AWS Direct Connect
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

创建虚拟接口

您可以创建一个公有虚拟接口从而连接至公有资源 (非 VPC 服务),或创建一个私有虚拟接口从而连接至您的 VPC。

在您开始之前,请确保您阅读了 虚拟接口的先决条件中的信息。

创建公有虚拟接口

预配置公有虚拟接口

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. 在导航窗格中,选择 Connections,再选择要使用的连接,然后依次选择 ActionsCreate Virtual Interface

  3. Create a Virtual Interface 窗格中,选择 Public

    “创建虚拟接口”屏幕
  4. Define Your New Public Virtual Interface (定义新的公有虚拟接口) 对话框中,执行以下操作并选择 Continue (继续)

    1. 对于 Connection,选择要用于创建虚拟接口的现有实体连接。

    2. 对于 Virtual Interface Name (虚拟接口名称),输入虚拟接口名称。

    3. 对于 Virtual Interface Owner,如果虚拟接口用于您的 AWS 账户,则选择 My AWS Account 选项。

    4. 对于 VLAN,输入您的虚拟局域网 (VLAN) 的 ID 号。

    5. 如果您要配置 IPv4 BGP 对等体,请选择 IPv4,然后执行以下操作:

      • 对于 Your router peer IP,输入 Amazon 应将流量发送到的 IPv4 CIDR 目标地址。

      • 对于 Amazon router peer IP,输入用于将流量发送到 Amazon 的 IPv4 CIDR 地址。

    6. 如果您要配置 IPv6 BGP 对等体,请选择 IPv6。对等体 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    7. 对于 BGP ASN,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

    8. 要让 AWS 生成 BGP 密钥,选中 Auto-generate BGP key 复选框。

      要提供您自己的 BGP 密钥,清除 Auto-generate BGP key 复选框。对于 BGP Authentication Key,输入您的 BGP MD5 密钥。

    9. 对于 Prefixes you want to advertise,输入通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址 (用逗号隔开)。

  5. 为您的设备下载路由器配置。有关更多信息,请参阅 下载路由器配置文件

使用命令行或 API 创建公有虚拟接口

创建私有虚拟接口

您可以为您的 AWS Direct Connect 连接所在的区域中的虚拟专用网关配置一个私有虚拟接口。有关配置到 Direct Connect 网关的私有虚拟接口的更多信息,请参阅Direct Connect 网关

配置与 VPC 间的私有虚拟接口

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. 在导航窗格中,选择 Connections (连接),选择要使用的连接,然后依次选择 Actions (操作)Create Virtual Interface (创建虚拟接口)

  3. Create a Virtual Interface (创建虚拟接口) 窗格中,选择 Private (私有)

    “创建虚拟接口”屏幕
  4. Define Your New Private Virtual Interface (定义您的新私有虚拟接口) 下,执行以下操作并选择 Continue (继续)

    1. 对于 Virtual Interface Name (虚拟接口名称),输入虚拟接口名称。

    2. 对于 Virtual Interface Owner,如果虚拟接口用于您的 AWS 账户,则选择 My AWS Account 选项。

    3. 对于 Connection To (连接到),选择 Virtual Private Gateway (虚拟私有网关),然后选择要连接到的虚拟私有网关。

    4. 对于 VLAN,输入您的虚拟局域网 (VLAN) 的 ID 号。

    5. 如果您要配置 IPv4 BGP 对等体,请选择 IPv4,然后执行以下操作:

      • 要让 AWS 生成您的路由器 IP 地址和 Amazon IP 地址,请选择 Auto-generate peer IPs (自动生成对等 IP)

      • 要自行指定这些 IP 地址,请清除 Auto-generate peer IPs 复选框。对于 Your router peer IP,输入 Amazon 应将流量发送到的 IPv4 CIDR 目标地址。对于 Amazon router peer IP,输入用于将流量发送到 AWS 的 IPv4 CIDR 地址。

    6. 如果您要配置 IPv6 BGP 对等体,请选择 IPv6。对等体 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    7. 对于 BGP ASN,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

    8. 要让 AWS 生成 BGP 密钥,选中 Auto-generate BGP key 复选框。

      要提供您自己的 BGP 密钥,清除 Auto-generate BGP key 复选框。对于 BGP Authentication Key,输入您的 BGP MD5 密钥。

注意

如果您使用 VPC 向导创建 VPC,系统将自动为您启用路线传播。通过路线传播,路线会自动添加到您 VPC 中的路线表。如果您愿意,您可以停用路线传播。有关更多信息,请参阅Amazon VPC 用户指南中的在路由表中启用路由传播

创建了虚拟接口后,您可以为设备下载路由器配置。有关更多信息,请参阅 下载路由器配置文件

使用命令行或 API 创建私有虚拟接口

下载路由器配置文件

在创建虚拟接口后,您可以为您的路由器下载路由器配置文件。

下载路由器配置

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. Virtual Interfaces (虚拟接口) 窗格中,选择虚拟接口,然后选择 Actions (操作)Download Router Configuration (下载路由器配置)

  3. Download Router Configuration (下载路由器配置) 对话框中,执行以下操作:

    1. 对于 Vendor,选择您的路由器的生产商。

    2. 对于 Platform,选择您的路由器型号。

    3. 对于 Software,选择您的路由器软件版本。

  4. 选择 Download,然后使用适合您路由器的配置,以确保您可以连接到 AWS Direct Connect。

路由器配置文件示例

以下是路由器配置文件示例提取。

Cisco IOS

interface GigabitEthernet0/1 no ip address interface GigabitEthernet0/1.VLAN_NUMBER description "Direct Connect to your Amazon VPC or AWS Cloud" encapsulation dot1Q VLAN_NUMBER ip address YOUR_PEER_IP router bgp CUSTOMER_BGP_ASN neighbor AWS_PEER_IP remote-as AWS_ASN neighbor AWS_PEER_IP password MD5_key network 0.0.0.0 exit ! Optionally configure Bidirectional Forwarding Detection (BFD). interface GigabitEthernet0/1.VLAN_NUMBER bfd interval 300 min_rx 300 multiplier 3 router bgp CUSTOMER_BGP_ASN neighbor AWS_PEER_IP fall-over bfd ! NAT Configuration for Public Virtual Interfaces (Optional) ip access-list standard NAT-ACL permit any exit ip nat inside source list NAT-ACL interface GigabitEthernet0/1.VLAN_NUMBER overload interface GigabitEthernet0/1.VLAN_NUMBER ip nat outside exit interface interface-towards-customer-local-network ip nat inside exit

Cisco NX-OS

feature interface-vlan vlan VLAN_NUMBER name "Direct Connect to your Amazon VPC or AWS Cloud" interface VlanVLAN_NUMBER ip address YOUR_PEER_IP/30 no shutdown interface Ethernet0/1 switchport switchport mode trunk switchport trunk allowed vlan VLAN_NUMBER no shutdown router bgp CUSTOMER_BGP_ASN address-family ipv4 unicast network 0.0.0.0 neighbor AWS_PEER_IP remote-as AWS_ASN password 0 MD5_key address-family ipv4 unicast ! Optionally configure Bidirectional Forwarding Detection (BFD). feature bfd interface VlanVLAN_NUMBER bfd interval 300 min_rx 300 multiplier 3 router bgp CUSTOMER_BGP_ASN neighbor AWS_PEER_IP remote-as AWS_ASN bfd ! NAT Configuration for Public Virtual Interfaces (Optional) ip access-list standard NAT-ACL permit any any exit ip nat inside source list NAT-ACL VlanVLAN_NUMBER overload interface VlanVLAN_NUMBER ip nat outside exit interface interface-towards-customer-local-network ip nat inside exit

Juniper JunOS

configure exclusive edit interfaces ge-0/0/1 set description "Direct Connect to your Amazon VPC or AWS Cloud" set flexible-vlan-tagging set mtu 1522 edit unit 0 set vlan-id VLAN_NUMBER set family inet mtu 1500 set family inet address YOUR_PEER_IP top edit policy-options policy-statement EXPORT-DEFAULT edit term DEFAULT set from route-filter 0.0.0.0/0 exact set then accept up edit term REJECT set then reject top set routing-options autonomous-system CUSTOMER_BGP_ASN edit protocols bgp group EBGP set type external set peer-as AWS_ASN edit neighbor AWS_PEER_IP set local-address YOUR_PEER_IP set export EXPORT-DEFAULT set authentication-key "MD5_key" top commit check commit and-quit # Optionally configure Bidirectional Forwarding Detection (BFD). set protocols bgp group EBGP neighbor AWS_PEER_IP bfd-liveness-detection minimum-interval 300 set protocols bgp group EBGP neighbor AWS_PEER_IP bfd-liveness-detection multiplier 3 # NAT Configuration for Public Virtual Interfaces (Optional) set security policies from-zone trust to-zone untrust policy PolicyName match source-address any set security policies from-zone trust to-zone untrust policy PolicyName match destination-address any set security policies from-zone trust to-zone untrust policy PolicyName match application any set security policies from-zone trust to-zone untrust policy PolicyName then permit set security nat source rule-set SNAT-RS from zone trust set security nat source rule-set SNAT-RS to zone untrust set security nat source rule-set SNAT-RS rule SNAT-Rule match source-address 0.0.0.0/0 set security nat source rule-set SNAT-RS rule SNAT-Rule then source-nat interface commit check commit and-quit