Classic - Amazon Direct Connect
Prerequisites第 1 步:注册 Amazon第 2 步:请求Amazon Direct Connect或者接受托管连接(专用连接)步骤 3:下载 LOA-CFA第 4 步:创建虚拟接口第 5 步:下载路由器配置第 6 步:确认您的虚拟接口(推荐)步骤 7:配置冗余连接
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Classic

在拥有现有连接时,选择“Classic”。

以下过程演示开始设置 Amazon Direct Connect 连接的常见场景。

Prerequisites

对于端口速度为 1 Gbps 或更高的与 Amazon Direct Connect 的连接,请确保您的网络满足以下要求:

  • 您的网络必须使用单模光纤,并配备用于 1 千兆以太网的 1000BASE-LX (1310 nm) 收发器,和一个用于 100 千兆以太网的 10GBASE-LR (1310 nm) 收发器,或 100GBASE-LR4 用于 100 千兆以太网的。

  • 对于端口速度超过 1 Gbps 的连接,必须禁用端口的自动协商。但是,取决于Amazon为您的 Connect 提供服务的直接连接端点,可能需要为 1 Gbps 连接启用或禁用自动协商。如果你的虚拟接口保持关闭,请参阅排查第 2 层(数据链路)问题.

  • 必须在整个连接(包括中间设备)中支持 802.1Q VLAN 封装。

  • 您的设备必须支持边界网关协议 (BGP) 和 BGP MD5 身份验证。

  • (可选) 您可以在网络上配置双向转发检测 (BFD)。自动启用异步 BFDAmazon Direct Connect虚拟接口,但直到您在路由器上配置它后才会生效。

第 1 步:注册 Amazon

使用Amazon Direct Connect,您需要一个账户(如果您还没有)。

如何注册账户

  1. 打开 https://portal.aws.amazon.com/billing/signup

  2. 按照屏幕上的说明进行操作。

    在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。

第 2 步:请求Amazon Direct Connect或者接受托管连接

对于专用连接,您可以使用 Amazon Direct Connect 控制台提交连接申请。对于托管连接,使用Amazon Direct Connect合作伙伴请求托管连接。确保您具有以下信息:

  • 您需要的端口速度。在您创建连接请求之后,将无法更改端口速度。

  • 要终止连接的 Amazon Direct Connect 位置。

您不能使用 Amazon Direct Connect 控制台来请求托管连接。否则,可联系Amazon Direct Connect合作伙伴,他们可以为您创建托管连接,然后您接受。请跳过以下步骤并转至 接受托管连接

创建新的Amazon Direct Connect 连接

  1. 打开Amazon Direct Connect控制台https://console.aws.amazon.com/directconnect/v2/home.

  2. Amazon Direct Connect 屏幕上,在 Get started (开始使用) 下,选择 Create a connection (创建连接)

  3. 选择 Classic

  4. Create Connection (创建连接) 窗格上,在 Connection settings (连接设置) 下,执行以下操作:

    1. 对于 Name (名称),输入连接的名称。

    2. 对于 Location (位置),选择适当的 Amazon Direct Connect 位置。

    3. 如果适用,对于 Sub Location (Sub 位置),选择最接近您或您的网络提供商的楼层。此选项仅在该位置在建筑物的多个楼层中设有汇接机房 (MMR) 时可用。

    4. 对于 Port Speed (端口速度),选择连接带宽。

    5. 适用于本地,选择通过进行 ConnectAmazon Direct Connect伙伴当您使用此连接来连接到数据中心时。

    6. 适用于服务提供商,选择Amazon Direct Connect合作伙伴。如果您使用的合作伙伴不在列表中,请选择 Other (其他)

    7. 如果您选择其他对于 来说为服务提供商,对于其他提供程序名称,输入您使用的合作伙伴的名称。

    8. (可选)添加或删除标签。

      [添加标签] 选择 Add tag (添加标签),然后执行以下操作:

      • 对于 Key (键),输入键名称。

      • 对于 Value (值),输入键值。

      [删除标签] 在标签旁,选择 Remove tag (删除标签)

  5. 选择 Create Connection (创建连接)

Amazon 审核您的请求并为您的连接配置端口可能需要长达 72 小时。在此期间,您可能会收到一封电子邮件,其中包含有关您的使用案例或指定位置的更多信息的请求。此电子邮件会发送到您注册时使用的电子邮件地址。Amazon. 您必须在 7 日内回复,否则将删除该连接。

有关更多信息,请参阅Amazon Direct Connect 连接

接受托管连接

您必须先在 Amazon Direct Connect 控制台中接受该托管连接,然后才能创建虚拟接口。

如何接受托管虚拟接口

  1. 打开Amazon Direct Connect控制台https://console.aws.amazon.com/directconnect/v2/home.

  2. 在导航窗格中,选择 Virtual Interfaces

  3. 选择虚拟接口,然后选择 View details (查看详细信息)

  4. 选择 Accept (接受)

  5. 这适用于私有虚拟接口和中转虚拟接口。

    (中转虚拟接口)在 Accept virtual interface (接受虚拟接口) 对话框中,选择 Direct Connect 网关,然后选择 Accept virtual interface (接受虚拟接口)

    (私有虚拟接口)在 Accept virtual interface (接受虚拟接口) 对话框中,选择虚拟私有网关或 Direct Connect 网关,然后选择 Accept virtual interface (接受虚拟接口)

  6. 在您接受托管虚拟接口之后,Amazon Direct Connect 连接的所有者可下载路由器配置文件。下载路由器配置选项对接受托管虚拟接口的账户不可用。

  7. 转到步骤 4 继续设置您的 Amazon Direct Connect 连接。

(专用连接)步骤 3:下载 LOA-CFA

在您请求连接后,我们将提供《授权证书和连接设备分配 (LOA-CFA)》供您下载,或者向您发送电子邮件要求您提供更多信息。LOA-CFA 是连接到的授权Amazon主机托管提供商或您的网络提供商建立跨网络连接 (交叉连接) 时需要此功能。

下载 LOA-CFA

  1. 打开Amazon Direct Connect控制台https://console.aws.amazon.com/directconnect/v2/home.

  2. 在导航窗格中,选择 Connections (站点到站点 VPN 连接)

  3. 选择连接,然后选择 View Details (查看详细信息)

  4. 选择下载 LOA-CFA

    LOA-CFA 以 PDF 文件格式下载到您的计算机中。

    注意

    如果未启用链接,则 LOA-CFA 尚不可供您下载。查看您的电子邮件,了解是否要求您提供更多信息。如果仍不可用,或者您在 72 小时后仍未收到电子邮件,请联系Amazon支持.

  5. 在您下载 LOA-CFA 以后,执行以下操作之一:

    • 如果您使用的是Amazon Direct Connect对于合作伙伴或网络提供商,请向他们发送 LOA-CFA,以便他们能够在Amazon Direct Connect位置。如果他们无法为您订购交叉连接,您可以直接联系主机托管提供商

    • 如果您在 Amazon Direct Connect 位置有设备,请联系主机托管提供商以请求交叉网络连接。您必须为托管供应商的客户。您还必须向托管供应商提供授权连接到Amazon路由器,以及连接到网络的必要信息。

作为多个站点列出的 Amazon Direct Connect 位置 (例如,Equinix DC1-DC6 & DC10-DC11) 将设置为校园。如果您或您的网络提供商的设备位于其中任一站点中,您可以请求交叉连接到所分配的端口,即使该端口位于校园内的不同建筑物中。

重要

园区被视为单个 Amazon Direct Connect 位置。要实现高可用性,请配置与不同 Amazon Direct Connect 位置的连接。

如果您或您的网络提供商在建立物理连接时遇到问题,请参阅排查第 1 层(物理)问题

第 4 步:创建虚拟接口

要开始使用您的 Amazon Direct Connect 连接,您必须创建一个虚拟接口。您可以创建一个私有虚拟接口来连接到您的 VPC。或者,您也可以创建一个公有虚拟接口来连接到公有Amazon不在 VPC 中的服务。创建与 VPC 的私有虚拟接口时,您需要所要连接到的各 VPC 的私有虚拟接口。例如,您需要三个私有虚拟接口连接到三个 VPC。

在您开始之前,请确保您已拥有以下信息:

资源 所需信息
Connection 这些区域有:Amazon Direct Connect要为其创建虚拟接口的连接或链路聚合组 (LAG)。
虚拟接口名称 虚拟接口名称。
虚拟接口所有者 如果要为其他账户创建虚拟接口,您需要Amazon其他账户的账户 ID。
(私有虚拟接口)Connection 对于将连接到同一 VPCAmazon区域,您需要 VPC 的虚拟私有网关。BGP 会话的 Amazon 端的 ASN 是从虚拟私有网关继承的。当您创建虚拟私有网关时,您可以指定您自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅 。创建虚拟专用网关中的Amazon VPC User Guide. 要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 Direct Connect 网关
VLAN 您的连接中尚未使用的唯一的虚拟局域网 (VLAN) 标记。值必须介于 1 和 4094 之间,并且必须符合以太网 802.1Q 标准。任何经过 Amazon Direct Connect 连接的流量都必须有此标签。

如果你有托管连接,Amazon Direct Connect合作伙伴提供了此价值。创建虚拟接口后,您无法修改该值。
对等 IP 地址 虚拟接口可以为 IPv4、IPv6 或其中一个(双堆栈)支持 BGP 对等会话。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。对于 BGP 对等会话,将 IP 地址范围分配到 BGP 对等会话的各虚拟接口端。

  • IPv4:

    • (仅公有虚拟接口) 您必须指定自己拥有的唯一的公有 IPv4 地址。值可以是以下之一:

      • 客户拥有的 IPv4 CIDR

      • 你拥有的 IP 范围Amazon Direct Connect合作伙伴或 ISP,以及 LOA-CFA 授权

      • 网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的Amazon-提供 /31 CIDR。联系人Amazon支持要求一个公有 IPv4 CIDR(并且在您的请求中提供一个使用案例)

        注意

        我们不能保证我们能够满足以下的所有请求:Amazon-提供公有 IPv4 地址。

    • (仅私有虚拟接口) Amazon 可以为您生成私有 IPv4 地址。如果您自行指定,请确保仅为路由器接口和 Amazon Direct Connect 接口指定私有 CIDR (例如,不要从本地网络中指定其他 IP 地址)。

  • IPv6: Amazon 会自动为您分配一个 /125 IPv6 CIDR。您不能指定自己的对等 IPv6 地址。
地址系列 BGP 对等互连会话是通过 IPv4 还是 IPv6。
BGP 信息

  • BGP 会话中您这一侧的公有或私有边界网关协议 (BGP) 自治系统编号 (ASN)。如果使用公有 ASN,您必须具有其所有权。如果使用私有 ASN,它必须在 1 至 21473647 的范围内。如果您对公有虚拟接口使用私有 ASN,则自治系统 (AS) 预置将不起作用。

  • Amazon默认情况下启用 MD5。您不能修改此选项。

  • MD5 BGP 身份验证密钥。您可以提供自己的,也可以让 Amazon 为您生成一个。
(公有虚拟接口)你想宣传的前缀

要通过 BGP 公布的公有 IPv4 路由或 IPv6 路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。

  • IPv4: IPv4 CIDR 可能与公布的其他公有 IPv4 CIDR 重叠。Amazon Direct Connect如果存在下列情况之一:

    • cIDR 来自不同Amazon地区。确保在公共前缀上应用 BGP 社区标签。

    • 当您在主动/被动配置中拥有公共 ASN 时,可以使用 AS_PATH。

    有关更多信息,请参阅 。路由策略和 BGP 社区.

  • IPv6: 指定 /64 或更短的前缀长度。
(私有虚拟接口)巨型帧 以上数据包的最大传输单位 (MTU)Amazon Direct Connect. 默认值为 1500。将虚拟接口的 MTU 设置为 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于从 Amazon Direct Connect 传播的路由。如果在路由表中添加指向虚拟私有网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在Amazon Direct Connect控制台然后查找支持巨型帧在虚拟接口上常规配置页.
(仅限传输虚拟接口)巨型帧 以上数据包的最大传输单位 (MTU)Amazon Direct Connect. 默认值为 1500。将虚拟接口的 MTU 设置为 8500(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。巨型帧仅适用于从 Amazon Direct Connect 传播的路由。如果在路由表中添加指向中转网关的静态路由,则通过静态路由传输的流量将使用 1500 MTU 发送。要检查连接或虚拟接口是否支持巨型帧,请在Amazon Direct Connect控制台然后查找支持巨型帧在虚拟接口上常规配置页.

如果您的公有前缀或 ASN 属于某个 ISP 或网络运营商,我们会要求您提供其他信息。这可以是使用公司抬头的文档,也可以是来自公司域名的用于验证该网络前缀/ASN 可能由您使用的电子邮件。

对于私有虚拟接口和公有虚拟接口,网络连接的最大传输单元 (MTU) 是可以通过连接传递的数据包的最大允许大小(以字节为单位)。虚拟私有接口的 MTU 可以是 1500 或 9001(巨型帧)。中转虚拟接口的 MTU 可以是 1500 或 8500(巨型帧)。您可以在创建接口时指定 MTU,也可以在创建接口后对其进行更新。将虚拟接口的 MTU 设置为 8500(巨型帧)或 9001(巨型帧)可能会导致更新底层物理连接(如果它之前未更新以支持巨型帧)。更新连接会中断与连接关联的所有虚拟接口的网络连接,最长可达 30 秒。要检查连接或虚拟接口是否支持巨型帧,请在Amazon Direct Connect控制台然后查找支持巨型帧摘要选项卡。

当您创建一个公有虚拟接口时,Amazon 可能需要长达 72 小时来审核和批准您的请求。

配置与非 VPC 服务间的公有虚拟接口

  1. 打开Amazon Direct Connect控制台https://console.aws.amazon.com/directconnect/v2/home.

  2. 在导航窗格中,选择 Virtual Interfaces

  3. 选择 Create virtual interface (创建虚拟接口)

  4. Virtual interface type (虚拟接口类型) 下,对于 Type (类型),选择 Public (公有)

  5. Public virtual interface settings (公有虚拟接口设置) 下,执行以下操作:

    1. 对于 Virtual interface name (虚拟接口名称),输入虚拟接口名称。

    2. 对于 Connection (连接),选择要用于此接口的 Direct Connect 连接。

    3. 对于 VLAN,输入您的虚拟局域网 (VLAN) 的 ID 号。

    4. 对于 BGP ASN,请输入新虚拟接口的本地对等路由器的边界网关协议自治系统编号。

      有效值为 1-2147483647。

  6. Additional settings (其他设置) 下,执行以下操作:

    1. 要配置 IPv4 BGP 或 IPv6 对等,请执行以下操作:

      [IPv4] 要配置 IPv4 BGP 对等,请选择 IPv4,然后执行下列操作之一:

      • 要自行指定这些 IP 地址,对于 Your router peer IP (您的路由器对等 IP),输入 Amazon 将流量发送到的目标 IPv4 CIDR 地址。

      • 对于 Amazon 路由器对等 IP,输入用于将流量发送到 Amazon 的 IPv4 CIDR 地址。

      [IPv6] 要配置 IPv6 BGP 对等,请选择 IPv6。对等 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    2. 要提供您自己的 BGP 密钥,请输入您的 BGP MD5 密钥。

      如果您不输入值,我们将生成 BGP 密钥。

    3. 要将前缀公布到 Amazon,对于 Prefixes you want to advertise (您要公布的前缀),输入通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址(用逗号分隔)。

    4. (可选)添加或删除标签。

      [添加标签] 选择 Add tag (添加标签),然后执行以下操作:

      • 对于 Key (键),输入键名称。

      • 对于 Value (值),输入键值。

      [删除标签] 在标签旁,选择 Remove tag (删除标签)

  7. 选择 Create virtual interface (创建虚拟接口)

配置与 VPC 间的私有虚拟接口

  1. 打开Amazon Direct Connect控制台https://console.aws.amazon.com/directconnect/v2/home.

  2. 在导航窗格中,选择 Virtual Interfaces

  3. 选择 Create virtual interface (创建虚拟接口)

  4. UDER虚拟接口类型,对于类型,选择私密.

  5. UDER私有虚拟接口设置中,执行以下操作:

    1. 对于 Virtual interface name (虚拟接口名称),输入虚拟接口名称。

    2. 对于 Connection (连接),选择要用于此接口的 Direct Connect 连接。

    3. 适用于网关类型,选择虚拟专用网关,或者Direct Connect 网关.

    4. 适用于虚拟接口所有者,选择其他Amazon账户,然后输入Amazonaccount.

    5. 适用于虚拟专用网关,选择要用于此接口的虚拟私有网关。

    6. 对于 VLAN,输入您的虚拟局域网 (VLAN) 的 ID 号。

    7. 适用于BGP ASN对于新虚拟接口,输入本地对等路由器的边界网关协议自治系统编号。

      有效值为 1-2147483647。

  6. 附加设置下,执行以下操作:

    1. 要配置 IPv4 BGP 或 IPv6 对等,请执行以下操作:

      [IPv4] 要配置 IPv4 BGP 对等,请选择 IPv4,然后执行下列操作之一:

      • 要自行指定这些 IP 地址,对于 Your router peer IP (您的路由器对等 IP),输入 Amazon 将流量发送到的目标 IPv4 CIDR 地址。

      • 适用于亚马逊路由器 Peer ip,输入用于将流量发送到的 IPv4 CIDR 地址。Amazon.

      [IPv6] 要配置 IPv6 BGP 对等,请选择 IPv6。对等 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    2. 要将最大传输单位 (MTU) 从 1500(默认)更改为 9001(巨型帧),请选择巨型 MTU (MTU 大小 9001).

    3. (可选)添加或删除标签。

      [添加标签] 选择 Add tag (添加标签),然后执行以下操作:

      • 对于 Key (键),输入键名称。

      • 对于 Value (值),输入键值。

      [删除标签] 在标签旁,选择 Remove tag (删除标签)

  7. 选择 Create virtual interface (创建虚拟接口)

  8. 您需要使用 BGP 设备来宣传用于公共 VIF 连接的网络。

第 5 步:下载路由器配置

当您为 Amazon Direct Connect 连接创建了虚拟接口后,可以下载路由器配置文件。该文件包含将您的路由器配置为用于您的私有或公有虚拟接口所需的命令。

下载路由器配置

  1. 打开Amazon Direct Connect控制台https://console.aws.amazon.com/directconnect/v2/home.

  2. 在导航窗格中,选择 Virtual Interfaces

  3. 选择连接,然后选择 View Details (查看详细信息)

  4. 选择 Download router configuration (下载路由器配置)

  5. 对于下载路由器配置,执行以下操作:

    1. 对于 Vendor (供应商),选择您的路由器的生产商。

    2. 对于 Platform,选择您的路由器型号。

    3. 对于 Software,选择您的路由器软件版本。

  6. 选择下载,然后使用适合您的路由器的配置,以确保您可以连接到 Amazon Direct Connect。

有关示例配置文件,请参阅示例路由器配置文件

在配置您的路由器后,虚拟接口的状态将变为 UP。如果虚拟接口保持断开并且您无法对Amazon Direct Connect 设备的对等 IP 地址执行 ping 操作,请参阅排查第 2 层(数据链路)问题。如果您可以对对等 IP 地址执行 ping 操作,请参阅排查第 3/4 层(网络/传输)问题。如果 BGP 对等会话已建立但您无法路由流量,请参阅排查路由问题

第 6 步:确认您的虚拟接口

在建立虚拟接口之后Amazon云或亚马逊 VPC,您可以验证 Amazon Direct Connect 使用以下过程进行连接。

确认您的虚拟接口连接到Amazon云

  • 运行 traceroute 并确认 Amazon Direct Connect 标识符在网络追踪范围内。

确认您的虚拟接口连接到 Amazon VPC

  1. 使用可以通过 Ping 操作访问操作访问的 AMI,例如 Amazon Linux AMI,将 EC2 实例启动到与虚拟私有网关连接的 VPC 中。Amazon Linux AMI 在快速启动当您使用 Amazon EC2 控制台中的实例启动向导时,将显示选项卡。有关更多信息,请参阅 。启动实例中的适用于 Linux 实例的 Amazon EC2 用户指南。确保与实例关联的安全组包含允许入站 ICMP 流量的规则(用于检测请求)。

  2. 当实例开始运行后,获取其私有 IPv4 地址 (例如 10.0.0.4)。Amazon EC2 控制台显示的地址是实例详细信息的一部分。

  3. Ping 私有 IPv4 地址并获得响应。

(推荐)步骤 7:配置冗余连接

为了提供故障转移,我们建议您请求并配置两个专用连接Amazon,如下图所示。这些连接会在您的网络中的一个或两个路由器上终止。

冗余连接图

如果您配置两个专用连接,则可以有不同的配置选择:

  • 主动/主动(BGP 多路径)。这是两个连接均为主动连接的默认配置。Amazon Direct Connect 支持同一个位置中指向多个虚拟接口的多路径,流量基于流程在接口之间负载均衡。如果一个连接不可用,那么所有流量都会路由到另一个连接。

  • 主动/被动(故障转移)。一个连接正在处理流量,另一个连接处于待命状态。如果主动连接不可用,所有流量都会路由到被动连接。您需要在您的一个链接上将 AS 路径附加到路由之前以使其成为被动链接。

您如何配置连接并不影响冗余,但是会影响策略,而该策略决定如何在两个连接间路由流量。我们建议您将两个连接配置为活跃状态。

如果您使用 VPN 连接实现冗余,请确保实施了运行状况检查和故障转移机制。如果您使用以下任一配置,则需要检查路由表路由以路由到新的网络接口。

  • 您使用自己的实例进行路由,例如实例是防火墙的情况。

  • 您使用自己的实例终止 VPN 连接。

要实现高可用性,强烈建议您配置与不同 Amazon Direct Connect 位置的连接。

有关 的更多信息Amazon Direct Connect弹性,请参阅Amazon Direct Connect弹性建议.