安全狀態。

Client Route Enforcement 會監控連線裝置的主要路由表，並根據用戶端 VPN 端點中設定的網路路由，確保傳出網路流量流向 VPN 通道。這包括在偵測到與 VPN 通道衝突的路由時修改裝置上的路由表。用戶端路由強制執行同時支援 IPv4 和 IPv6 地址系列。

## 要求
<a name="requirements-cre"></a>

Client Route Enforcement 僅適用於下列 AWS 提供的 Client VPN 版本：
+ Windows 5.2.0 版或更新版本 (IPv4 支援）
+ macOS 5.2.0 版或更新版本 (IPv4 支援）
+ Ubuntu 5.2.0 版或更新版本 (IPv4 支援）
+ Windows 5.3.0 版或更新版本 (IPv6 支援）
+ macOS 5.3.0 版或更新版本 (IPv6 支援）
+ Ubuntu 5.3.0 版或更新版本 (IPv6 支援）

對於雙堆疊端點，用戶端路由強制執行設定會同時套用至 IPv4 和 IPv6 堆疊。您只能為一個堆疊啟用用戶端路由強制執行。

## 路由衝突
<a name="route-conflict-cre"></a>

當用戶端連線至 VPN 時，會在用戶端的本機路由表和端點的網路路由之間進行比較。如果兩個路由表項目之間的網路重疊，則會發生路由衝突。重疊網路的範例如下：
+ `172.31.0.0/16`
+ `172.31.1.0/24`

在此範例中，這些 CIDR 區塊構成路由衝突。例如， `172.31.0.0/16` 可能是 VPN 通道 CIDR。由於 `172.31.1.0/24` 具有較長的字首，因此更為具體，因此通常會優先考慮並可能將 `172.31.1.0/24` IP 範圍內的 VPN 流量重新導向至另一個目的地。這可能會導致意外的路由行為。不過，啟用用戶端路由強制執行時，會移除後者 CIDR。使用此功能時，應考慮潛在的路由衝突。

完整通道 VPN 連接會透過 VPN 連接引導所有網路流量。因此，如果啟用 Client Route Enforcement 功能，連線至 VPN 的裝置將無法存取本機網路 (LAN) 資源。如果需要本機 LAN 存取，請考慮使用分割通道模式，而非完整通道模式。如需分割通道的詳細資訊，請參閱 [分割通道 Client VPN](split-tunnel-vpn.md)。

## 考量事項
<a name="considerations-cre"></a>

啟用用戶端路由強制執行之前，應考慮以下資訊。
+ 在連線時，如果偵測到路由衝突，此功能會更新用戶端的路由表，將流量導向 VPN 通道。建立連線之前已存在且由此功能刪除的路由將會還原。
+ 此功能僅在主要路由表上強制執行，不適用於其他路由機制。例如，強制執行不會套用至下列項目：
  + 政策型路由
  + 介面範圍路由
+ Client Route Enforcement 會在 VPN 通道開啟時保護它。通道中斷連線後或用戶端重新連線時，不會提供任何保護。

### OpenVPN 指令對雲端路由強制執行的影響
<a name="considerations-openvpn"></a>

OpenVPN 組態檔案中的某些自訂指令與 Client Route Enforcement 有特定的互動：
+ `route` 指令 
  + 將路由新增至 VPN 閘道時。例如，將路由新增至 VPN `192.168.100.0 255.255.255.0` 閘道。

    新增至 VPN 閘道的路由會受到用戶端路由強制執行的監控，類似於任何其他 VPN 路由。其中的任何衝突路由都會被偵測並移除。
  + 新增路由至非 VPN 閘道時。例如，新增路由 `192.168.200.0 255.255.255.0 net_gateway`。

    新增至非 VPN 閘道的路由會因繞過 VPN 通道而從用戶端路由強制執行中排除。其中允許衝突路由。在此範例中，用戶端路由強制執行會將路由上方排除在監控之外。
  + 與 IPv4 路由類似，新增至 VPN 閘道的 IPv6 路由會受到用戶端路由強制執行的監控，而新增至非 VPN 閘道的路由會排除在監控之外。

### 忽略的路由
<a name="cre-ignored"></a>

用戶端路由強制執行會忽略下列 IPv4 網路的路由：
+ `127.0.0.0/8` — 預留給本機主機
+ `169.254.0.0/16` — 預留給 link-local 地址
+ `224.0.0.0/4` — 預留給多點傳送
+ `255.255.255.255/32` — 預留廣播

用戶端路由強制執行會忽略下列 IPv6 網路的路由：
+ `::1/128` — 預留給迴路 
+ `fe80::/10` — 預留給 link-local 地址 
+ `ff00::/8` — 預留給多點傳送 

**Topics**
+ [要求](#requirements-cre)
+ [路由衝突](#route-conflict-cre)
+ [考量事項](#considerations-cre)
+ [啟用用戶端路由強制執行](activate-cre.md)
+ [停用用戶端路由強制執行](deactivate-cre.md)
+ [疑難排解 IPv6 用戶端路由強制執行](cre-ipv6-troubleshooting.md)