AWS Direct Connect
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

开始使用 AWS Direct Connect

AWS Direct Connect 让您能够将您的本地网络直接与位于 AWS Direct Connect 位置的设备连接。以下过程演示了开始设置 AWS Direct Connect 连接的常见场景。您还可以参阅文章如何配置 AWS Direct Connect 连接?

您可以使用以下方法之一设置 AWS Direct Connect 连接。

Port speed 方法

1 Gbps 或更高

从您的路由器直接连接到位于 AWS Direct Connect 位置的 AWS 设备。

1 Gbps 或更高

AWS 合作伙伴网络 (APN) 中的合作伙伴或帮助您将路由器从数据中心、办公室或托管环境连接到 AWS Direct Connect 位置的网络提供商合作。该网络提供商不必是 APN 的成员就能为您提供连接。

低于 1 Gbps

AWS 合作伙伴网络 (APN) 中为您创建托管连接的合作伙伴合作。注册 AWS,然后按照说明操作来接受您的托管连接

先决条件

对于端口速度为 1 Gbps 或更高的与 AWS Direct Connect 的连接,请确保您的网络满足以下要求。

  • 您的网络必须使用具有适用于 1 Gb 以太网的 1000BASE-LX (1310nm) 收发器或适用于 10 Gb 以太网的 10GBASE-LR (1310nm) 收发器的单模光纤。

  • 必须禁用端口的自动协商功能。必须手动配置端口速度和全双工模式。

  • 必须跨整个连接 (包括中间设备) 支持 802.1Q VLAN 封装。

  • 您的设备必须支持边界网关协议 (BGP) 和 BGP MD5 认证。

  • (可选) 您可以在网络上配置双向转发检测 (BFD)。异步 BFD 对 AWS Direct Connect 虚拟接口自动启用,但直到您在路由器上配置它后才会生效。

步骤 1:注册 AWS

要使用 AWS Direct Connect,您需要一个 AWS 账户(如果还没有)。

如何注册 AWS 账户

  1. 打开 http://www.amazonaws.cn/,然后选择 Create an AWS Account (创建 AWS 账户)

    注意

    如果您之前曾使用 AWS 账户根用户 凭证登录 AWS 管理控制台,请选择 Sign in to a different account (登录其他账户)。如果您之前曾使用 IAM 凭证登录控制台,请选择 Sign-in using root account credentials (使用根账户凭证登录)。然后选择 Create a new AWS account (创建新的 AWS 账户)

  2. 按照联机说明操作。

    在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。

步骤 2:请求 AWS Direct Connect 连接

对于速度为 1 Gbps 或更高的连接,您可以使用 AWS Direct Connect 控制台提交连接请求。确保您具有以下信息:

  • 您要求的端口速度:1 Gbps 或 10 Gbps。在您创建连接请求之后,无法更改端口速度。

  • 将终止连接的 AWS Direct Connect 位置。

如果需要的端口速度低于 1 Gbps,您无法使用控制台请求连接。相反,您需要联系 APN 合作伙伴,由对方为您创建托管连接,然后您表示接受。请跳过以下步骤并转至(仅限低于 1 Gbps 的速度) 接受您的托管连接

如何创建新的 AWS Direct Connect 连接

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. 在导航栏中,选择要在其中连接到 AWS Direct Connect 的区域。有关更多信息,请参阅 AWS 区域和终端节点

  3. Welcome to AWS Direct Connect 屏幕上,选择 Get Started with Direct Connect

  4. Create a Connection (创建连接) 对话框中,执行以下操作:

    “创建连接”对话框
    1. 对于 Connection Name,输入连接的名称。

    2. 对于 LAG Association,请指定连接是否为独立的,或它是否应与您账户中的链接聚合组 (LAG) 关联。此选项仅在您在账户中有 LAG 时可用。要将此连接与 LAG 关联,请选择 LAG ID。创建此连接的端口速度和位置与 LAG 中所指定的相同。有关更多信息,请参阅 链接聚合组

    3. 对于 Location,选择适当的 AWS Direct Connect 位置。

    4. 如果适用,对于 Sub Location (Sub 位置),选择最接近您或您的网络提供商的楼层。此选项仅在该位置在建筑物的多个楼层中设有汇接机房 (MMR) 时可用。

    5. 选择适当的端口速度,然后单击 Create

      您的连接会列在 AWS Direct Connect 控制台的 Connections (连接) 窗格上。

AWS 审核您的请求并为您的连接配置端口可能需要长达 72 小时。在此期间,您可能会收到一封包含电子邮件,其中包含有关您的使用案例或指定位置的更多信息的请求。此电子邮件会发送到您注册 AWS 时使用的电子邮件地址。您必须在 7 日内回复,否则将删除该连接。

有关创建和使用 AWS Direct Connect 连接的更多信息,请参阅连接

(仅限低于 1 Gbps 的速度) 接受您的托管连接

如果您从所选合作伙伴请求了速度低于 1G 的连接,该合作伙伴将为您创建托管连接 (您无法自行创建该连接)。您必须在 AWS Direct Connect 控制台中接受该托管连接,然后才能创建虚拟接口。

如何接受托管连接

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. 如有必要,请选择托管连接所在的区域。有关更多信息,请参阅 AWS 区域和终端节点

  3. 在导航窗格中,选择 Connections

  4. Connections 窗格中选择托管连接。

    “连接”窗格
  5. 选择 I understand that Direct Connect port charges apply once I click Accept Connection,然后选择 Accept Connection

  6. 转到步骤 4 继续设置您的 AWS Direct Connect 连接。

步骤 3:下载 LOA-CFA

在您请求连接后,AWS 将提供《授权证书和连接设备分配 (LOA-CFA)》供您下载,也可能向您发送电子邮件要求您提供更多信息。LOA-CFA 是连接到 AWS 时使用的授权,主机托管提供商或您的网络提供商建立交叉网络连接 (cross-connect) 时需要此授权。

下载 LOA-CFA

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. 在导航窗格中,选择 Connections,然后选择您的连接。

  3. 选择 ActionsDownload LOA-CFA

    注意

    如果未启用链接,则 LOA-CFA 尚不可供您下载。查看您的电子邮件,了解是否要求您提供更多信息。如果仍不可用,或者您在 72 小时后仍未收到电子邮件,请联系 AWS Support

  4. 如果您希望将提供商名称作为请求者与公司名称一起显示在 LOA-CFA 中,可以选择输入您提供商的名称。选择 Download。LOA-CFA 以 PDF 文件格式下载到您的计算机中。

  5. 在您下载 LOA-CFA 以后,请执行以下操作之一:

    • 如果您正在与 APN 成员或网络提供商合作,请向他们发送 LOA-CFA,以便他们能够在 AWS Direct Connect 位置为您订购交叉连接。如果他们无法为您订购交叉连接,您可以直接联系主机托管提供商

    • 如果您在 AWS Direct Connect 位置有设备,请联系主机托管提供商以请求交叉网络连接。您必须是主机托管提供商的客户,并且必须向主机托管提供商提供了授权与 AWS 路由器连接的 LOA-CFA,以及连接到您的网络时需要的信息。

作为多个站点列出的 AWS Direct Connect 位置 (例如,Equinix DC1-DC6 & DC10-DC11) 将设置为校园。如果您或您的网络提供商的设备位于任一这些站点中,您将能够请求交叉连接到所分配的端口,即使该端口位于校园内的不同建筑物中。

重要

园区被视为单个 AWS Direct Connect 位置。要实现高可用性,请配置与不同 AWS Direct Connect 位置的连接。

如果您或您的网络合作伙伴在建立物理连接时遇到问题,请参阅排查第 1 层 (物理) 问题

步骤 4:创建虚拟接口

要开始使用您的 AWS Direct Connect 连接,您必须创建一个虚拟接口。您可以创建私有虚拟接口以连接到 VPC,或者创建公有虚拟接口以连接到不在 VPC 中的公有 AWS 服务。创建与 VPC 的私有虚拟接口时,您需要所要连接到的各 VPC 的专用虚拟接口。例如,您需要三个专用虚拟接口连接到三个 VPC。

在您开始之前,请确保您已拥有以下信息:

  • Connection:要为其创建虚拟接口的 AWS Direct Connect 连接或链路聚合组 (LAG)。

  • Virtual interface name:虚拟接口名称。

  • Virtual interface owner (虚拟接口所有者):如果要为另一个账户创建虚拟接口,您需要其他账户的 AWS 账户 ID。

  • (仅私有虚拟接口) Connection to:要连接到同一区域中的 VPC,您需要 VPC 的虚拟私有网关。BGP 会话的 Amazon 端的 ASN 是从虚拟私有网关继承的。当您创建虚拟私有网关时,您可以指定您自己的私有 ASN。否则,Amazon 会提供默认 ASN。有关更多信息,请参阅 Amazon VPC 用户指南 中的创建虚拟专用网关。要通过 Direct Connect 网关连接到 VPC,您需要 Direct Connect 网关。有关更多信息,请参阅 Direct Connect 网关

  • VLAN:未在您的连接上使用的唯一的虚拟局域网 (VLAN) 标记。该值必须介于 1 和 4094 之间且必须符合 Ethernet 802.1Q 标准。任何经过 AWS Direct Connect 连接的流量都必须有此标签。

  • Address family (地址系列):BGP 对等会话将基于 IPv4 还是 IPv6。

  • Peer IP addresses (对等 IP 地址):虚拟接口可以针对 IPv4、IPv6 或这二者 (双堆栈) 支持 BGP 对等会话。您无法在同一个虚拟接口上为同一 IP 地址系列创建多个 BGP 会话。IP 地址范围会分配到 BGP 对等会话的各个虚拟接口端。

    • IPv4:

      • (仅公有虚拟接口) 您必须指定您所拥有的唯一的公有 IPv4 地址 (/30)。

      • (仅私有虚拟接口) Amazon 可以为您生成私有 IPv4 地址。如果您自行指定,请确保仅为路由器接口和 AWS Direct Connect 接口指定私有 CIDR (例如,不要从本地网络中指定其他 IP 地址)。

    • IPv6:Amazon 会自动为您分配一个 /125 IPv6 CIDR。您不能指定自己的对等 IPv6 地址。

  • BGP 信息

    • 用于 BGP 会话的您这一侧的公有或私有边界网关协议 (BGP) 自治系统编号 (ASN)。如果使用公有 ASN,您必须具有其所有权。如果使用私有 ASN,它必须在 64512 至 65535 的范围内。如果您对公有虚拟接口使用私有 ASN,则自治系统 (AS) 预置将不起作用。

    • MD5 BGP 身份验证密钥。您可以提供自己的密钥,或者让 Amazon 为您生成一个。

  • (针对仅公有虚拟接口) Prefixes you want to advertise (您要公布的前缀):要通过 BGP 公布的公有 IPv4 路由或 IPv6 路由。您必须使用 BGP 至少公布一个前缀,最多 1000 个前缀。

    • IPv4:IPv4 CIDR 不能与通过 AWS Direct Connect 公布的其他公有 IPv4 CIDR 重叠。如果您不拥有公有 IPv4 地址,您的网络提供商也许能够为您提供一个公有 IPv4 CIDR。否则,联系 AWS Support 以请求一个 /31 公有 IPv4 CIDR (并且在您的请求中提供一个使用案例)。

    • IPv6:指定 /64 或更短的前缀长度。

配置与非 VPC 服务间的公有虚拟接口

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. 在导航窗格中,选择 Connections,再选择要使用的连接,然后依次选择 ActionsCreate Virtual Interface

  3. Create a Virtual Interface 窗格中,选择 Public

    “创建虚拟接口”屏幕
  4. Define Your New Public Virtual Interface (定义新的公有虚拟接口) 对话框中,执行以下操作并选择 Continue (继续)

    1. 对于 Connection,选择要用于创建虚拟接口的现有实体连接。

    2. 对于 Virtual Interface Name (虚拟接口名称),输入虚拟接口名称。

    3. 对于 Virtual Interface Owner,如果虚拟接口用于您的 AWS 账户,则选择 My AWS Account 选项。

    4. 对于 VLAN,输入您的虚拟局域网 (VLAN) 的 ID 号。

    5. 如果您要配置 IPv4 BGP 对等体,请选择 IPv4,然后执行以下操作:

      • 对于 Your router peer IP,输入 Amazon 应将流量发送到的 IPv4 CIDR 目标地址。

      • 对于 Amazon router peer IP,输入用于将流量发送到 Amazon 的 IPv4 CIDR 地址。

    6. 如果您要配置 IPv6 BGP 对等体,请选择 IPv6。对等体 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    7. 对于 BGP ASN,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

    8. 要让 AWS 生成 BGP 密钥,选中 Auto-generate BGP key 复选框。

      要提供您自己的 BGP 密钥,清除 Auto-generate BGP key 复选框。对于 BGP Authentication Key,输入您的 BGP MD5 密钥。

    9. 对于 Prefixes you want to advertise,输入通过虚拟接口将流量路由到的 IPv4 CIDR 目标地址 (用逗号隔开)。

  5. 下载您的路由器配置。有关更多信息,请参阅 步骤 5:下载路由器配置

注意

如果您的公有前缀或 ASN 属于某个 ISP 或网络运营商,则 AWS 会请求您提供其他信息。这可以是使用公司抬头的文档,也可以是来自公司域名的用于验证该网络前缀/ASN 可能由您使用的电子邮件。

当您创建一个公有虚拟接口时,AWS 可能需要长达 72 小时来审核和批准您的请求。

配置与 VPC 间的私有虚拟接口

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. 在导航窗格中,选择 Connections (连接),选择要使用的连接,然后依次选择 Actions (操作)Create Virtual Interface (创建虚拟接口)

  3. Create a Virtual Interface (创建虚拟接口) 窗格中,选择 Private (私有)

    “创建虚拟接口”屏幕
  4. Define Your New Private Virtual Interface (定义您的新私有虚拟接口) 下,执行以下操作并选择 Continue (继续)

    1. 对于 Virtual Interface Name (虚拟接口名称),输入虚拟接口名称。

    2. 对于 Virtual Interface Owner,如果虚拟接口用于您的 AWS 账户,则选择 My AWS Account 选项。

    3. 对于 Connection To (连接到),选择 Virtual Private Gateway (虚拟私有网关),然后选择要连接到的虚拟私有网关。

    4. 对于 VLAN,输入您的虚拟局域网 (VLAN) 的 ID 号。

    5. 如果您要配置 IPv4 BGP 对等体,请选择 IPv4,然后执行以下操作:

      • 要让 AWS 生成您的路由器 IP 地址和 Amazon IP 地址,请选择 Auto-generate peer IPs (自动生成对等 IP)

      • 要自行指定这些 IP 地址,请清除 Auto-generate peer IPs 复选框。对于 Your router peer IP,输入 Amazon 应将流量发送到的 IPv4 CIDR 目标地址。对于 Amazon router peer IP,输入用于将流量发送到 AWS 的 IPv4 CIDR 地址。

    6. 如果您要配置 IPv6 BGP 对等体,请选择 IPv6。对等体 IPv6 地址会从 Amazon 的 IPv6 地址池自动分配。您无法指定自定义 IPv6 地址。

    7. 对于 BGP ASN,输入您网关的边界网关协议 (BGP) 自治系统编号 (ASN)。

    8. 要让 AWS 生成 BGP 密钥,选中 Auto-generate BGP key 复选框。

      要提供您自己的 BGP 密钥,清除 Auto-generate BGP key 复选框。对于 BGP Authentication Key,输入您的 BGP MD5 密钥。

  5. 下载您的路由器配置。有关更多信息,请参阅 步骤 5:下载路由器配置

注意

如果您使用 VPC 向导创建 VPC,系统将自动为您启用路线传播。通过路线传播,路线会自动添加到您 VPC 中的路线表。如果您愿意,您可以停用路线传播。有关更多信息,请参阅Amazon VPC 用户指南中的在路由表中启用路由传播

步骤 5:下载路由器配置

当您为 AWS Direct Connect 连接创建了虚拟接口后,可以下载路由器配置文件。该文件包含将您的路由器配置为用于您的私有或公有虚拟接口所需的命令。

下载路由器配置

  1. 通过以下网址打开 AWS Direct Connect 控制台:https://console.amazonaws.cn/directconnect/

  2. Virtual Interfaces (虚拟接口) 窗格中,选择虚拟接口,然后选择 Actions (操作)Download Router Configuration (下载路由器配置)

  3. Download Router Configuration (下载路由器配置) 对话框中,执行以下操作:

    1. 对于 Vendor,选择您的路由器的生产商。

    2. 对于 Platform,选择您的路由器型号。

    3. 对于 Software,选择您的路由器软件版本。

  4. 选择 Download,然后使用适合您路由器的配置,以确保您可以连接到 AWS Direct Connect。

有关示例配置文件,请参阅示例路由器配置文件

在配置您的路由器后,虚拟接口的状态将变为 UP。如果虚拟接口保持断开并且您无法对 AWS Direct Connect 设备的对等 IP 地址执行 ping 操作,请参阅排查第 2 层 (数据链路) 问题。如果您可以对对等 IP 地址执行 ping 操作,请参阅排查第 3/4 层 (网络/传输) 问题。如果 BGP 对等会话已建立但您无法路由流量,请参阅排查路由问题

步骤 6:确认您的虚拟接口

建立到 AWS 云或 Amazon VPC 的虚拟接口以后,可以通过以下步骤验证您的 AWS Direct Connect 连接。

确认您的虚拟接口连接到 AWS 云

  • 运行 traceroute 并确认 AWS Direct Connect 标识符在网络追踪范围内。

如何要确认您的虚拟接口连接到 Amazon VPC

  1. 使用可以通过 Ping 操作访问的 AMI,例如 Amazon Linux AMI,将 EC2 实例启动到与虚拟专用网关连接的 VPC 中。当您使用 Amazon EC2 控制台中的实例启动向导时,可在 Quick Start 选项卡中使用 Amazon Linux AMI。有关更多信息,请参阅启动实例 (Amazon EC2 用户指南(适用于 Linux 实例) 中)。确保与实例关联的安全组包含允许入站 ICMP 流量的规则(用于检测请求)。

  2. 当实例开始运行后,获取其私有 IPv4 地址 (例如 10.0.0.4)。Amazon EC2 控制台显示的地址是实例详细信息的一部分。

  3. Ping 私有 IPv4 地址并获得响应。

(可选) 配置冗余连接

为了提供故障转移,我们建议您申请并配置两个接到 AWS 的专用连接 (如下图所示)。这些连接会在您的网络中的一个或两个路由器上终止。

 冗余连接图

如果您配置两个专用连接,则可以有不同的配置选择:

  • 主动/主动(BGP 多路径)。这是两个连接均为主动连接的默认配置。AWS Direct Connect 支持同一个位置中指向多个虚拟接口的多路径,流量基于流程在接口之间负载均衡。如果一个连接不可用,那么所有流量都会路由到另一个连接。

  • 主动/被动(故障转移)。一个连接正在处理流量,另一个连接处于待命状态。如果主动连接不可用,所有流量都会路由到被动连接。您需要在您的一个链接上将 AS 路径附加到路由之前以使其成为被动链接。

您如何配置连接并不影响冗余,但是会影响策略,而该策略决定如何在两个连接间路由流量。我们建议您将两个连接配置为活跃状态。

如果您使用 VPN 连接实现冗余,请确保实施了运行状况检查和故障转移机制,并检查您的路由表路由

要实现高可用性,强烈建议您配置与不同 AWS Direct Connect 位置的连接。有关高可用性选项的更多信息,请参阅多数据中心 HA 网络连接