VPN — Site-to-Site、Client VPN 與 ECMP

VPN 在 ANS-C01 中是預算友好且部署快速的混合連線性選項，專家級考試期望你能像使用 Direct Connect 一樣精準地運用它。典型的問題會描述：「某客戶有 10 個遠端站點，需要總計 1.5 Gbps 的頻寬連接到 AWS；公司辦公室有 200 名遠端員工，需要透過 SAML 驗證且具備分段隧道的 VPN 存取；法規要求本地到 AWS 的路徑即使經過 Direct Connect 也必須在 IPsec 層加密；且在 AWS 端維護期間需要次秒級的故障轉移 —— 請在 60 秒內設計出 VPN 層」。這是一個網路工程師的問題，涉及每條連線兩個 IPsec 隧道的 Site-to-Site VPN、使用 AES-256 現代預設值的 IKEv2、BGP 與靜態路由的權衡、跨 4 條 VPN 連接到 TGW 以實現 1.5 Gbps 總頻寬的 ECMP (因為每條隧道上限約 1.25 Gbps)、透過 Global Accelerator 邊緣節點實現的加速 VPN、具備 OpenVPN 與 SAML 聯合身份驗證的 AWS Client VPN、分段隧道 vs 全隧道、用於分層加密的 Direct Connect 公有 VIF 上的 VPN-over-DX，以及 DPD 逾時調優 —— 而 ANS-C01 經常在單個五行情境題中測試所有這些移動零件。

本主題完全對應領域 1 (網路設計，佔考試 30%) 的任務說明 1.5，並與領域 2 的任務 2.1 (實作) 重疊。官方 ANS-C01 考試指南逐字列出了知識要點：「路由基礎 (動態 vs 靜態, BGP)」、「VPN (安全性, 加速 VPN)」、「封裝與加密技術 (GRE, IPsec)」、「第 1 層與硬體類型 (LOA, 託管, Direct Connect)」。大約 65 題考試題目中有 5 到 8 題觸及此領域。

為什麼 VPN 是專家級考試的彈性與遠端存取層

VPN 是最便宜、部署最快的混合連線性選項 —— 分鐘級佈建，而 Direct Connect 則需數週。專家級考試測試它是因為現實世界中的網路工程師將 VPN 用於：(a) 在 DX 採購完成前的初始 AWS 遷移、(b) DX 備援、(c) 低頻寬的分支機構連線、(d) 透過 Client VPN 進行遠端員工存取、(e) 多雲連線性 (AWS 到 Azure, AWS 到 GCP)。VPN 也是當 MACsec 不可用時，在 Direct Connect 上實現 IPsec 分層加密 (VPN-over-DX) 的答案。

考試獎勵的心智模型是 「VPN 是混合連線性的瑞士軍刀」：為每項工作選擇正確的刀片 —— Site-to-Site 用於分支機構與 DX 備援，Client VPN 用於使用者，跨多條 Site-to-Site 連線的 ECMP 用於擴展單隧道以外的頻寬，加速 VPN 用於遠距離站點，VPN-over-DX 用於分層加密。ANS-C01 會以高分獎勵這種分層思維；而將 VPN 僅視為「一條 IPsec 隧道」的考生將在每個細微的干擾項上失分。

白話文解釋 AWS VPN — Site-to-Site, Client VPN 與 ECMP

VPN 結合了兩項截然不同的服務 (辦公室到 AWS 的 Site-to-Site，使用者到 AWS 的 Client VPN)，具備多個功能維度：隧道設計、IKE 版本、路由選項 (靜態或 BGP)、加速模式、ECMP 擴展以及身份驗證方法。三個類比可以幫助理解這些移動零件。

類比一 — 公共公路上的裝甲車隊

將 VPN 想像成在公共公路上行駛的裝甲卡車。

Site-to-Site VPN 是兩個倉庫中心（你的資料中心和 AWS 倉庫）之間定期運行的裝甲車隊。車隊使用兩條平行路線（兩條 IPsec 隧道）以實現冗餘；如果一條路線因維護關閉，另一條會承擔負載。卡車披掛著防彈的 IPsec 裝甲，因此即使是公路強盜也無法讀取貨物內容。

客戶端閘道 (Customer Gateway) 是位於你倉庫的調度辦公室 —— 它安排車隊、分發 AES-256 金鑰並讀取 GPS 座標（BGP 通報）。虛擬私有閘道 (VGW) / 傳輸閘道 (TGW) 則是 AWS 接收碼頭。

加速 VPN (Accelerated VPN) 是公路上的快速通行車道 —— 車隊在最近的人口普查點（Global Accelerator 邊緣節點）進入 AWS 託管的快速道路，大部分路程行駛在 AWS 骨幹網路（私人軌道）上，並在目的地 AZ 離開 —— 比公共公路快得多。

ECMP 是多支車隊並行運作到同一個 AWS 碼頭 —— 當你需要 5 Gbps 而一支車隊只能載 1.25 Gbps 時，你同時運行 4 支車隊，每支走不同的平行路線，貨物分佈在它們之間（基於 5 元組雜湊）。

Client VPN 是高階主管直升機服務 —— 個別 VIP（遠端員工）透過安全直升機（基於 OpenVPN 的每使用者隧道）直接空降到 AWS 倉庫，由憑證、識別證（Active Directory）或簽署信函（SAML）進行驗證。

類比二 — 外交快遞服務

Site-to-Site VPN 是兩座大使館之間的外交快遞路線。郵袋蓋有外交印章（IPsec），傳輸途中無法開啟。兩條隧道 = 兩條平行的快遞路線以實現冗餘。BGP 路由是適應道路封鎖的 GPS 系統（主動/主動或主動/被動故障轉移）。靜態路由是預先印好的紙本導航 —— 道路沒變時有效，有路障時就會失敗。

加速 VPN 是外交直升機航線 —— 快遞員飛到最近的停機坪（Global Accelerator 邊緣節點），然後搭乘 AWS 私人飛行網絡而非公共公路。延遲更低，但僅適用於擁有 TGW (而非 VGW) 的大使館。

ECMP 是多支平行的快遞車隊同時派出，將外交郵件分散在它們之間。

Client VPN 是個別 VIP (遠端員工) 的專屬外交快遞員。他們透過憑證或 SAML 權杖進行身份驗證，獲得密封識別證，並獨自通過加密頻道旅行。

類比三 — 海底管道網絡

Site-to-Site VPN 是從你的煉油廠到 AWS 儲存設施的加密輸油管道。IPsec 加密是加密的管道內襯；即使破壞者竊聽，他們也只能得到密文。兩條隧道 = 兩條平行管道以實現冗餘。BGP 路由是自動重定向流量的智慧閥門系統；靜態路由則是需要手動調整位置的固定閥門。

加速 VPN 是深海管道升級，連接到 AWS 的私人海底電纜網絡 (Global Accelerator 邊緣)，透過避開緩慢的海面運輸航線來減少延遲。

ECMP 是通往同一個 AWS 設施的多條平行管道，每條承載總流量的一小部分。

Client VPN 是遠端員工的專屬氣動管系統 —— 每個使用者都有自己的管道，透過使用者名稱/憑證/SAML 進行身份驗證。

Site-to-Site VPN 基礎

AWS Site-to-Site VPN 在 AWS 端點 (虛擬私有閘道或傳輸閘道) 與本地端客戶端閘道 (CGW) 設備 (通常是路由器或防火牆) 之間建立 IPsec 隧道。

組件

• 客戶端閘道 (CGW)：代表你本地設備的 AWS 側資源。你提供設備的公有 IP 和 (選用的) BGP ASN。
• 虛擬私有閘道 (VGW) 或 傳輸閘道 (TGW)：終止 VPN 的 AWS 側端點。
• VPN 連線：綁定 CGW 與 VGW/TGW 並具備兩條 IPsec 隧道的資源。

每條連線兩條隧道 — 強制 HA

每條 Site-to-Site VPN 連線包含兩條 IPsec 隧道，每條隧道終止於不同的 AWS 端點 (不同的實體基礎設施、不同的 IP 位址)。兩條隧道都是活動的；客戶端閘道必須配置為使用這兩條 —— 否則，一個 AWS 端點的維護會導致連線中斷。

隧道端點具有內部 CIDR (隧道鏈路 IP, /30) 和外部 CIDR (AWS 端點的公有 IP)。

單隧道頻寬限制

每條 VPN 隧道具有大約 1.25 Gbps 的最大輸送量。這是一個硬性上限 —— 受限於 AWS 端點的 IPsec 處理能力與網路容量。如果你需要超過 1.25 Gbps，則需要跨多條 VPN 連線使用 ECMP (下方介紹) 或遷移到 Direct Connect。

IKE 版本與隧道配置

IKE 版本

• IKEv1 (遺留版本)：支持但對於新部署被認為不夠安全。
• IKEv2 (推薦版本)：現代預設值，重連速度更快，支持 MOBIKE 以適應 IP 變更，更能抵禦現代威脅。

ANS-C01 預期將 IKEv2 作為推薦預設；IKEv1 是遺留備選方案。

身份驗證

• 預共用金鑰 (PSK)：AWS 自動產生或客戶提供；簡單但金鑰輪換在維運上是手動的。
• 基於憑證的驗證：客戶提供由 ACM Private CA 核發的憑證；AWS 針對該 CA 進行驗證。

加密套件

推薦的現代預設值：

• 階段 1：AES-256, SHA-2-256, DH group 14 或更高 (group 21 = X25519 或 P-521)。
• 階段 2：AES-256, SHA-2-256, PFS DH group 14+。

較弱的遺留選項 (DES, SHA-1, DH group 2) 仍受支持，但應被標記為不合規。

DPD (Dead Peer Detection)

Dead Peer Detection 是一項 IKE 保活機制。預設 DPD 間隔：30 秒；預設 DPD 閾值：連續 3 次錯過 (因此在 90 秒偵測到失敗)。可調優。激進的設定 (10 秒間隔，2 次錯過 = 20 秒) 用於快速故障轉移；預設值用於正常營運。

NAT-T (NAT 穿透)

當客戶端閘道位於 NAT 後方時需要 NAT 穿透 (生產環境少見，SOHO 設定常見)。NAT-T 將 IPsec 封裝在 UDP (連接埠 4500) 中以實現 NAT 友好的傳輸。

VGW vs TGW 用於 VPN 終止

你可以將 Site-to-Site VPN 終止於虛擬私有閘道或傳輸閘道。選擇具有重大影響。

VGW (遺留)

• 連接到單個 VPC。
• 每個 VGW 一條 VPN (通常情況；透過複雜模式最多可達 10 條)。
• 不支援跨多條 VPN 的 ECMP —— 僅限單條 VPN 到 VGW。
• 不支援加速 VPN —— 僅 TGW 支援。
• 適用於：遺留部署中的簡單單 VPC 混合。

TGW (現代)

• 多個 VPC 的樞紐。
• 支持多個 VPN 連接進行 ECMP (跨多條 VPN 的主動/主動)。
• 支持加速 VPN (透過 Global Accelerator 進行任播通訊)。
• 透過 Transit VIF 與 Direct Connect 整合。
• 適用於：任何多 VPC、多區域或高頻寬混合架構。

遷移路徑

大多數現代 AWS 網路都是以 TGW 為中心的；除非有特定的遺留原因，否則新 VPN 應始終終止於 TGW。提到「現代多 VPC 混合」的 ANS-C01 題目皆假設使用 TGW。

靜態路由 vs BGP 動態路由

VPN 連線可以使用靜態路由或 BGP 路由協定。選擇具有可靠性和維運影響。

靜態路由

• 配置：客戶在 VPN 連線的靜態路由清單中指定本地 CIDR。AWS 將這些 CIDR 新增到 VPN 路由表；本地路由器具有匹配的指向 AWS CIDR 的靜態路由。
• 故障轉移：當一條隧道失敗時，流量自動在另一條隧道繼續 (AWS 處理)，但路由傳播不會適應動態條件。
• 使用案例：客戶端閘道不支持 BGP，簡單的單隧道混合。

BGP 動態路由

• 配置：客戶路由器與 AWS 執行 BGP；本地 CIDR 透過 BGP 通報，AWS CIDR 透過 BGP 接收。
• 故障轉移：BGP 收斂處理隧道失敗、路由變更以及頻寬感知路徑選擇 (當使用 ECMP 時)。
• 使用案例：ECMP 的必要條件、主動/主動模式推薦、加速 VPN 的強制要求。

何時 BGP 是強制的

• ECMP：在多條 VPN 連線上通報具有相等 AS-PATH 的 BGP 路由。
• 加速 VPN：僅支持 BGP。
• 跨兩條隧道的主動/主動負載分擔：需要 BGP 收斂。

對於現代部署，BGP 是預設選項。靜態路由是針對不具備 BGP 能力的客戶端閘道的後備方案。

加速 Site-to-Site VPN (Accelerated VPN)

加速 VPN 將 IPsec 隧道路由經過 AWS Global Accelerator 任播網路 —— IPsec 封包進入距離客戶端閘道最近的 Global Accelerator 邊緣節點，穿過 AWS 骨幹網路，並出口到 TGW。

為什麼它能改善延遲

公共網際網路 VPN 路徑會因 BGP 路由低效、ISP 擁塞和海底電纜抖動而增加延遲。加速 VPN 的 IPsec 封包大部分路程都在 AWS 骨幹網路上傳輸 —— 延遲可預測、輸送量一致、封包丟失更少。

需求

• TGW 終止 (而非 VGW)。
• BGP 路由 (而非靜態)。
• 具有公有 IP 的客戶端閘道 (不位於 NAT 後方)。
• 在 VPN 連線建立時設置的加速 VPN 旗標；無法在現有 VPN 上啟用。

何時使用

• 客戶在地理位置上遠離目標 AWS 區域 (基準延遲 >50ms)。
• 延遲敏感型應用程式 (即時遊戲、VoIP、金融交易) 跨越 VPN。
• 公共網際網路延遲不穩定且涉及 SLA。

成本

加速 VPN 會產生額外的每小時費用以及標準的 VPN 資料傳輸費。Global Accelerator 部分有其自身的每 GB 費用。對於大多數低延遲工作負載，加速 VPN 過於奢侈；對於遠端站點，它可能是變革性的。

ECMP — 用於頻寬聚合的等價多路徑

單條 VPN 隧道上限為 ~1.25 Gbps。要超過此限制，跨多條到同一 TGW 的 VPN 連線進行 ECMP 是規範模式。

ECMP 的運作方式

多條 Site-to-Site VPN 連線終止於同一個 TGW，且皆具備相同的 BGP 屬性。AWS 計算等價路徑並透過 5 元組雜湊 (來源 IP, 來源連接埠, 目的 IP, 目的連接埠, 協定) 在它們之間進行負載平衡。4 條 VPN 連線 × 每條 1.25 Gbps = 5 Gbps 總頻寬。

需求

• TGW 終止 (VGW 不支援 ECMP)。
• 每個 VPN 連線上都要有 BGP 路由。
• 跨連線的 BGP 屬性必須相同 (AS-PATH 長度, MED 等)；如果屬性不同，BGP 會選擇一條路徑，ECMP 則不適用。
• 在 TGW 上啟用了 TGW VPN ECMP 旗標 (新 TGW 預設開啟)。

客戶端配置

客戶的本地路由器也必須配置為 ECMP —— 到 AWS 的多個 BGP 工作階段、路由表中的等權重安裝以及對稱分佈的連貫 5 元組雜湊。每條 VPN 連線的兩條隧道是獨立的 (因此 4 條 VPN 連線 = 共 8 條隧道)，但 BGP 級別的 ECMP 將每條連線視為單個等價路徑。

頻寬擴展

• 1 條 VPN 連線 = 1.25 Gbps (單隧道；或者如果客戶端能感知 ECMP 且兩條隧道皆活動，則為 2.5 Gbps)。
• 2 條 VPN 連線 = ~2.5 Gbps。
• 4 條 VPN 連線 = ~5 Gbps。
• 8 條 VPN 連線 = ~10 Gbps。

超過 10 Gbps 後，Direct Connect 更具成本效益。ANS-C01 會對此權衡進行情境測試：「我們需要 8 Gbps；使用 7 條 VPN 連線的 ECMP，還是買一條 10 Gbps 的 Direct Connect？」 —— 答案取決於 DX 是否可行 (地理位置、監管)。

AWS Client VPN — 遠端員工存取

AWS Client VPN 是一項託管的基於 OpenVPN 的服務，供個人使用者存取 AWS VPC (以及選擇性地透過 VPC 存取本地網路)。

組件

• Client VPN 端點：區域性端點，具有私有 DNS 名稱 (例如 cvpn-endpoint-XXX.prod.clientvpn.us-east-1.amazonaws.com)。
• 目標子網路 (VPC 關聯)：VPC 中與端點關聯的一個或多個子網路；用戶端可到達這些子網路中或可從中路由的資源。
• 授權規則：允許特定的使用者群組存取特定的目的地 CIDR。
• 路由：從端點到目的地的路由 (VPC 子網路, 透過 VGW 到本地的 CIDR)。

身份驗證方法

• 相互 TLS (基於憑證)：用戶端出示由客戶擁有的 CA 簽署的憑證。
• Active Directory (透過 AWS Directory Service)：針對 AD 進行使用者名稱/密碼驗證。
• SAML 聯合身份驗證 (透過 IdP 如 Okta, Azure AD)：與客戶的 IdP 進行 SAML 2.0 聯合驗證。

授權規則

驗證後，授權規則控管哪些使用者可以到達哪些目的地。規則可以綁定到 AD 群組或 SAML 屬性。

分段隧道 vs 全隧道

• 分段隧道 (Split-tunnel) (預設)：僅發往關聯 VPC/本地 CIDR 的流量經過 VPN；其他流量 (例如使用者的一般網際網路瀏覽) 則透過使用者的本地網路。減輕 VPN 負載並改善使用者體驗。
• 全隧道 (Full-tunnel)：使用者設備的所有流量都經過 VPN。適用於所有使用者流量都必須接受檢查的合規場景。

連線日誌

Client VPN 將連線事件記錄到 CloudWatch Logs (按端點配置)：連線、斷開、已驗證、授權失敗等事件。

Direct Connect 上的 VPN — 分層加密

對於需要 在 Direct Connect 之上疊加 IPsec 加密 的場景 (例如要求端對端 IPsec 加密的合規制度，即使穿越私有的 DX)，你可以透過 Direct Connect 公有 VIF 運行 Site-to-Site VPN。

運作方式

VPN 的外部 IP 封包穿越 Direct Connect 公有 VIF (它可以承載到 AWS 公有端點的流量，包含 VPN 端點 IP)。IPsec 加密內部流量。路徑為：客戶路由器 → DX 公有 VIF → AWS 公有網路 → VPN 端點 → VPC。

為什麼要使用

• 合規性：某些監管制度 (FedRAMP, HIPAA, 某些金融法規) 要求無論實體路徑如何都必須進行 IPsec 加密。
• 雙重保險：在 MACsec 加密的 DX 之上疊加加密，提供縱深防禦。
• 不具備 MACsec 的環境：當 MACsec 不可用時 (託管 DX, 舊的 DX 站點)，VPN-over-DX 提供等效的加密。

權衡

• 延遲開銷：IPsec 增加處理延遲 (通常每方向 1-5ms)。
• 頻寬開銷：IPsec 標頭減少了有效負載 (~2-5%)。
• 複雜性：VPN 的 BGP 加上 DX 的 BGP，分層的路由決策。

對於大多數企業場景，專用 DX 上的 MACsec 是更簡潔的答案。VPN-over-DX 是針對合規驅動或「無 MACsec 的託管 DX」情況。

隧道韌性模式

Site-to-Site 的雙隧道韌性

每條連線的兩條隧道是獨立的 —— 不同的 AWS 端點、不同的 IP 位址。客戶端閘道必須終止兩條隧道以實現 HA。AWS 端的維護僅會影響一條隧道；另一條則繼續承載流量。

隧道端點 IP

AWS 為每條 VPN 連線提供兩個隧道端點 IP (每條隧道一個)。客戶端閘道應將這兩個都配置為 IKE 對等體。

隧道維護窗口

AWS 偶爾會對隧道端點進行維護 (少見，通常在離峰時段)。維護是按隧道進行的，而非同時針對兩條。活動中的客戶端閘道應透過不受影響的隧道渡過維護。

AWS 隧道端點的靜態 IP

AWS 隧道端點 IP 在 VPN 連線的生命週期內是靜態的。客戶防火牆可以將這些 IP 加入允許清單。

客戶端閘道 HA

為了實現客戶端 HA，請部署兩個客戶端閘道 (獨立的實體設備、獨立的網路路徑)，並與同一個 TGW 建立獨立的 VPN 連線。跨這兩對隧道的 ECMP 既能實現頻寬聚合，也能實現客戶端設備冗餘。

常見陷阱複習 — VPN 在 ANS-C01

陷阱 1：單條 VPN 連線每條隧道輸送量超過 1.25 Gbps

錯誤。每條隧道上限 ~1.25 Gbps；兩條皆活動時連線總計 ~2.5 Gbps。

陷阱 2：ECMP 在 VGW 上有效

錯誤。ECMP 要求 TGW，而非 VGW。

陷阱 3：加速 VPN 搭配靜態路由

錯誤。加速 VPN 要求 BGP。

陷阱 4：Site-to-Site VPN 的兩條隧道都必須配置

最佳實務是肯定的，但技術上你可以只用一條。若不配置兩條，AWS 端的維護會中斷連線性。

陷阱 5：推薦使用 IKEv1

錯誤。IKEv2 是推薦的現代預設值。

陷阱 6：Client VPN 僅支援憑證驗證

錯誤。Client VPN 支持憑證、AD 以及 SAML。

陷阱 7：分段隧道始終是預設值

部分正確。新端點的預設值；舊端點預設為全隧道。

陷阱 8：VPN over DX 不增加延遲

錯誤。IPsec 處理會增加每方向 1-5ms。

陷阱 9：客戶端閘道可以位於 NAT 後方

部分正確。可以透過 NAT-T (UDP 4500) 實現，但會增加複雜性。公有 IP 是首選。

陷阱 10：Site-to-Site VPN 強制要求 BGP

錯誤。推薦使用 BGP；靜態路由作為後備方案受到支持。

陷阱 11：ECMP 要求相同的 CGW IP

錯誤。不同的 CGW IP 沒問題；要求的是相同的 BGP 屬性 (AS-PATH, MED)。

陷阱 12：Client VPN 可以直接存取本地網路

部分正確。如果 VPC 具備與本地端的 VGW/TGW 連線性，且在 Client VPN 端點新增了授權規則與路由，則可以。

FAQ — VPN 在 ANS-C01

Q1：如何架構 5 Gbps 的 VPN 頻寬到 AWS？

單條 VPN 隧道上限為 ~1.25 Gbps。規範模式為：4 條到傳輸閘道 (TGW) 的 Site-to-Site VPN 連線，每條均具備 BGP，並在 TGW 上啟用 ECMP。每條 VPN 連線貢獻其兩條隧道中的一條作為 ~1.25 Gbps 的可用頻寬；4 × 1.25 = 5 Gbps 總頻寬。客戶端：4 個獨立的 BGP 工作階段、等權重安裝、用於對稱出站分佈的 5 元組 ECMP 雜湊。替代方案：遷移到 Direct Connect (最低 10 Gbps 專用)；由成本與部署時間決定。當題目不允許 DX 時 (例如「明天早上」截止日期或「無代管中心站點」)，ANS-C01 會獎勵 ECMP 模式。

Q2：何時應使用 Site-to-Site VPN vs Direct Connect？

在以下情況使用 Site-to-Site VPN：(a) 頻寬需求低於 5 Gbps (使用 ECMP)、(b) 部署時間至關重要 (小時級 vs 週級)、(c) 成本是主要驅動因素、(d) 工作負載可容忍公共網際網路的延遲波動。在以下情況使用 Direct Connect：(a) 頻寬超過 VPN ECMP 擴展能力 (>5 Gbps)、(b) 延遲必須可預測且極低 (<10ms)、(c) 監管制度禁止公共網際網路傳輸、(d) 需要 MACsec 第 2 層加密。混合模式：使用 DX 作為主要路徑，VPN 作為備援 —— 兼具兩者優點。針對「第一級生產混合環境」，ANS-C01 會獎勵混合模式；針對「分支機構」或「引導式遷移」，則獎勵純 VPN。

Q3：加速 VPN 相對於標準 Site-to-Site VPN 有哪些改進？

加速 VPN 將 IPsec 隧道路由經過 AWS Global Accelerator 任播邊緣網路，而非公共網際網路。客戶端閘道將 IPsec 封包發送到最近邊緣節點 (通常延遲 <10ms) 的 Global Accelerator 任播 IP，流量穿過 AWS 骨幹網路到達 TGW。結果：減少了延遲變異數、降低了抖動、封包丟失更少。當客戶端閘道在地理位置上遠離目標 AWS 區域 (>50ms 基準) 時效益最大。需求：TGW (而非 VGW)、BGP 路由、額外的每小時費用。針對「從新加坡到 us-east-1 的 VPN 上的即時遊戲」的專家級答案：加速 VPN，無疑。

Q4：Client VPN 與 Site-to-Site VPN 有什麼區別？

Site-to-Site VPN 是路由器對路由器的 IPsec —— 將整個本地網路連接到 AWS，在客戶的邊緣路由器上配置。按連線收費；支持 ECMP、BGP、加速模式。最適合分支機構或資料中心到 AWS 的連線性。Client VPN 是按使用者的 OpenVPN —— 個人遠端員工進行驗證 (憑證/AD/SAML)，獲得一條到 AWS 的隧道，並存取 VPC 資源 (以及選擇性地透過 VPC 存取本地)。按連線小時收費。最適合遠端員工存取。不同的服務，不同的使用案例。ANS-C01 會區分「遠端員工」(Client VPN) 與「分支機構」(Site-to-Site)。

Q5：Client VPN 的分段隧道與全隧道有何不同，何時使用各個？

分段隧道 (Split-tunnel)：僅發往關聯網路 (VPC CIDR, 路由中的本地 CIDR) 的流量經過 VPN。使用者的其餘一般網際網路瀏覽使用其本地 ISP。減輕 VPN 負載 (更便宜、更快)。全隧道 (Full-tunnel)：使用者設備的所有流量都經過 VPN。AWS 可以看到並檢查每個封包。VPN 負載較高，但對於合規性 (「所有公司流量必須接受企業工具檢查」) 或內容過濾 (「對遠端員工封鎖社群媒體」) 很有用。新端點的預設值：分段隧道。針對「遠端員工效能最佳化」的專家級答案：分段隧道。針對「合規流量檢查」：全隧道。

Q6：ECMP 如何擴展到單條 VPN 連線所能提供的頻寬之外？

ECMP (等價多路徑) 透過 5 元組雜湊在多條等價 BGP 路徑之間平衡流量。架構：N 條 Site-to-Site VPN 連線終止於同一個 TGW，全部通報相同的前綴並具備相同的 BGP 屬性 (AS-PATH, MED)。TGW 計算出 N 條等價路徑並將流程雜湊分佈到各路徑。由於每條 VPN 隧道上限為 1.25 Gbps，N 條連線總共提供約 N × 1.25 Gbps。客戶端：N 個平行 BGP 工作階段、等權重安裝、相同的雜湊方式。限制：僅限 TGW (非 VGW)、必須 BGP、所有屬性必須相同。針對「不購買 DX 即可擴展單 VPN 頻寬」的情境：跨 N 條 VPN 連線的 ECMP。

Q7：何時應使用 Direct Connect 上的 VPN 以進行分層加密？

在以下情況使用 VPN over DX：(a) 合規制度要求端對端 IPsec 加密，無論實體路徑如何 (FedRAMP, 某些 HIPAA 場景)、(b) MACsec 不可用 (託管 DX, 舊的 DX 站點)、(c) 被要求縱深防禦 (在 MACsec 之上疊加 IPsec 以實現極限偏執)。架構：客戶路由器 → DX 公有 VIF → VPN 端點的 AWS 公有 IP → IPsec 隧道 → VGW/TGW → VPC。權衡：1-5ms 額外的 IPsec 處理延遲、2-5% 的標頭頻寬開銷、加倍的 BGP 複雜性。ANS-C01 情境：「合規要求 IPsec，客戶使用託管 DX (無 MACsec)」 → VPN over DX 是答案。

Q8：Dead Peer Detection (DPD) 對 VPN 故障轉移有什麼作用？

DPD 是一項 IKE 保活協定 —— 每個對等體定期 (預設 30 秒) 檢查對方是否還活著。在連續 3 次錯過檢查後 (預設)，隧道被宣告死亡並觸發 IPsec 重新協商。預設 DPD 在約 90 秒內偵測到失敗 —— 對於生產級故障轉移來說太慢了。在客戶端閘道上將 DPD 調優至激進設定：10 秒間隔，2 次錯過 = 20 秒偵測。結合 BGP 收斂 (~5–30 秒)，總故障轉移時間可以達到 30 秒以內。針對「最小化 VPN 故障轉移時間」的專家級答案：激進調優 DPD + 使用 BGP 路由 + 同時使用兩條隧道。

Q9：AWS Client VPN 支援哪些身份驗證選項，我該如何選擇？

三個選項：(a) 相互憑證 —— 用戶端出示由客戶擁有之 CA 簽署的憑證；AWS 針對該 CA 進行驗證。最適合 IoT 或服務帳號場景。(b) Active Directory —— 使用者名稱/密碼針對 AWS Directory Service 或 AD Connector 進行驗證。最適合傳統的 Windows 網域環境。(c) SAML 聯合身份驗證 —— 用戶端透過客戶的 IdP (Okta, Azure AD, OneLogin) 進行驗證，並向 Client VPN 出示 SAML 斷言。最適合具備 MFA 與條件式存取的現代 SSO 環境。SAML 是目前最常見的選擇。針對「具備公司 SSO 與 MFA 的遠端員工」的專家級答案：SAML 聯合身份驗證。

Q10：如何架構 VPN 作為 Direct Connect 的備援並具備自動故障轉移？

架構：主要路徑是通報本地前綴並具備 BGP 的 Direct Connect (私有/傳輸 VIF)。次要路徑是到同一個 VGW 或 TGW 的 Site-to-Site VPN，同樣具備 BGP。兩個 BGP 工作階段通報相同的本地前綴；AWS 偏好 DX 路徑，因為 (a) 預設情況下 Direct Connect 的 BGP 通報具有更短的 AS-PATH、(b) 你可以顯式地對 VPN 通報進行 AS-PATH 預寫 (Prepend) 以使其較不被偏好。當 DX 失敗時 (BGP 工作階段中斷或 BFD 逾時)，AWS 會在幾秒鐘內收斂到 VPN。當 DX 恢復時，AWS 會自動切回 DX。客戶端：類似的 BGP 設定，使用 LOCAL_PREF 使出站流量偏好 DX 路徑。故障轉移測試：關閉 DX BGP 工作階段，驗證 VPN 接管，然後恢復。ANS-C01 會將此模式獎勵為「具備成本效益備援的第一級混合架構」答案。

延伸閱讀與相關維運模式

• AWS Site-to-Site VPN User Guide
• Accelerated Site-to-Site VPN
• AWS Client VPN Administrator Guide
• Transit Gateway VPN Attachments
• Site-to-Site VPN Tunnel Options
• Client VPN Authentication
• Customer Gateway Options

一旦 VPN 架構就緒，ANS-C01 上的下一個自然維運層級為：Direct Connect — VIF 類型、LAG、MACsec 與 BGP，用於專用替代方案或主動-備援模式；BGP 設定 — AS-Path Prepending、MED、社群與 BFD，用於對 VPN 路徑進行流量工程的路徑屬性深究；Transit Gateway — 路由表、連接與 Connect，它是現代 VPN 終止點與 ECMP 的促成者；以及網路加密 — TLS、ACM、IPsec 與 MACsec，用於每一層的加密深究。

• Direct Connect — VIF 類型、LAG、MACsec 與 BGP — ANS-C01 備考筆記
• BGP 設定 — AS-Path Prepending、MED、社群與 BFD — ANS-C01 備考筆記
• Transit Gateway — 路由表、連接與 Connect — ANS-C01 備考筆記
• 網路加密 — TLS, ACM, IPsec 與 MACsec — ANS-C01 備考筆記