AWS Direct Connect 虚拟接口和托管虚拟接口
您必须创建以下虚拟接口(VIF)之一,才能开始使用 AWS Direct Connect 连接。
-
私有虚拟接口:应使用私有虚拟接口访问使用私有 IP 地址的 Amazon VPC。
-
公有虚拟接口:公有虚拟接口可以访问使用公有 IP 地址的所有 AWS 公有服务。
-
中转虚拟接口:中转虚拟接口用于访问与 Direct Connect 网关关联的一个或多个 Amazon VPC 中转网关。您可以将中转虚拟接口与任何速度的 AWS Direct Connect 专用或托管连接一起使用。有关 Direct Connect 网关配置的信息,请参阅Direct Connect 网关。
要使用 IPv6 地址连接到其他 AWS 服务,请查看服务文档以验证是否支持 IPv6 寻址。
公有虚拟接口前缀公布规则
我们将向您公布相应的 Amazon 前缀,以便您可以访问 VPC 或其他 AWS 服务中工作负载的公有 IP 地址。您可以通过此连接访问所有 AWS 前缀;例如,Amazon EC2 实例使用的公有 IP 地址、Amazon S3、适用于 AWS 服务的 API 端点和 Amazon.com。您无权访问非 Amazon 前缀。有关 AWS 所用前缀的最新列表,请参阅《Amazon VPC 用户指南》中的 AWS IP 地址范围。在此页面上,您可以下载当前已发布 AWS IP 范围的 .json
文件。请注意,对于已发布的 IP 地址范围:
-
与 AWS IP 地址范围列表中列出的前缀相比,在公有虚拟接口通过 BGP 公布的前缀可能会发生聚合或取消聚合。
-
通过自带 IP 地址(BYOIP)引入到 AWS 的 IP 地址范围不包含在
.json
文件内,但 AWS 仍会通过公有虚拟接口通告这些 BYOIP 地址。 -
AWS 不会将通过 AWS Direct Connect 公有虚拟接口将接收到的客户前缀重新通告给其他客户。
注意
我们建议您使用防火墙筛选条件 (根据数据包的源/目标地址) 来控制流量传入和传出某些前缀。
有关公有虚拟接口和路由策略的更多信息,请参阅 公有虚拟接口路由策略。
SiteLink
如果您要创建私有或中转虚拟接口,则可以使用 SiteLink。
SiteLink 是一项用于虚拟私有接口的可选 Direct Connect 功能,此功能允许使用 AWS 网络上的最短可用路径在同一 AWS 分区中的任意两个 Direct Connect 入网点(PoP)之间建立连接。这使您可以通过 AWS 全球网络连接本地网络,而无需经过区域路由流量。有关 SiteLink 的更多信息,请参阅 AWS Direct Connect SiteLink 简介
注意
SiteLink 在 AWS GovCloud (US) 和中国区域不可用。
如果本地路由器在多个虚拟接口上向 AWS 通告相同的路由,则 SiteLink 不起作用。
使用 SiteLink 需要另外付费。有关更多信息,请参阅 AWS Direct Connect 定价
SiteLink 不支持所有虚拟接口类型。下表显示了接口类型以及是否受支持。
虚拟接口类型 | 支持/不支持 |
---|---|
中转虚拟接口 | 支持 |
连接到具有虚拟网关的 Direct Connect 网关的私有虚拟接口 | 支持 |
连接到与虚拟网关或中转网关无关联的 Direct Connect 网关的私有虚拟接口 | 支持 |
连接到虚拟网关的私有虚拟接口 | 不支持 |
公有虚拟接口 | 不支持 |
通过启用了 SiteLink 的虚拟接口从 AWS 区域(虚拟或中转网关)到本地位置的流量路由行为,与带有 AWS 路径预置的默认 Direct Connect 虚拟接口行为略有不同。启用 SiteLink 后,无论关联的区域如何,来自 AWS 区域 的虚拟接口首选来自 Direct Connect 位置的 AS 路径长度较短的 BGP 路径。例如,系统会为每个 Direct Connect 位置公布关联的区域。如果禁用 SiteLink,则默认情况下,来自虚拟或中转网关的流量首选与该 AWS 区域 关联的 Direct Connect 位置,即使来自与不同区域关联的 Direct Connect 位置的路由器公布了路径长度较短的路径。虚拟或中转网关仍将首选从本地 Direct Connect 位置到关联 AWS 区域 的路径。
SiteLink 支持的最大巨型帧 MTU 大小为 8500 或 9001,具体取决于虚拟接口类型。有关更多信息,请参阅 适用于私有虚拟接口或中转虚拟接口的 MTU。
虚拟接口的先决条件
在创建虚拟接口之前,请执行以下操作:
-
创建连接。有关更多信息,请参阅 使用连接向导创建连接。
-
当您有多个您希望将其视为单个连接的连接时,请创建一个链接聚合组 (LAG) 。有关信息,请参阅将连接与 LAG 关联。
要创建虚拟接口,您需要以下信息:
资源 | 所需信息 |
---|---|
Connection | 要为其创建虚拟接口的 AWS Direct Connect 连接或链接聚合组(LAG)。 |
虚拟接口名称 | 虚拟接口的名称。 |
虚拟接口所有者 | 如果要为另一个账户创建虚拟接口,您需要其他账户的 AWS 账户 ID。 |
(仅限私有虚拟接口)连接 | 要连接到同一 AWS 区域中的 VPC,您需要 VPC 的虚拟私有网关。BGP 会话 Amazon 端的 ASN 从虚拟私有网关继承。当您创建虚拟私有网关时,您可以指定自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建虚拟私有网关。要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 Direct Connect 网关。此外,
|
VLAN | 您的连接上尚未使用的唯一虚拟局域网(VLAN)标签。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 AWS Direct Connect 连接的流量都必须有此标签。 如果使用托管连接,您的 AWS Direct Connect 合作伙伴会提供此值。创建虚拟接口后,无法修改此值。 |
对等 IP 地址 | 虚拟接口支持 IPv4、IPv6 或其中一个(双堆栈)的 BGP 对等会话。请勿使用 Amazon 池中的弹性 IP(EIP)或自带 IP 地址(BYOIP)来创建公有虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配到 BGP 对等会话虚拟接口的每一端。
|
地址系列 | BGP 对等会话是通过 IPv4 还是 IPv6 进行。 |
BGP 信息 |
|
(仅限公有虚拟接口)您要公布的前缀 | 通过 BGP 公布的公有 IPv4 路由或 IPv6 路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。
|
(仅限私有虚拟接口)巨型帧 | AWS Direct Connect 上数据包的最大传输单元(MTU)。默认为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于从 AWS Direct Connect 传播的路由。如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在 AWS Direct Connect 控制台中将其选中,然后在虚拟接口常规配置页面上找到支持巨型帧。 |
(仅限中转虚拟接口)巨型帧 | AWS Direct Connect 上数据包的最大传输单元(MTU)。默认为 1500。将虚拟接口的 MTU 设置为 8500(巨型帧)可能会导致底层物理连接更新(如果之前未更新为支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。Direct Connect 最多支持 8500 MTU 的巨型帧。在中转网关路由表中配置的静态路由和传播路由将支持巨型帧,包括具有 VPC 静态路由表条目的 EC2 实例和中转网关连接。要检查连接或虚拟接口是否支持巨型帧,请在 AWS Direct Connect 控制台中将其选中,然后在虚拟接口常规配置页面上找到支持巨型帧。 |
创建虚拟接口时,可以指定拥有虚拟接口的账户。当您选择不是您的 AWS 账户时,以下规则适用:
-
对于私有 VIF 和传输 VIF,该账户适用于虚拟接口和虚拟私有网关/Direct Connect 网关目标。
-
对于公有 VIF,该账户用于虚拟接口计费。数据传出(DTO)使用量按 AWS Direct Connect 数据传输速率向资源所有者计量。
注意
所有 Direct Connect 虚拟接口类型均支持 31 位前缀。有关更多信息,请参阅 RFC 3021:在 IPv4 点对点链路上使用 31 位前缀
适用于私有虚拟接口或中转虚拟接口的 MTU
AWS Direct Connect 在链路层支持 1522 或 9023 字节的以太网帧大小(14 字节以太网标头 + 4 字节 VLAN 标记 + IP 数据报的字节 + 4 字节 FCS)。
网络连接的最大传输单位 (MTU) 是能够通过该连接传递的最大可允许数据包的大小(以字节为单位)。虚拟私有接口的 MTU 可以是 1500 或 9001(巨型帧)。中转虚拟接口的 MTU 可以是 1500 或 8500(巨型帧)。您可以在创建接口时指定 MTU,也可以在创建接口后对其进行更新。将虚拟接口的 MTU 设置为 8500(巨型帧)或 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。要检查连接或虚拟接口是否支持巨型帧,请在 AWS Direct Connect 控制台中将其选中,然后在摘要选项卡上找到支持巨型帧。
为私有虚拟接口或中转虚拟接口启用巨型帧后,您只能将其与支持巨型帧的连接或 LAG 关联。连接到虚拟私有网关或 Direct Connect 网关的私有虚拟接口,或者连接到 Direct Connect 网关的中转虚拟接口支持巨型帧。如果您有两个公布相同路由但使用不同 MTU 值的私有虚拟接口,或者如果您有公布相同路由的站点到站点 VPN,则使用 1500 MTU。
重要
巨型帧仅适用于通过 AWS Direct Connect 的传播路由和通过中转网关的静态路由。中转网关上的巨型帧仅支持 8500 字节。
如果 EC2 实例不支持巨型帧,将从 Direct Connect 中删除巨型帧。除 C1、CC1、T1 和 M1 外,所有 EC2 实例类型都支持巨型帧。有关更多信息,请参阅《Amazon EC2 用户指南》中的 EC2 实例的网络最大传输单位(MTU)。。
对于托管连接,只有最初在 Direct Connect 托管父连接上启用时才能启用巨型帧。如果在父连接上未启用巨型帧,则在任何连接上都无法启用。
有关为私有虚拟接口设置 MTU 的步骤,请参阅设置私有虚拟接口的 MTU。