Amazon Direct Connect 虚拟接口和托管虚拟接口 - Amazon Direct Connect
公有虚拟接口前缀公布规则SiteLink虚拟接口的先决条件MTUs 用于私有虚拟接口或传输虚拟接口
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Direct Connect 虚拟接口和托管虚拟接口

必须创建以下虚拟接口之一 (VIFs) 才能开始使用您的 Amazon Direct Connect 连接。

  • 私有虚拟接口:应使用私有虚拟接口访问使用私有 IP 地址的 Amazon VPC。

  • 公共虚拟接口:公共虚拟接口可以使用公有 IP 地址访问所有 Amazon 公共服务。

  • 中转虚拟接口:中转虚拟接口用于访问与 Direct Connect 网关关联的一个或多个 Amazon VPC 中转网关。您可以将传输虚拟接口与任何速度的任何 Amazon Direct Connect 专用或托管连接一起使用。有关 Direct Connect 网关配置的信息,请参阅Direct Connect 网关

要使用 IPv6 地址连接到其他 Amazon 服务,请查看服务文档以确认是否支持 IPv6 寻址。

我们会向您宣传合适的 Amazon 前缀,以便您可以访问您的 Amazon 服务 VPCs 和其他服务中工作负载的公有 IP 地址。您可以通过此连接访问所有 Amazon 前缀;例如,亚马逊 EC2 实例、Amazon S3、 Amazon 服务的 API 终端节点和 Amazon.com 使用的公有 IP 地址。您无权访问非 Amazon 前缀。有关使用的前缀的最新列表 Amazon,请参阅 Amazon VPC 用户指南中的 Amazon IP 地址范围。在此页面上,您可以下载当前已发布 Amazon 的 IP 范围的.json文件。请注意,对于已发布的 IP 地址范围:

  • 与 Amazon IP 地址范围列表中列出的前缀相比,通过公共虚拟接口通过 BGP 宣布的前缀可能会被聚合或取消聚合。

  • .json文件中不包含您 Amazon 通过自己的 IP 地址 (BYOIP) 带来的任何 IP 地址范围,但 Amazon 仍会通过公共虚拟接口通告这些 BYOIP 地址。

  • Amazon 不会将通过 Direct Connect 公共虚拟接口接收的客户前缀重新通告到外部的网络。 Amazon所有客户都可以在公共虚拟接口上看到广告的前缀。 Amazon

注意

我们建议您使用防火墙筛选条件 (根据数据包的源/目标地址) 来控制流量传入和传出某些前缀。

有关公有虚拟接口和路由策略的更多信息,请参阅 公有虚拟接口路由策略

如果您要创建私有或传输虚拟接口,则可以使用 SiteLink。

SiteLink 是虚拟专用接口的可选 Direct Connect 功能,它允许使用 Amazon 网络上最短的可用路径在同一 Amazon 分区中的任意两个 Direct Connect 接入点 (PoPs) 之间建立连接。这使您可以通过 Amazon 全球网络连接本地网络,而无需经过区域路由流量。有关更多信息, SiteLink 请参阅简介 Amazon Direct Connect SiteLink

注意

  • SiteLink 在中国 Amazon GovCloud (US) 和中国地区不可用。

  • SiteLink 如果本地路由器在多个虚拟接口 Amazon 上通告相同的路由,则不起作用。

使用时需要支付单独的定价费 SiteLink。有关更多信息,请参阅 Amazon Direct Connect 定价

SiteLink 不支持所有虚拟接口类型。下表显示了接口类型以及是否受支持。

虚拟接口类型 支持/不支持
中转虚拟接口 支持
连接到具有虚拟网关的 Direct Connect 网关的私有虚拟接口 支持
连接到与虚拟网关或中转网关关联的 Direct Connect 网关的私有虚拟接口 支持
连接到虚拟网关的私有虚拟接口 不支持
公有虚拟接口 不支持

通过 SiteLink 启用的虚拟接口从 Amazon Web Services 区域 (虚拟或传输网关)到本地位置的流量的流量路由行为与带有 Amazon 路径预置的默认 Direct Connect 虚拟接口行为略有不同。启用后 SiteLink,无论关联的区域如何,来自的虚拟接口都 Amazon Web Services 区域 首选从 Direct Connect 位置的 AS 路径长度较低的 BGP 路径。例如,系统会为每个 Direct Connect 位置公布关联的区域。如果禁用, SiteLink 则默认情况下,来自虚拟网关或传输网关的流量会优先选择与该网关关联的 Direct Connect 位置 Amazon Web Services 区域,即使来自与不同区域关联的 Direct Connect 位置的路由器通告的路径长度较短。虚拟或中转网关仍将首选从本地 Direct Connect 位置到关联 Amazon Web Services 区域的路径。

SiteLink 支持最大巨型帧 MTU 大小为 8500 或 9001,具体取决于虚拟接口类型。有关更多信息,请参阅 MTUs 用于私有虚拟接口或传输虚拟接口

虚拟接口的先决条件

在创建虚拟接口之前,请执行以下操作:

要创建虚拟接口,您需要以下信息:

资源 所需信息
Connection 您要为其创建虚拟接口的 Amazon Direct Connect 连接或链路聚合组 (LAG)。
虚拟接口名称 虚拟接口的名称。
虚拟接口所有者 如果您要为另一个账户创建虚拟界面,则需要另一个 Amazon 账户的账户 ID。
(仅限私有虚拟接口)连接 要连接到同一 Amazon 区域的 VPC,您需要为自己的 VPC 提供虚拟私有网关。BGP 会话 Amazon 端的 ASN 从虚拟私有网关继承。当您创建虚拟私有网关时,您可以指定自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建虚拟私有网关。要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 Direct Connect 网关
注意

  • 不能在虚拟接口上对客户网关和虚拟网关/Direct Connect 网关使用相同的 ASN。

  • 您可以将同一个客户网关 ASN 用于多个虚拟接口。

  • 多个虚拟接口可以具有相同的虚拟网关/Direct Connect 网关 ASN 和客户网关 ASN,前提是它们属于不同的 Direct Connect 连接。例如:

    虚拟网关 (ASN 64,496) <---虚拟接口 1(Direct Connection 连接 1)---> 客户网关 (ASN 64,511)

    虚拟网关 (ASN 64,496) <---虚拟接口 2 (Direct Connection connection 2)---> 客户网关 (ASN 64,511)
VLAN 您的连接上尚未使用的唯一虚拟局域网(VLAN)标签。该值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 Amazon Direct Connect 连接的流量都必须有此标签。

如果您有托管连接,则您的 Amazon Direct Connect 合作伙伴会提供此值。创建虚拟接口后,无法修改此值。
对等 IP 地址 虚拟接口可以支持 IPv4、 IPv6或其中一个(双栈)的 BGP 对等会话。请勿使用 Amazon 池中的 Elastic IPs (EIPs) 或自带 IP 地址 (BYOIP) 来创建公共虚拟接口。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围分配到 BGP 对等会话虚拟接口的每一端。

  • IPv4:

    • (仅限公共虚拟接口)您必须指定自己拥有的唯一公有 IPv4 地址。

      注意

      • 私有和传输虚拟接口 IPs 的对等连接可以来自任何有效的 IP 范围。这也可以包括客户拥有的公有 IP 地址,前提是这些地址仅用于创建 BGP 对等会话,而不是通过虚拟接口通告或用于 NAT。

      • 我们不能保证我们能够满足所有 Amazon 提供公共 IPv4 地址的请求。

      值可以是以下之一:

      • 客户拥有 IPv4 的 CIDR

        它们可以是任何公用 IPs (客户拥有或由提供 Amazon),但是对等 IP 和 Amazon 路由器对等 IP 必须使用相同的子网掩码。例如,如果您分配了一个/31范围,例如203.0.113.0/31,则可以将其203.0.113.0用于对等 IP 和203.0.113.1对 Amazon 等 IP。或者,如果您分配了一个/24范围,例如198.51.100.0/24,则可以将其198.51.100.10用于对等 IP 和198.51.100.20对 Amazon 等 IP。

      • 您的 Amazon Direct Connect 合作伙伴或 ISP 拥有的 IP 范围,以及 LOA-CFA 授权。

      • Amazon 提供的 /31 CIDR。联系 Su Amazon pp ort 申请公共 IPv4 CIDR(并在请求中提供用例)

      • (仅限私有虚拟接口)Amazon 可以为您生成私有 IPv4 地址。如果您自己指定,请确保CIDRs 为路由器接口指定私有接口,并且仅为 Di Amazon rect Connect 接口指定私有接口。例如,请勿指定本地网络中的其他 IP 地址。与公共虚拟接口类似,对等 IP 和 Amazon 路由器对等 IP 必须使用相同的子网掩码。例如,如果您分配了一个/30范围,例如192.168.0.0/30,则可以将其192.168.0.1用于对等 IP 和192.168.0.2对 Amazon 等 IP。

  • IPv6: 亚马逊会自动为您分配一个 /125 IPv6 CIDR。您不能指定自己的对等 IPv6 地址。
地址系列 BGP 对等会话是否会结束 IPv4 还是. IPv6
BGP 信息

  • 您这一端 BGP 会话的公有或私有边界网关协议(BGP)自治系统号(ASN)。如果您使用的是公有 ASN,则必须拥有其所有权。如果您使用的是私有 ASN,则可以设置自定义 ASN 值。对于 16 位 ASN,该值必须在 64512 到 65534 范围内。对于 32 位 ASN,该值必须在 1 到 2147483647 范围内。如果您对公有虚拟接口使用私有 ASN,则自治系统(AS)预置将不起作用。

  • Amazon MD5 默认情况下启用。您无法修改此选项。

  • MD5 BGP 身份验证密钥。您可以提供自己的身份验证密钥,也可以让 Amazon 为您生成一个密钥。
(仅限公有虚拟接口)您要公布的前缀

要通过 BGP 发布的公共 IPv4 IPv6 路由或路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。

  • IPv4: 当以下任一条件为真 Amazon Direct Connect 时, IPv4 CID IPv4 R 可以与使用宣布的另一个公共 CIDR 重叠:

    • CIDRs 他们来自不同 Amazon 的地区。确保在公有前缀上应用 BGP 社区标签。

    • 当您在主动/被动配置中拥有公有 ASN 时,可以使用 AS_PATH。

    有关更多信息,请参阅路由策略和 BGP 社区

  • 通过 Direct Connect 公共虚拟接口,您可以为其指定从 /1 到 /32 以及从 /1 到 /6 IPv4 4 之间的任意前缀长度。 IPv6

  • 您可以向现有的公有 VIF 添加额外的前缀,并联系 Amazon support 来公布这些前缀。在您的支持案例中,请提供您希望添加到公有 VIF 并进行公布的其他 CIDR 前缀列表。
(仅限私有和传输虚拟接口)巨型帧 数据包的最大传输单位 (MTU)。 Amazon Direct Connect默认为 1500。将虚拟接口的 MTU 设置为 8500(巨型帧)可能会导致底层物理连接更新(如果之前未更新为支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。Direct Connect 最多支持 8500 MTU 的巨型帧。在 Transit Gateway 路由表中配置的静态路由和传播路由将支持巨型帧,包括从具有 VPC 静态路由表条目的 EC2 实例到 Transit Gateway 附件。要检查连接或虚拟接口是否支持巨型帧,请在 Amazon Direct Connect 控制台中将其选中,然后在虚拟接口 “常规配置页面上找到支持巨型帧

创建虚拟接口时,可以指定拥有虚拟接口的账户。当您选择的 Amazon 账户不是您的账户时,以下规则适用:

  • 对于私有 VIFs 和传输 VIFs,该账户适用于虚拟接口和虚拟私有网关/Direct Connect 网关目标。

  • 对于公众 VIFs,该账户用于虚拟接口计费。数据传出 (DTO) 使用量按 Amazon Direct Connect 数据传输速率向资源所有者计量。

注意

所有 Direct Connect 虚拟接口类型均支持 31 位前缀。有关更多信息,请参阅 RFC 3021:在链接上使用 31 位前缀。 IPv4 Point-to-Point

MTUs 用于私有虚拟接口或传输虚拟接口

Amazon Direct Connect 在链路层支持大小为 1522 或 9023 字节(14 字节以太网标头 + 4 字节 VLAN 标签 + IP 数据报的字节 + 4 字节 FCS)的以太网帧大小。

网络连接的最大传输单位 (MTU) 是能够通过该连接传递的最大可允许数据包的大小(以字节为单位)。虚拟私有接口的 MTU 可以是 1500 或 9001(巨型帧)。中转虚拟接口的 MTU 可以是 1500 或 8500(巨型帧)。您可以在创建接口时指定 MTU,也可以在创建接口后对其进行更新。将虚拟接口的 MTU 设置为 8500(巨型帧)或 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。要检查连接或虚拟接口是否支持巨型帧,请在 Amazon Direct Connect 控制台中将其选中,然后在 “摘要” 选项卡上找到 “支持巨型帧”。

为私有虚拟接口或中转虚拟接口启用巨型帧后,您只能将其与支持巨型帧的连接或 LAG 关联。连接到虚拟私有网关或 Direct Connect 网关的私有虚拟接口,或者连接到 Direct Connect 网关的中转虚拟接口支持巨型帧。如果您有两个通告相同路由但使用不同的 MTU 值的私有虚拟接口,或者您的 Site-to-Site VPN 通告相同的路由,则使用 1500 MTU。

重要

巨型帧仅适用于通过中转网关的传播路由 Amazon Direct Connect 和通过中转网关的静态路由。中转网关上的巨型帧仅支持 8500 字节。

如果 EC2 实例不支持巨型帧,则它会从 Direct Connect 丢弃巨型帧。除了 C1、、T1 和 M1 之外 CC1,所有 EC2 实例类型都支持巨型帧。有关更多信息,请参阅 Amazon EC2 用户指南中的您的 EC2 实例的网络最大传输单位 (MTU)

对于托管连接,只有最初在 Direct Connect 托管父连接上启用时才能启用巨型帧。如果在父连接上未启用巨型帧,则在任何连接上都无法启用。

MTUs f VIFs or private 正在标准化为 8500。9001 将继续被接受,直到它被删除。

有关为私有虚拟接口设置 MTU 的步骤,请参阅设置私有虚拟接口的 MTU