创建虚拟接口 - Amazon Direct Connect
创建公有虚拟接口创建私有虚拟接口创建到 Direct Connect 网关的中转虚拟接口下载路由器配置文件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建虚拟接口

您可以创建一个中转虚拟接口连接中转网关,创建一个公有虚拟接口连接公有资源(非 VPC 服务),或创建一个私有虚拟接口连接 VPC。

要为 Amazon Organizations 或与您不同的 Amazon Organizations 内的账户创建虚拟接口,请创建托管的虚拟接口。有关更多信息,请参见 创建托管虚拟接口

先决条件

在您开始之前,请确保您阅读了 虚拟接口的先决条件中的信息。

创建公有虚拟接口

当您创建一个公有虚拟接口时,我们可能需要长达 72 小时来审核和批准您的请求。

预配置公有虚拟接口

  1. 打开Amazon Direct Connect控制台,网址为 https://console.aws.amazon.com/directconnect/v2/home

  2. 在导航窗格中,选择 Virtual Interfaces

  3. 选择 Create virtual interface (创建虚拟接口)

  4. Virtual interface type (虚拟接口类型) 下,对于 Type (类型),选择 Public (公有)

  5. Public virtual interface settings (公有虚拟接口设置) 下,执行以下操作:

    1. 对于 Virtual interface name (虚拟接口名称),输入虚拟接口名称。

    2. 对于 Connection (连接),选择要用于此接口的 Direct Connect 连接。

    3. 对于 VLAN,输入您的虚拟局域网 (VLAN) 的 ID 号。

    4. 对于 BGP ASN,输入新虚拟接口的本地对等路由器的边界网关协议自治系统号。

      有效值为 1-2147483647。

  6. Additional settings (其他设置) 下,执行以下操作:

    1. 要配置 IPv4 BGP 或 IPv6 对等,请执行以下操作:

      [IPv4] 要配置 IPv4 BGP 对等,请选择 IPv4,然后执行下列操作之一:

      • 要自行指定这些 IP 地址,对于 Your router peer IP (您的路由器对等 IP),输入 Amazon 将流量发送到的目标 IPv4 CIDR 地址。

      • 对于 Amazon 路由器对等 IP,输入用于将流量发送到 Amazon 的 IPv4 CIDR 地址。

      [IPv6] 要配置 IPv6 BGP 对等,请选择 IPv6。对等 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    2. 要提供您自己的 BGP 密钥,请输入您的 BGP MD5 密钥。

      如果您不输入值,我们将生成一个 BGP 密钥。如果您提供了自己的密钥,或者我们为您生成了密钥,则该值将显示在虚拟接口的虚拟接口详细信息页面上的 BGP 身份验证密钥列中。

    3. 要将前缀公布到 Amazon,对于 Prefixes you want to advertise (您要公布的前缀),输入通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址(用逗号分隔)。

      重要

      您可以向现有的公有 VIF 添加额外的前缀,并联系 Amazon support 来公布这些前缀。在您的支持案例中,请提供您希望添加到公有 VIF 并进行公布的其他 CIDR 前缀列表。

    4. (可选)添加或删除标签。

      [添加标签] 选择 Add tag(添加标签),然后执行以下操作:

      • 对于 Key(键),输入键名称。

      • 对于,输入键值。

      [删除标签] 在标签旁,选择 Remove tag (删除标签)

  7. 选择 Create virtual interface (创建虚拟接口)

  8. 为您的设备下载路由器配置。有关更多信息,请参见 下载路由器配置文件

使用命令行或 API 创建公有虚拟接口

创建私有虚拟接口

您可以为您的 Amazon Direct Connect 连接所在的区域中的虚拟私有网关预置一个私有虚拟接口。有关预置到 Amazon Direct Connect 网关的私有虚拟接口的更多信息,请参阅使用 Direct Connect 网关

如果您使用 VPC 向导创建 VPC,系统将自动为您启用路线传播。通过路线传播,路线会自动添加到您 VPC 中的路线表。如果您愿意,您可以停用路线传播。有关更多信息,请参阅《Amazon VPC 用户指南》中的在路由表中启用路由传播

网络连接的最大传输单位 (MTU) 是能够通过该连接传递的最大可允许数据包的大小(以字节为单位)。虚拟私有接口的 MTU 可以是 1500 或 9001(巨型帧)。中转虚拟接口的 MTU 可以是 1500 或 8500(巨型帧)。您可以在创建接口时指定 MTU,也可以在创建接口后对其进行更新。将虚拟接口的 MTU 设置为 8500(巨型帧)或 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。要检查连接或虚拟接口是否支持巨型帧,请在 Amazon Direct Connect 控制台中将其选中,然后在摘要选项卡上找到支持巨型帧

配置与 VPC 间的私有虚拟接口

  1. 打开Amazon Direct Connect控制台,网址为 https://console.aws.amazon.com/directconnect/v2/home

  2. 在导航窗格中,选择 Virtual Interfaces

  3. 选择 Create virtual interface (创建虚拟接口)

  4. 虚拟接口类型下,选择私有

  5. 私有虚拟接口设置下,执行以下操作:

    1. 对于 Virtual interface name (虚拟接口名称),输入虚拟接口名称。

    2. 对于 Connection (连接),选择要用于此接口的 Direct Connect 连接。

    3. 对于虚拟接口所有者,如果虚拟接口用于您的 Amazon 账户,则选择我的 Amazon 账户

    4. 对于 Direct Connect 网关,选择 Direct Connect 网关。

    5. 对于 VLAN,输入您的虚拟局域网 (VLAN) 的 ID 号。

    6. 对于 BGP ASN,输入新虚拟接口的本地对等路由器的边界网关协议自治系统号。

      有效值为 1 到 2147483647。

  6. 附加设置下,执行以下操作:

    1. 要配置 IPv4 BGP 或 IPv6 对等,请执行以下操作:

      [IPv4] 要配置 IPv4 BGP 对等,请选择 IPv4,然后执行下列操作之一:

      • 要自行指定这些 IP 地址,对于 Your router peer IP (您的路由器对等 IP),输入 Amazon 将流量发送到的目标 IPv4 CIDR 地址。

      • 对于 Amazon 路由器对等 IP,输入用于将流量发送到 Amazon 的 IPv4 CIDR 地址。

        重要

        如果您允许Amazon自动分配 IPv4 地址,则将根据 RFC 3927 从 169.254.0.0/16 IPv4 Link-Local 中分配 /29 CIDR 以进行连接。 point-to-point Amazon如果您打算使用客户路由器对等 IP 地址作为 VPC 流量的源和/或目的地,则不建议使用此选项。相反,你应该使用 RFC 1918 或其他寻址(非 RFC 1918),然后自己指定地址。

      [IPv6] 要配置 IPv6 BGP 对等,请选择 IPv6。对等 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    2. 要将最大传输单元(MTU)从 1500(默认)更改为 9001(巨型帧),请选择巨型帧 MTU(MTU 大小 9001)

    3. (可选)在 “用” 下 SiteLink,选择 “启用” 以启用 Direct Connect 接入点之间的直接连接。

    4. (可选)添加或删除标签。

      [添加标签] 选择 Add tag(添加标签),然后执行以下操作:

      • 对于 Key(键),输入键名称。

      • 对于,输入键值。

      [删除标签] 在标签旁,选择 Remove tag (删除标签)

  7. 选择 Create virtual interface (创建虚拟接口)

  8. 为您的设备下载路由器配置。有关更多信息,请参见 下载路由器配置文件

使用命令行或 API 创建私有虚拟接口

创建到 Direct Connect 网关的中转虚拟接口

要将您的 Amazon Direct Connect 连接到中转网关,必须为您的连接创建一个中转接口。指定要连接到的 Direct Connect 网关。

网络连接的最大传输单位 (MTU) 是能够通过该连接传递的最大可允许数据包的大小(以字节为单位)。虚拟私有接口的 MTU 可以是 1500 或 9001(巨型帧)。中转虚拟接口的 MTU 可以是 1500 或 8500(巨型帧)。您可以在创建接口时指定 MTU,也可以在创建接口后对其进行更新。将虚拟接口的 MTU 设置为 8500(巨型帧)或 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。要检查连接或虚拟接口是否支持巨型帧,请在 Amazon Direct Connect 控制台中将其选中,然后在摘要选项卡上找到支持巨型帧

重要

如果您将中转网关与一个或多个 Direct Connect 网关关联,则中转网关和 Direct Connect 网关使用的自治系统号(ASN)必须不同。例如,如果您对中转网关和 Direct Connect 网关使用默认的 ASN 64512,则关联请求将失败。

为 Direct Connect 网关配置中转虚拟接口

  1. 打开Amazon Direct Connect控制台,网址为 https://console.aws.amazon.com/directconnect/v2/home

  2. 在导航窗格中,选择 Virtual Interfaces

  3. 选择 Create virtual interface (创建虚拟接口)

  4. Virtual interface type (虚拟接口类型) 下,对于 Type (类型),选择 Transit (中转)

  5. Transit virtual interface settings (中转虚拟接口设置) 下,执行以下操作:

    1. 对于 Virtual interface name (虚拟接口名称),输入虚拟接口名称。

    2. 对于 Connection (连接),选择要用于此接口的 Direct Connect 连接。

    3. 对于虚拟接口所有者,如果虚拟接口用于您的 Amazon 账户,则选择我的 Amazon 账户

    4. 对于 Direct Connect 网关,选择 Direct Connect 网关。

    5. 对于 VLAN,输入您的虚拟局域网 (VLAN) 的 ID 号。

    6. 对于 BGP ASN,输入新虚拟接口的本地对等路由器的边界网关协议自治系统号。

      有效值为 1 到 2147483647。

  6. 附加设置下,执行以下操作:

    1. 要配置 IPv4 BGP 或 IPv6 对等,请执行以下操作:

      [IPv4] 要配置 IPv4 BGP 对等,请选择 IPv4,然后执行下列操作之一:

      • 要自行指定这些 IP 地址,对于 Your router peer IP (您的路由器对等 IP),输入 Amazon 将流量发送到的目标 IPv4 CIDR 地址。

      • 对于 Amazon 路由器对等 IP,输入用于将流量发送到 Amazon 的 IPv4 CIDR 地址。

        重要

        如果您允许Amazon自动分配 IPv4 地址,则将根据 RFC 3927 从 169.254.0.0/16 IPv4 Link-Local 中分配 /29 CIDR 以进行连接。 point-to-point Amazon如果您打算使用客户路由器对等 IP 地址作为 VPC 流量的源和/或目的地,则不建议使用此选项。相反,你应该使用 RFC 1918 或其他寻址(非 RFC 1918),然后自己指定地址。

      [IPv6] 要配置 IPv6 BGP 对等,请选择 IPv6。对等 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    2. 要将最大传输单元 (MTU) 从 1500(默认)更改为 8500(巨型帧),请选择 Jumbo MTU (MTU size 8500) (巨型帧 MTU (MTU 大小 8500))

    3. (可选)在 “用” 下 SiteLink,选择 “启用” 以启用 Direct Connect 接入点之间的直接连接。

    4. (可选)添加或删除标签。

      [添加标签] 选择 Add tag(添加标签),然后执行以下操作:

      • 对于 Key(键),输入键名称。

      • 对于,输入键值。

      [删除标签] 在标签旁,选择 Remove tag (删除标签)

  7. 选择 Create virtual interface (创建虚拟接口)

创建虚拟接口后,您可以为设备下载路由器配置。有关更多信息,请参见 下载路由器配置文件

使用命令行或 API 创建中转虚拟接口
使用命令行或 API 查看附加到 Direct Connect 网关的虚拟接口

下载路由器配置文件

创建虚拟接口后且接口状态为运行时,您可以下载路由器的路由器配置文件。

如果您将以下任何路由器用于开启 MACsec 的虚拟接口,我们会自动为您的路由器创建配置文件:

  • 运行 NX-OS 9.3 或更高版本软件的 Cisco Nexus 9K+ 系列交换机

  • 运行 JunOS 9.5 或更高版本软件的 Juniper Networks M/X 系列路由器

  1. 打开Amazon Direct Connect控制台,网址为 https://console.aws.amazon.com/directconnect/v2/home

  2. 在导航窗格中,选择 Virtual Interfaces

  3. 选择虚拟接口,然后选择 View details (查看详细信息)

  4. 选择 Download router configuration (下载路由器配置)

  5. 对于下载路由器配置,执行以下操作:

    1. 对于 Vendor (供应商),选择您的路由器的生产商。

    2. 对于 Platform,选择您的路由器型号。

    3. 对于 Software,选择您的路由器软件版本。

  6. 选择下载,然后使用适合您的路由器的配置,以确保您可以连接到 Amazon Direct Connect。

MACsec 注意事项

如果需要为 MACsec 手动配置路由器,请参考下表。

参数 描述
CKN 长度 这是一个 64 十六进制字符(0-9,A-E)字符串。使用全长可最大限度地提高跨平台兼容性。
CAK 长度 这是一个 64 十六进制字符(0-9,A-E)字符串。使用全长可最大限度地提高跨平台兼容性。
加密算法 AES_256_CMAC
SAK 密码套件

  • 对于 100Gbps 连接:GCM_AES_XPN_256

  • 对于 10Gbps 连接:GCM_AES_XPN_256 或 GCM_AES_256
密钥密码套件 16
加密偏移 0
ICV 指示符
SAK 更改密钥时间 PN 滚动>