AWS Direct Connect
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

开始使用 AWS Direct Connect

您可以使用以下方法之一设置 AWS Direct Connect 连接:

  • 在 AWS Direct Connect 位置。

  • 通过 AWS 合作伙伴网络 (APN) 或网络运营商的成员。

  • 通过由 APN 成员提供的托管联接。

APN 中的合作伙伴可帮助您建立网络线路来连接 AWS Direct Connect 位置与数据中心、办公室或托管环境,或者在 AWS Direct Connect 所在设施内提供托管空间。有关更多信息,请参阅 http://www.amazonaws.cn/directconnect/partners。如果您托管的设备与 AWS Direct Connect 不在同一设施内,则可以通过网络提供商连接到 AWS Direct Connect。该提供商不必是 APN 的成员就能为您提供连接。

在开始之前,请确认您的设备符合 网络要求 中列出的规范。

步骤 1:注册 AWS

要使用 AWS Direct Connect,您需要一个 AWS 账户(如果还没有)。

如何注册 AWS 账户

  1. 打开 http://www.amazonaws.cn/,然后选择 Create an AWS Account。

  2. 按照屏幕上的说明进行操作。

    作为注册流程的一部分,您会收到一个电话,需要您使用电话键盘输入一个 PIN 码。

步骤 2:提交 AWS Direct Connect 连接申请

您可以使用 AWS Direct Connect 控制台提交连接申请。在您开始之前,请确保您已拥有以下信息:

  • 您要求的端口速度:1 Gbps 或 10 Gbps。在您创建连接请求之后,无法更改端口速度。

  • 要连接到的 AWS Direct Connect 位置。

如果需要的端口速度低于 1 Gbps,您无法使用控制台请求连接。相反,您需要联系 APN 合作伙伴,由对方为您创建托管连接。托管连接显示在 AWS Direct Connect 控制台中,必须先接受,然后才能使用。请跳过以下步骤并转至接受托管连接

如何创建新的 AWS Direct Connect 连接

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. 在导航栏中,选择要在其中连接到 AWS Direct Connect 的区域。有关更多信息,请参阅区域和终端节点

  3. Welcome to AWS Direct Connect 屏幕上,选择 Get Started with Direct Connect

  4. Create a Connection (创建连接) 对话框中,执行以下操作:

    “创建连接”对话框
    1. 对于 Connection Name,输入连接的名称。

    2. 对于 LAG Association,请指定连接是否为独立的,或它是否应与您账户中的链接聚合组 (LAG) 关联。如果您将此连接与 LAG 关联,请选择 LAG ID。创建此连接的端口速度和位置与 LAG 中所指定的相同。有关更多信息,请参阅 链接聚合组

    3. 对于 Location,选择适当的 AWS Direct Connect 位置。

      注意

      如果您在 AWS Direct Connect 位置没有设备,请选择 contact one of our partners

    4. 选择适当的端口速度,然后单击 Create

      您的连接会列在 AWS Direct Connect 控制台的 Connections (连接) 窗格上。

有关创建和使用 AWS Direct Connect 连接的更多信息,请参阅连接

接受托管连接

如果您从所选合作伙伴请求了低于 1G 的连接,合作伙伴将为您创建托管连接。您必须在 AWS Direct Connect 控制台中接受该托管连接,然后才能创建虚拟接口。

如何接受托管连接

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. 如有必要,请选择托管连接所在的区域。有关更多信息,请参阅区域和终端节点

  3. 在导航窗格中,选择 Connections

  4. Connections 窗格中选择托管连接。

    “连接”窗格
  5. 选择 I understand that Direct Connect port charges apply once I click "Accept This Connection",然后选择 Accept Connection

  6. 转到步骤 4 继续设置您的 AWS Direct Connect 连接。

步骤 3:下载 LOA-CFA

在您创建了连接请求后,AWS 将提供《授权证书和连接设备分配 (LOA-CFA)》供您下载,也可能向您发送电子邮件,要求您提供更多信息。如果收到提供更多信息的请求,您必须在 7 日内回复,否则将删除该连接。LOA-CFA 是连接到 AWS 时使用的授权,托管提供商或您的网络提供商建立交叉网络连接 (cross-connect) 时需要此授权。

下载 LOA-CFA

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. 在导航窗格中,选择 Connections

  3. 选择 ActionsDownload LOA-CFA

    注意

    如果未启用链接,则 LOA-CFA 尚不可供您下载。查看您的电子邮件,了解是否要求您提供更多信息。如果仍不可用,或者您在 72 小时后仍未收到电子邮件,请联系 AWS Support

  4. 在对话框中,如果您希望将提供商名称作为请求者与公司名称一起显示在 LOA-CFA 中,可以选择输入您提供商的名称。选择 Download。LOA-CFA 以 PDF 文件格式下载到您的计算机中。

在您下载 LOA-CFA 以后,请执行以下操作之一:

  • 如果您与网络提供商合作,请将 LOA-CFA 发送到网络提供商,以便您为自己订购交叉连接。如果您在 AWS Direct Connect 位置没有设备,就无法在该位置为自己订购交叉连接。您的网络提供商为您执行此操作。

  • 如果您在 AWS Direct Connect 位置有设备,请联系托管提供商以请求交叉网络连接。有关更多信息,请参阅 要求在 AWS Direct Connect 节点交叉连接。您必须是托管提供商的客户,并且必须向托管提供商提供了授权与 AWS 路由器连接的 LOA-CFA,以及连接到您的网络时需要的信息。

LOA-CFA 在 90 天后失效。要使用新的发行日期刷新 LOA-CFA,您可以从 AWS Direct Connect 控制台重新下载。如果您不采取任何操作,我们将删除连接。

注意

在您创建连接 90 天之后或者您的路由器与 AWS 路由器之间建立连接之后(以先到者为准),将开始端口小时计费。有关更多信息,请参阅 AWS Direct Connect 定价

步骤 4:(可选) 配置冗余连接

为了提供故障转移,我们建议您申请并配置两个接到 AWS 的专用连接 (如下图所示)。这些连接会在您的网络中的一个或两个路由器上终止。

 冗余连接图

如果您配置两个专用连接,则可以有不同的配置选择:

  • 主动/主动(BGP 多路径)。这是两个连接均为主动连接的默认配置。AWS Direct Connect 支持同一个位置中指向多个虚拟接口的多路径,流量基于流程在接口之间负载均衡。如果一个连接不可用,那么所有流量都会路由到另一个连接。

  • 主动/被动(故障转移)。一个连接正在处理流量,另一个连接处于待命状态。如果主动连接不可用,所有流量都会路由到被动连接。您需要在您的一个链接上将 AS 路径附加到路由之前以使其成为被动链接。

您如何配置连接并不影响冗余,但是会影响策略,而该策略决定如何在两个连接间路由流量。我们建议您将两个连接配置为活跃状态。

步骤 5:创建虚拟接口

订购 AWS Direct Connect 连接以后,您必须创建虚拟接口以开始使用。您可以创建私有虚拟接口以连接到 VPC,或者创建公有虚拟接口以连接到不在 VPC 中的 AWS 服务。

在您开始之前,请确保您已拥有以下信息:

  • 不在 AWS Direct Connect 连接上用于其他虚拟接口的唯一的虚拟局域网 (VLAN) 标记。该数字必须介于 1 到 4094 之间。

  • 公有或私有边界网关协议 (BGP) 自治系统编号 (ASN)。如果使用公有 ASN,您必须具有其所有权。如果使用私有 ASN,它必须在 64512 至 65535 的范围内。

  • (公有虚拟接口):对于 IPv4 BGP 对等会话,您所拥有的 BGP 对等连接各端的唯一公有 IPv4 地址 (/30),以及通过 AWS Direct Connect 公布的唯一 IPv4 CIDR 范围。

  • (私有虚拟接口):要连接到的虚拟私有网关。有关更多信息,请参阅 Amazon VPC 用户指南 中的在您的 VPC 中添加硬件虚拟专用网关

有关更多信息,请参阅 虚拟接口的先决条件

注意

一个 Sub-1G 连接仅支持一个虚拟接口。

配置与非 VPC 服务间的公有虚拟接口

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. Connections 窗格中,依次选择要使用的连接、ActionsCreate Virtual Interface

  3. Create a Virtual Interface 窗格中,选择 Public

    “创建虚拟接口”屏幕
  4. Define Your New Public Virtual Interface (定义新的公有虚拟接口) 对话框中,执行以下操作:

    1. 对于 Connection,选择要用于创建虚拟接口的现有实体连接。

    2. 对于 Virtual Interface Name (虚拟接口名称),输入虚拟接口名称。

    3. 对于 Virtual Interface Owner (虚拟接口所有者),如果虚拟接口用于您的 AWS 账户 ID,请选择 My AWS Account (我的 AWS 账户)

    4. 对于 VLAN,输入 VLAN 编号。

    5. 如果您要配置 IPv4 BGP 对等体,请选择 IPv4,然后执行以下操作:

      • 对于 Your router peer IP,输入 Amazon 应将流量发送到的 IPv4 CIDR 目标地址。

      • 对于 Amazon router peer IP,输入用于将流量发送到 Amazon 的 IPv4 CIDR 地址。

    6. 如果您要配置 IPv6 BGP 对等体,请选择 IPv6。对等体 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    7. 对于 BGP ASN,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

    8. 选中 Auto-generate BGP key 复选框可让 Amazon 生成 BGP 密钥。

      要提供您自己的 BGP 密钥,清除 Auto-generate BGP key 复选框。对于 BGP Authentication Key,输入您的 BGP MD5 密钥。

    9. 对于 Prefixes you want to advertise,输入通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址 (用逗号隔开)。

  5. 选择 Continue,然后下载您的路由器配置。有关更多信息,请参阅 步骤 6:下载路由器配置

创建与 VPC 的私有虚拟接口时,您需要所要连接到的各 VPC 的专用虚拟接口。例如,您需要三个专用虚拟接口连接到三个 VPC。

配置与 VPC 间的私有虚拟接口

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. Connections 窗格中,依次选择要使用的连接、ActionsCreate Virtual Interface

  3. Create a Virtual Interface 窗格中,选择 Private

    “创建虚拟接口”屏幕
  4. Define Your New Private Virtual Interface (定义您的新私有虚拟接口) 下,执行以下操作:

    1. 对于 Virtual Interface Name (虚拟接口名称),输入虚拟接口名称。

    2. 对于 Virtual Interface Owner (虚拟接口所有者),如果虚拟接口用于您的 AWS 账户 ID,请选择 My AWS Account (我的 AWS 账户)

    3. 对于 Virtual Private Gateway,选择要连接的虚拟专用网关。

    4. 对于 VLAN #,输入 VLAN 编号。

    5. 如果您要配置 IPv4 BGP 对等体,请选择 IPv4,然后执行以下操作:

      • 要让 AWS 生成您的路由器 IP 地址和 Amazon IP 地址,请选择 Auto-generate peer IPs (自动生成对等 IP)

      • 要自行指定这些 IP 地址,请清除 Auto-generate peer IPs 复选框。对于 Your router peer IP,输入 Amazon 应将流量发送到的 IPv4 CIDR 目标地址。对于 Amazon router peer IP,输入用于将流量发送到 Amazon 的 IPv4 CIDR 地址。

    6. 如果您要配置 IPv6 BGP 对等体,请选择 IPv6。对等体 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    7. 对于 BGP ASN,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

    8. 要让 Amazon 生成 BGP 密钥,选中 Auto-generate BGP key 复选框。

      要提供您自己的 BGP 密钥,清除 Auto-generate BGP key 复选框。对于 BGP Authentication Key,输入您的 BGP MD5 密钥。

  5. 选择 Continue,然后下载您的路由器配置。有关更多信息,请参阅 步骤 6:下载路由器配置

注意

如果您使用 VPC 向导创建 VPC,系统将自动为您启用路线传播。通过路线传播,路线会自动添加到您 VPC 中的路线表。如果您愿意,您可以停用路线传播。有关更多信息,请参阅Amazon VPC 用户指南中的在路由表中启用路由传播

步骤 6:下载路由器配置

当您为 AWS Direct Connect 连接创建了虚拟接口后,可以下载路由器配置文件。

如何下载路由器配置

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. Virtual Interfaces 窗格中,选择您创建的虚拟接口,然后选择 ActionsDownload Router Configuration

  3. Download Router Configuration (下载路由器配置) 对话框中,执行以下操作:

    1. 对于 Vendor,选择您的路由器的生产商。

    2. 对于 Platform,选择您的路由器型号。

    3. 对于 Software,选择您的路由器软件版本。

  4. 选择 Download,然后使用适合您路由器的配置,以确保您可以连接到 AWS Direct Connect。

    有关示例配置文件,请参阅路由器配置文件示例

步骤 7:确认您的虚拟接口

建立到 AWS 云或 Amazon VPC 的虚拟接口以后,可以通过以下步骤验证您的 AWS Direct Connect 连接。

确认您的虚拟接口连接到 AWS 云

  • 运行 traceroute 并确认 AWS Direct Connect 标识符在网络追踪范围内。

如何要确认您的虚拟接口连接到 Amazon VPC

  1. 使用可以通过 Ping 操作访问的 AMI,例如 Amazon Linux AMI,将 EC2 实例启动到与虚拟私有网关连接的 VPC 中。当您使用 Amazon EC2 控制台中的实例启动向导时,可在 Quick Start 选项卡中使用 Amazon Linux AMI。有关更多信息,请参阅启动实例 (Amazon EC2 用户指南(适用于 Linux 实例) 中)。确保与实例关联的安全组包含允许入站 ICMP 流量的规则(用于检测请求)。

  2. 当实例开始运行后,获取其私有 IPv4 地址 (例如 10.0.0.4)。Amazon EC2 控制台显示的地址是实例详细信息的一部分。

  3. Ping 私有 IPv4 地址并获得响应。