AWS Direct Connect 虚拟接口 - AWS Direct Connect

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Direct Connect 虚拟接口

您必须创建以下虚拟接口之一,才能开始使用您的 AWS Direct Connect 连接。

  • 私有虚拟接口:应使用私有虚拟接口访问使用私有 IP 地址的 Amazon VPC。

  • 公共虚拟接口:公共虚拟接口可以访问所有接口AWS使用公有 IP 地址的公共服务。

  • 传输虚拟接口:应使用传输虚拟接口来访问一个或多个与 Direct Connect 网关关联的 Amazon VPC 传输网关。您可以将公交虚拟接口与任何接口配合使用AWS Direct Connect任何速度的专用或托管连接。有关 Direct Connect 网关配置的信息,请参阅Direct Connect 网关

要连接到其他AWS使用 IPv6 地址的服务,请查看服务文档以验证是否支持 IPv6 寻址。

我们会向您宣传合适的亚马逊前缀,以便您可以访问自己的 VPC 或其他AWS服务。你可以访问全部AWS通过此连接添加前缀;例如,亚马逊 EC2、亚马逊 S3 和亚马逊。您无权访问非 Amazon 前缀。如需查看当前发布的前缀列表AWS,请参阅AWSIP 地址范围Amazon Web Services 一般参考。AWS不会重新宣传已收到的客户前缀AWS与其他客户直接连接公共虚拟接口。有关公共虚拟接口和路由策略的更多信息,请参阅公有虚拟接口路由策略

注意

我们建议您使用防火墙筛选条件 (根据数据包的源/目标地址) 来控制流量传入和传出某些前缀。如果您使用前缀筛选条件 (路由映射),请确保它接受精确匹配或更长的前缀。从 AWS Direct Connect 公布的前缀可能会聚合,也可能与前缀筛选条件中定义的前缀不同。

托管的虚拟接口

要使用你的AWS Direct Connect与其他账户关联后,您可以为该账户创建托管虚拟接口。其他账户的所有者在开始使用它之前必须接受托管虚拟接口。托管虚拟接口与标准虚拟端口的工作方式相同,可以连接至公有资源或 VPC。

您可以使用任何速度的传输虚拟接口 Direct Connect 专用连接或托管连接。托管连接仅支持一个虚拟接口。

要创建虚拟接口,您需要以下信息:

资源 必填信息
Connection 的AWS Direct Connect正在为其创建虚拟接口的连接或链路聚合组 (LAG)。
虚拟接口名称 虚拟接口的名称。
虚拟接口所有者 如果您要为其他账户创建虚拟界面,则需要AWS另一个账户的账户 ID。
(仅限私有虚拟接口)连接 用于连接到同一个 VPCAWS区域,您需要您的 VPC 的虚拟私有网关。BGP 会话亚马逊端的 ASN 继承自虚拟专用网关。创建虚拟专用网关时,您可以指定自己的私有 ASN。否则,亚马逊会提供默认 ASN。有关更多信息,请参阅创建虚拟专用网关亚马逊 VPC 用户指南。要通过专线网关连接到 VPC,则需要专线网关。有关更多信息,请参阅 Direct Connect 网关
VLAN 您的连接中尚未使用的唯一虚拟局域网 (VLAN) 标记。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 AWS Direct Connect 连接的流量都必须有此标签。

如果您有托管连接,则您的AWS Direct Connect合作伙伴提供了这种价值。创建虚拟接口后,您无法修改该值。

对等 IP 地址 虚拟接口可以支持 IPv4、IPv6 或其中一个(双栈)的 BGP 对等会话。请勿使用亚马逊池中的弹性 IP (EIP) 来创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配给 BGP 对等会话虚拟接口的两端。
  • IPv4:

    • (仅限公共虚拟接口)您必须指定自己拥有的唯一公有 IPv4 地址。值可以是以下之一:

      • 客户拥有的 IPv4 CIDR

      • 您拥有的 IP 范围AWS Direct Connect合作伙伴或 ISP,以及 LOA-CFA 授权

      • 一个AWS-提供 /31 CIDR。联系我们AWS支持请求公有 IPv4 CIDR(并在请求中提供用例)

        注意

        我们不能保证我们能够满足所有要求AWS-提供了公有 IPv4 地址。

    • (仅限私有虚拟接口)亚马逊可以为您生成私有 IPv4 地址。如果您自行指定,请确保仅为路由器接口和 AWS Direct Connect 接口指定私有 CIDR (例如,不要从本地网络中指定其他 IP 地址)。

  • IPv6:亚马逊会自动为您分配一个 /125 IPv6 CIDR。您不能指定自己的对等 IPv6 地址。

地址家庭 BGP 对等会话是通过 IPv4 还是 IPv6 进行。
BGP 信息
  • BGP 会话中您一方的公共或私有边界网关协议 (BGP) 自治系统号 (ASN)。如果您使用的是公共 ASN,则必须拥有它。如果您使用的是私有 ASN,则可以设置自定义 ASN 值。对于 16 位 ASN,该值必须在 64512 到 65534 范围内。对于 32 位 ASN,该值必须在 1 到 2147483647 的范围内。如果您使用私有 ASN 作为公共虚拟接口,则预置自治系统 (AS) 不起作用。

  • AWS默认情况下启用 MD5。您无法修改此选项。

  • 一个 MD5 BGP 身份验证密钥。您可以自己提供,也可以让亚马逊为您生成一个。

(仅限公共虚拟接口)你想宣传的前缀

通过 BGP 发布的公有 IPv4 路由或 IPv6 路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。

  • IPv4:IPv4 CIDR 可以与使用宣布的另一个公有 IPv4 CIDR 重叠AWS Direct Connect当以下任一条件为真时:

    • CIDR 来自不同的AWS区域。确保在公共前缀上应用 BGP 社区标签。

    • 当您在主动/被动配置中拥有公共 ASN 时,可以使用 AS_PATH。

    有关更多信息,请参阅路由策略和 BGP 社区

  • IPv6:指定 /64 或更短的前缀长度。

  • 您可以向现有的公共 VIF 添加其他前缀并通过联系来宣传这些前缀AWS支撑。在您的支持案例中,请提供您要添加到公共 VIF 的其他 CIDR 前缀的列表并进行宣传。

  • 您可以通过 Direct Connect 公共虚拟接口指定任何前缀长度。IPv4 应该支持 /1-/32 之间的任何内容,而 IPv6 应该支持 /1-/64 之间的任何内容。

(仅限私有虚拟接口)巨型帧 数据包的最大传输单位 (MTU)AWS Direct Connect。默认值为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于从 AWS Direct Connect 传播的路由。如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在中将其选中AWS Direct Connect控制台然后查找支持巨型画面在虚拟接口上常规配置页面。
(仅限传输虚拟接口)巨型帧 数据包的最大传输单位 (MTU)AWS Direct Connect。默认值为 1500。如果未更新虚拟接口以支持巨型帧,则将虚拟接口的 MTU 设置为 8500(巨型帧)可能会导致底层物理连接更新。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。Direct Connect 最多支持 8500 MTU 的巨型帧。在公交网关路由表中配置的静态路由和传播路由将支持巨型帧,包括从具有 VPC 静态路由表条目的 EC2 实例到公交网关附件。要检查连接或虚拟接口是否支持巨型帧,请在中将其选中AWS Direct Connect控制台然后查找支持巨型画面在虚拟接口上常规配置页面。

如果您要创建私有或传输虚拟接口,则可以使用 SiteLink。

SiteLink 是虚拟专用接口的可选 Direct Connect 功能,可实现任意两个 Direct Connect 接入点之间的连接 (PoPs) 在同一个地方AWS使用最短的可用路径进行分区AWS网络。这允许您通过以下方式连接本地网络AWS全球网络,无需通过区域路由您的流量。有关以下内容的更多信息 SiteLink 看到简介AWS Direct Connect SiteLink

注意

SiteLink 在中不可用AWS GovCloud (US)和中国地区。

使用时需要支付单独的定价费 SiteLink。有关更多信息,请参阅AWS直接连接定价

SiteLink 不支持所有虚拟接口类型。下表显示了接口类型以及它是否受支持。

虚拟接口类型 支持/不支持
公交虚拟接口 支持
通过虚拟网关连接到 Direct Connect 网关的私有虚拟接口 支持
连接到直接连接网关的私有虚拟接口与虚拟网关或传输网关关联 支持
连接到虚拟网关的私有虚拟接口 不支持
公共虚拟接口 不支持

来自的流量的流量路由行为AWS 区域(虚拟网关或中转网关)通过以下方式连接到本地位置 SiteLink 启用的虚拟接口与默认的 Direct Connect 虚拟接口行为略有不同AWS路径前缀。什么时候 SiteLink已启用,虚拟接口来自AWS 区域无论关联的区域如何,首选直接连接位置的 AS 路径长度较低的 BGP 路径。例如,每个 Direct Connect 位置都会通告一个关联的区域。如果 SiteLink 已禁用,默认情况下,来自虚拟网关或传输网关的流量首选与该网关关联的 Direct Connect 位置AWS 区域,即使来自与不同区域关联的 Direct Connect 位置的路由器通告 AS 路径长度较短的路径。虚拟网关或传输网关仍然首选从本地的 Direct Connect 位置到关联网关的路径AWS 区域。

SiteLink 支持最大巨型帧 MTU 大小为 8500 或 9001,具体取决于虚拟接口类型。有关更多信息,请参阅为私有虚拟接口或传输虚拟接口设置网络 MTU

虚拟接口的先决条件

在创建虚拟接口之前,请执行以下操作:

要创建虚拟接口,您需要以下信息:

资源 必填信息
Connection 的AWS Direct Connect正在为其创建虚拟接口的连接或链路聚合组 (LAG)。
虚拟接口名称 虚拟接口的名称。
虚拟接口所有者 如果您要为其他账户创建虚拟界面,则需要AWS另一个账户的账户 ID。
(仅限私有虚拟接口)连接 用于连接到同一个 VPCAWS区域,您需要您的 VPC 的虚拟私有网关。BGP 会话亚马逊端的 ASN 继承自虚拟专用网关。创建虚拟专用网关时,您可以指定自己的私有 ASN。否则,亚马逊会提供默认 ASN。有关更多信息,请参阅创建虚拟专用网关亚马逊 VPC 用户指南。要通过专线网关连接到 VPC,则需要专线网关。有关更多信息,请参阅 Direct Connect 网关
VLAN 您的连接中尚未使用的唯一虚拟局域网 (VLAN) 标记。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 AWS Direct Connect 连接的流量都必须有此标签。

如果您有托管连接,则您的AWS Direct Connect合作伙伴提供了这种价值。创建虚拟接口后,您无法修改该值。

对等 IP 地址 虚拟接口可以支持 IPv4、IPv6 或其中一个(双栈)的 BGP 对等会话。请勿使用亚马逊池中的弹性 IP (EIP) 来创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配给 BGP 对等会话虚拟接口的两端。
  • IPv4:

    • (仅限公共虚拟接口)您必须指定自己拥有的唯一公有 IPv4 地址。值可以是以下之一:

      • 客户拥有的 IPv4 CIDR

      • 您拥有的 IP 范围AWS Direct Connect合作伙伴或 ISP,以及 LOA-CFA 授权

      • 一个AWS-提供 /31 CIDR。联系我们AWS支持请求公有 IPv4 CIDR(并在请求中提供用例)

        注意

        我们不能保证我们能够满足所有要求AWS-提供了公有 IPv4 地址。

    • (仅限私有虚拟接口)亚马逊可以为您生成私有 IPv4 地址。如果您自行指定,请确保仅为路由器接口和 AWS Direct Connect 接口指定私有 CIDR (例如,不要从本地网络中指定其他 IP 地址)。

  • IPv6:亚马逊会自动为您分配一个 /125 IPv6 CIDR。您不能指定自己的对等 IPv6 地址。

地址家庭 BGP 对等会话是通过 IPv4 还是 IPv6 进行。
BGP 信息
  • BGP 会话中您一方的公共或私有边界网关协议 (BGP) 自治系统号 (ASN)。如果您使用的是公共 ASN,则必须拥有它。如果您使用的是私有 ASN,则可以设置自定义 ASN 值。对于 16 位 ASN,该值必须在 64512 到 65534 范围内。对于 32 位 ASN,该值必须在 1 到 2147483647 的范围内。如果您使用私有 ASN 作为公共虚拟接口,则预置自治系统 (AS) 不起作用。

  • AWS默认情况下启用 MD5。您无法修改此选项。

  • 一个 MD5 BGP 身份验证密钥。您可以自己提供,也可以让亚马逊为您生成一个。

(仅限公共虚拟接口)你想宣传的前缀

通过 BGP 发布的公有 IPv4 路由或 IPv6 路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。

  • IPv4:IPv4 CIDR 可以与使用宣布的另一个公有 IPv4 CIDR 重叠AWS Direct Connect当以下任一条件为真时:

    • CIDR 来自不同的AWS区域。确保在公共前缀上应用 BGP 社区标签。

    • 当您在主动/被动配置中拥有公共 ASN 时,可以使用 AS_PATH。

    有关更多信息,请参阅路由策略和 BGP 社区

  • IPv6:指定 /64 或更短的前缀长度。

  • 您可以向现有的公共 VIF 添加其他前缀并通过联系来宣传这些前缀AWS支撑。在您的支持案例中,请提供您要添加到公共 VIF 的其他 CIDR 前缀的列表并进行宣传。

  • 您可以通过 Direct Connect 公共虚拟接口指定任何前缀长度。IPv4 应该支持 /1-/32 之间的任何内容,而 IPv6 应该支持 /1-/64 之间的任何内容。

(仅限私有虚拟接口)巨型帧 数据包的最大传输单位 (MTU)AWS Direct Connect。默认值为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于从 AWS Direct Connect 传播的路由。如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在中将其选中AWS Direct Connect控制台然后查找支持巨型画面在虚拟接口上常规配置页面。
(仅限传输虚拟接口)巨型帧 数据包的最大传输单位 (MTU)AWS Direct Connect。默认值为 1500。如果未更新虚拟接口以支持巨型帧,则将虚拟接口的 MTU 设置为 8500(巨型帧)可能会导致底层物理连接更新。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。Direct Connect 最多支持 8500 MTU 的巨型帧。在公交网关路由表中配置的静态路由和传播路由将支持巨型帧,包括从具有 VPC 静态路由表条目的 EC2 实例到公交网关附件。要检查连接或虚拟接口是否支持巨型帧,请在中将其选中AWS Direct Connect控制台然后查找支持巨型画面在虚拟接口上常规配置页面。

创建虚拟接口时,可以指定拥有虚拟接口的账户。当您选择不是您的 AWS 账户时,以下规则适用:

  • 对于私有 VIF 和传输 VIF,该账户适用于虚拟接口和虚拟私有网关/Direct Connect 网关目标。

  • 对于公有 VIF,该账户用于虚拟接口计费。数据传出 (DTO) 使用量按资源所有者计量,网址为AWS Direct Connect数据传输速率。

注意

所有 Direct Connect 虚拟接口类型都支持 31 位前缀。请参阅RFC 3021:在 IPv4 点对点链路上使用 31 位前缀了解更多信息。