建立虛擬介面

您可以建立傳輸虛擬介面以連接至傳輸閘道，或建立公有虛擬介面以連接至公有資源 (非 VPC 服務)，或者建立私有虛擬介面以連接至 VPC。

要為您的帳戶或 AWS Organizations 與您 AWS Organizations的帳戶不同的虛擬界面創建虛擬界面，請創建託管虛擬界面。如需詳細資訊，請參閱 建立託管虛擬介面。

必要條件

開始之前，請務必先詳閱虛擬介面的先決條件所述資訊。

建立公有虛擬介面

建立公有虛擬介面之後，從審查到核准您的申請可能需要 72 小時的時間。

佈建公有虛擬介面

1. 請在以下位置開啟AWS Direct Connect主控台。 https://console.aws.amazon.com/directconnect/v2/home

2. 在導覽窗格中，選擇 Virtual Interfaces (虛擬介面)。

3. 選擇建立虛擬介面。

4. 在虛擬介面類型之下，針對類型選擇公有。

5. 在公有虛擬介面設定 之下，執行下列動作：

   1. 針對虛擬介面名稱，輸入虛擬介面的名稱。

   2. 針對連線，選擇要用於此介面的 Direct Connect 連線。

   3. 針對 VLAN，為您的虛擬區域網路 (VLAN) 輸入 ID 號碼。

   4. 針對 BGP ASN，為新的虛擬介面輸入您內部部署對等路由器的邊界閘道協定自治系統編號。

      有效值為 1-2147483647。

6. 在 Additional settings (其他設定) 之下，執行下列動作：

   1. 若要設定 IPv4 BGP 或 IPv6 對等，請執行下列動作：

      [IPv4] 若要設定 IPv4 BGP 對等，請選擇 IPv4，然後執行以下動作：

      • 若要自行指定這些 IP 地址，對於 Your router peer ip (您的路由器對等 IP)，輸入 Amazon 應傳送流量至該處的目的地 IPv4 CIDR 地址。

      • 對於 Amazon router peer IP (Amazon 路由器對等 IP)，輸入用以傳送流量至 AWS的 IPv4 CIDR 地址。

      [IPv6] 若要設定 IPv6 BGP 對等，請選擇 IPv6。對等 IPv6 地址是自動從 Amazon 的 IPv6 地址集區所指派。您無法指定自訂 IPv6 地址。

   2. 若要提供自己的 BGP 金鑰，請輸入您的 BGP MD5 金鑰。

      如果您未輸入值，我們會產生 BGP 金鑰。如果您提供了自己的金鑰，或者我們為您產生了金鑰，則該值會顯示在虛擬介面的虛擬介面詳細資料頁面之 BGP 驗證金鑰欄中。

   3. 若要對 Amazon 公告字首，對於欲公告的字首，輸入應透過虛擬介面將流量路由傳送至該處的目的地 IPv4 CIDR 地址 (以逗號分隔)。

      重要

      您可以將其他字首新增至現有的公有 VIF，並透過聯絡 AWS 支援部門來公告。在您的支援案例中，提供您要新增至公有 VIF 並公告的其他 CIDR 字首清單。

   4. (選用) 新增或移除標籤。

      [新增標籤] 選擇 Add tag (新增標籤)，並執行下列動作：

      • 對於 Key (金鑰)，輸入金鑰名稱。

      • 在值中，進入索引鍵值。

      [移除標籤] 在標籤旁邊，選擇 移除標籤。

7. 選擇建立虛擬介面。

8. 為您的裝置下載路由器組態。如需詳細資訊，請參閱 下載路由組態檔案。

使用命令列或 API 建立公有虛擬介面

• create-public-virtual-interface (AWS CLI)

• CreatePublicVirtualInterface(AWS Direct Connect API)

建立私有虛擬介面。

您可以將私有虛擬界面佈建到與 AWS Direct Connect 連線相同區域中的虛擬私有閘道。如需將私有虛擬介面佈建至 AWS Direct Connect 閘道的詳細資訊，請參閱使用 Direct Connect 閘道。

如果您是使用 VPC 精靈建立 VPC，系統將自動為您啟用路由傳播。透過路由傳播，路由會自動填入到您 VPC 中的路由表。您可以選擇停用路由傳播。如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的在路由表中啟用路由傳播。

網路連線的最大傳輸單位 (MTU) 係允許通過該連線的最大封包大小 (以位元組為單位)。虛擬私有介面的 MTU 可以是 1500 或 9001 (巨型訊框)。傳輸虛擬介面的 MTU 可以是 1500 或 8500 (巨型訊框)。當您可以在建立介面或在建立後更新時，指定 MTU。設定虛擬介面的 MTU 為 8500 (巨型訊框) 9001 (巨型訊框)，可能導致基礎實體連線的更新，如果未更新到支援巨型訊框。更新連線會干擾所有連線相關聯的虛擬介面的網路連線能力達 30 秒。若要檢查連線或虛擬介面是否支援巨型訊框，請在 AWS Direct Connect 主控台中選取該巨型訊框，然後在摘要索引標籤上找出具備巨型訊框能力。

佈建私有虛擬介面連往 VPC

1. 請在以下位置開啟AWS Direct Connect主控台。 https://console.aws.amazon.com/directconnect/v2/home

2. 在導覽窗格中，選擇 Virtual Interfaces (虛擬介面)。

3. 選擇建立虛擬介面。

4. 在虛擬介面類型之下，選擇「私有」。

5. 在公有虛擬介面設定之下，執行下列動作：

   1. 針對虛擬介面名稱，輸入虛擬介面的名稱。

   2. 針對連線，選擇要用於此介面的 Direct Connect 連線。

   3. 對於虛擬界面擁有者，如果虛擬界面適用於您的 AWS 帳戶，請選擇我的 AWS 帳戶。

   4. 對於 Direct Connect gateway (Direct Connect 閘道)，選擇 Direct Connect 閘道。

   5. 針對 VLAN，為您的虛擬區域網路 (VLAN) 輸入 ID 號碼。

   6. 針對 BGP ASN，為新的虛擬介面輸入您內部部署對等路由器的邊界閘道協定自治系統編號。

      有效值為 1 至 2147483647。

6. 在 Additional settings (其他設定) 之下，執行下列動作：

   1. 若要設定 IPv4 BGP 或 IPv6 對等，請執行下列動作：

      [IPv4] 若要設定 IPv4 BGP 對等，請選擇 IPv4，然後執行以下動作：

      • 若要自行指定這些 IP 地址，對於 Your router peer ip (您的路由器對等 IP)，輸入 Amazon 應傳送流量至該處的目的地 IPv4 CIDR 地址。

      • 對於 Amazon 路由器對等 IP，輸入用以傳送流量至 AWS的 IPv4 CIDR 地址。

        重要

        如果您允許 AWS 自動指派 IPv4 位址，則會根據 RFC 3927 從 IPv4 連結-本機配置 /29 CIDR。 point-to-point AWS 如果您打算使用客戶路由器對等 IP 位址作為 VPC 流量的來源和/或目的地，則不建議使用此選項。相反，您應該使用 RFC 1918 或其他位址（非 RFC 1918），並自行指定地址。

        • 如需有關 RFC 1918 的詳細資訊，請參閱私有網路的地址配置。

        • 如需有關 RFC 3927 的詳細資訊，請參閱 IPv4 Link-Local 地址的動態組態。

      [IPv6] 若要設定 IPv6 BGP 對等，請選擇 IPv6。對等 IPv6 地址是自動從 Amazon 的 IPv6 地址集區所指派。您無法指定自訂 IPv6 地址。

   2. 若要將最大傳輸單位 (MTU) 從 1500 (預設) 變更至 9001 (巨型框架)，請選取巨型 MTU (MTU 大小 9001)。

   3. (選擇性) 在「啟用」下 SiteLink，選擇「啟用」以在「直接連線」存在點之間啟用直 Connect 線。

   4. (選用) 新增或移除標籤。

      [新增標籤] 選擇 Add tag (新增標籤)，並執行下列動作：

      • 對於 Key (金鑰)，輸入金鑰名稱。

      • 在值中，進入索引鍵值。

      [移除標籤] 在標籤旁邊，選擇 移除標籤。

7. 選擇建立虛擬介面。

8. 為您的裝置下載路由器組態。如需詳細資訊，請參閱 下載路由組態檔案。

使用命令列或 API 建立私有虛擬介面

• create-private-virtual-interface (AWS CLI)

• CreatePrivateVirtualInterface(AWS Direct Connect API)

建立傳輸虛擬介面以連往 Direct Connect 閘道

若要將連 AWS Direct Connect 線連線至交通閘道，您必須為連線建立傳輸介面。指定要連接的 Direct Connect 閘道。

網路連線的最大傳輸單位 (MTU) 係允許通過該連線的最大封包大小 (以位元組為單位)。虛擬私有介面的 MTU 可以是 1500 或 9001 (巨型訊框)。傳輸虛擬介面的 MTU 可以是 1500 或 8500 (巨型訊框)。當您可以在建立介面或在建立後更新時，指定 MTU。設定虛擬介面的 MTU 為 8500 (巨型訊框) 9001 (巨型訊框)，可能導致基礎實體連線的更新，如果未更新到支援巨型訊框。更新連線會干擾所有連線相關聯的虛擬介面的網路連線能力達 30 秒。若要檢查連線或虛擬介面是否支援巨型訊框，請在 AWS Direct Connect 主控台中選取該巨型訊框，然後在摘要索引標籤上找出具備巨型訊框能力。

重要

如果您將傳輸閘道與一或多個 Direct Connect 閘道產生關聯，則傳輸閘道和 Direct Connect 閘道所使用的自治系統編號 (ASN) 必須不同。例如，如果您同時針對傳輸閘道和 Direct Connect 閘道使用預設 ASN 64512，則關聯要求會失敗。

將傳輸虛擬介面佈建於 Direct Connect 閘道

1. 請在以下位置開啟AWS Direct Connect主控台。 https://console.aws.amazon.com/directconnect/v2/home

2. 在導覽窗格中，選擇 Virtual Interfaces (虛擬介面)。

3. 選擇建立虛擬介面。

4. 在虛擬介面類型之下，針對類型選擇傳輸。

5. 在傳輸虛擬介面設定之下，執行下列動作：

   1. 針對虛擬介面名稱，輸入虛擬介面的名稱。

   2. 針對連線，選擇要用於此介面的 Direct Connect 連線。

   3. 對於虛擬界面擁有者，如果虛擬界面適用於您的 AWS 帳戶，請選擇我的 AWS 帳戶。

   4. 對於 Direct Connect gateway (Direct Connect 閘道)，選擇 Direct Connect 閘道。

   5. 針對 VLAN，為您的虛擬區域網路 (VLAN) 輸入 ID 號碼。

   6. 針對 BGP ASN，為新的虛擬介面輸入您內部部署對等路由器的邊界閘道協定自治系統編號。

      有效值為 1 至 2147483647。

6. 在 Additional settings (其他設定) 之下，執行下列動作：

   1. 若要設定 IPv4 BGP 或 IPv6 對等，請執行下列動作：

      [IPv4] 若要設定 IPv4 BGP 對等，請選擇 IPv4，然後執行以下動作：

      • 若要自行指定這些 IP 地址，對於 Your router peer ip (您的路由器對等 IP)，輸入 Amazon 應傳送流量至該處的目的地 IPv4 CIDR 地址。

      • 對於 Amazon 路由器對等 IP，輸入用以傳送流量至 AWS的 IPv4 CIDR 地址。

        重要

        如果您允許 AWS 自動指派 IPv4 位址，則會根據 RFC 3927 從 IPv4 連結-本機配置 /29 CIDR。 point-to-point AWS 如果您打算使用客戶路由器對等 IP 位址作為 VPC 流量的來源和/或目的地，則不建議使用此選項。相反，您應該使用 RFC 1918 或其他位址（非 RFC 1918），並自行指定地址。

        • 如需有關 RFC 1918 的詳細資訊，請參閱私有網路的地址配置。

        • 如需有關 RFC 3927 的詳細資訊，請參閱 IPv4 Link-Local 地址的動態組態。

      [IPv6] 若要設定 IPv6 BGP 對等，請選擇 IPv6。對等 IPv6 地址是自動從 Amazon 的 IPv6 地址集區所指派。您無法指定自訂 IPv6 地址。

   2. 若要將最大傳輸單位 (MTU) 從 1500 (預設) 變更至 8500 (巨型框架)，請選取 Jumbo MTU (MTU size 8500) (巨型 MTU (MTU 大小 8500))。

   3. (選擇性) 在「啟用」下 SiteLink，選擇「啟用」以在「直接連線」存在點之間啟用直 Connect 線。

   4. (選用) 新增或移除標籤。

      [新增標籤] 選擇 Add tag (新增標籤)，並執行下列動作：

      • 對於 Key (金鑰)，輸入金鑰名稱。

      • 在值中，進入索引鍵值。

      [移除標籤] 在標籤旁邊，選擇 移除標籤。

7. 選擇建立虛擬介面。

建立虛擬介面之後，您可為您的裝置下載路由器組態。如需詳細資訊，請參閱 下載路由組態檔案。

使用命令列或 API 建立傳輸虛擬介面

• create-transit-virtual-interface (AWS CLI)

• CreateTransitVirtualInterface(AWS Direct Connect API)

使用命令列或 API 檢視連接至 Direct Connect 閘道的虛擬介面

• describe-direct-connect-gateway-attachments (AWS CLI)

• DescribeDirectConnectGateway附件 (AWS Direct Connect API)

下載路由組態檔案

建立虛擬介面且介面狀態為啟動之後，您可以下載路由器的路由器組態檔案。

如果您將以下任何路由器用於已啟用 MACsec 的虛擬介面，我們會自動為您的路由器建立組態檔案：

• 執行 NX-OS 9.3 或更新版本軟體的 Cisco Nexus 9K+ Series switches

• 執行 JunOS 9.5 或更新版本軟體的 Juniper Networks M/MX Series Routers

1. 開啟主AWS Direct Connect控台，網址為 https://console.aws.amazon.com/directconnect/v2/home。

2. 在導覽窗格中，選擇 Virtual Interfaces (虛擬介面)。

3. 選取虛擬介面，然後選擇檢視詳細資訊。

4. 選擇 Download router configuration (下載路由器組態)。

5. 對於 Download Router Configuration (下載路由器組態)，請執行以下動作：

   1. 針對 Vendor (廠商)，選取路由器的製造商。

   2. 針對 Platform (平台)，選取路由器的型號。

   3. 針對 Software (軟體)，選取路由器的軟體版本。

6. 選擇 Download (下載)，接著使用路由器的適當組態來確保您可以連接至 AWS Direct Connect。

MACsec 考量

如果您需要為 MACsec 手動設定路由器，請使用下表作為指導方針。

參數	描述
CKN 長度	這是 64 個十六進位字元 (0–9，A–E) 字串。使用完整長度來最大化跨平台相容性。
CAK 長度	這是 64 個十六進位字元 (0–9，A–E) 字串。使用完整長度來最大化跨平台相容性。
密碼編譯演算法	AES_256_CMAC
SAK 密碼套件	對於 100 Gbps 連線：GCM_AES_XPN_256 對於 10 Gbps 連線：GCM_AES_XPN_256 or GCM_AES _256
金鑰密碼套件	16
機密性位移	0
ICV 指示器	否
SAK 重設金鑰時間	PN 變換 >