本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 T Amazon ransit Gateway 中连接附件和连接对等体 Connect 挂载和 Connect 对等节点 您可以创建*中转网关 Connect 挂载*,以便在 VPC 中运行的中转网关和第三方虚拟设备(例如 SD-WAN 设备)之间建立连接。Connect 挂载支持通用路由封装 (GRE) 隧道协议以实现高性能,支持边界网关协议 (BGP) 以实现动态路由。创建 Connect 挂载后,您可以在 Connect 挂载上创建一个或多个 GRE 隧道(也称为 *中转网关 Connect 对等节点*)以连接中转网关和第三方设备。您可以通过 GRE 隧道建立两个 BGP 会话以交换路由信息。 **重要** Transit Gateway Connect 对等体由两个 BGP 对等会话组成,这些会话在托管基础设施上 Amazon终止。两个 BGP 对等会话提供路由层冗余,以确保丢失一个 BGP 对等会话不会影响您的路由操作。从两个 BGP 会话接收到的路由信息将累积到给定的 Connect 对等节点。两个 BGP 对等会话还可以防止任何 Amazon 基础设施操作,例如例行维护、修补、硬件升级和更换,所导致的中断。如果您的 Connect 对等体在没有为冗余配置建议的双 BGP 对等会话的情况下运行,则在基础设施运行期间 Amazon ,它可能会暂时失去连接。我们强烈建议您在 Connect 对等节点上配置两个BGP 对等会话。如果您已配置多个 Connect 对等节点以支持设备端的高可用性,我们建议您在每个 Connect 对等节点上配置两个 BGP 对等会话。 Connect 挂载使用现有的 VPC 或 Direct Connect 挂载作为基础传输机制。该挂载被称为*运输挂载*。Transit Gateway将来自第三方设备的匹配 GRE 数据包标识为来自 Connect 挂载的流量。它将任何其他数据包(包括具有不正确源或目标信息的 GRE 数据包)视为传输挂载中的流量。 **注意** 要使用 Direct Connect 附件作为传输机制,你首先需要将 Direct Connect 与 T Amazon ransit Gateway 集成。有关创建此集成的步骤,请参阅[将 SD-WAN 设备与 T Amazon ransit Gateway 集成](https://www.amazonaws.cn/blogs/networking-and-content-delivery/integrate-sd-wan-devices-with-aws-transit-gateway-and-aws-direct-connect/),以及。 Amazon Direct Connect ## Connect 对等节点 Connect 对等节点(GRE 隧道)由以下组件组成。 **CIDR 块内部(BGP 地址)** 用于 BGP 对等连接的内部 IP 地址。您必须从的`169.254.0.0/16`范围中指定 /29 CIDR 块。 IPv4您可以选择从的`fd00::/8`范围中指定 /125 CIDR 块。 IPv6以下 CIDR 块由系统保留,不能使用: + 169.254.0.0/29 + 169.254.1.0/29 + 169.254.2.0/29 + 169.254.3.0/29 + 169.254.4.0/29 + 169.254.5.0/29 + 169.254.169.248/29 您必须将设备上该 IPv4 范围中的第一个地址配置为 BGP IP 地址。使用时 IPv6,如果内部 CIDR 块为 fd00:: /125,则必须在设备的隧道接口上配置此范围内的第一个地址 (fd00:: 1)。 在Transit Gateway的所有隧道中,BGP 地址必须是唯一的。 **对等 IP 地址** Connect 对等节点设备侧的对等 IP 地址(GRE 外部 IP 地址)。该地址可以是任何 IP 地址。IP 地址可以是 IPv4 或 IPv6 地址,但它的 IP 地址系列必须与传输网关地址相同。 **Transit Gateway地址** Connect 对等节点中转网关侧的对等 IP 地址(GRE 外部 IP 地址)。必须从Transit Gateway CIDR 块中指定 IP 地址,并且该地址在Transit Gateway的 Connect 挂载中必须是唯一的。如果您没有指定 IP 地址,我们将使用Transit Gateway CIDR 块中的第一个可用地址。 您可以在[创建](create-tgw.md)或[修改](tgw-modifying.md)Transit Gateway时添加Transit Gateway CIDR 块。 IP 地址可以是 IPv4 或 IPv6 地址,但它的 IP 地址系列必须与对等 IP 地址相同。 对等 IP 地址和Transit Gateway地址用于唯一地标识 GRE 隧道。您可以在多个隧道中重复使用任一地址,但不能在同一隧道中重复使用两个地址。 适用于 BGP 对等的 Transit Gateway Connect 仅支持多协议 BGP (MP-BGP),在这种多协议 BGP (MP-BGP) 中,还需要 IPv4 单播寻址才能为单播建立 BGP 会话。 IPv6 您可以同时使用 IPv4 和 IPv6 地址作为 GRE 外部 IP 地址。 以下示例显示了Transit Gateway和 VPC 中的设备之间的 Connect 挂载。 ![\[中转网关 Connect 挂载和 Connect 对等节点\]](http://docs.amazonaws.cn/vpc/latest/tgw/images/transit-gateway-connect-peer.png) | 图组件 | 说明 | | --- | --- | | ![\[显示在示例图中如何表示 VPC 挂载。\]](http://docs.amazonaws.cn/vpc/latest/tgw/images/VPC-attachment.png) | VPC 挂载 | | ![\[显示在示例图中如何表示 Connect 挂载。\]](http://docs.amazonaws.cn/vpc/latest/tgw/images/connect-attachment.png) | Connect 连接 | | ![\[显示在示例图中如何表示 GRE 隧道。\]](http://docs.amazonaws.cn/vpc/latest/tgw/images/GRE-tunnel.png) | GRE 隧道(Connect 对等节点) | | ![\[显示在示例图中如何表示 BGP 对等会话。\]](http://docs.amazonaws.cn/vpc/latest/tgw/images/bgp-peering.png) | BGP 对等会话 | 在前面的示例中,在现有 VPC 挂载(传输挂载)上创建了一个 Connect 挂载。在 Connect 挂载上创建 Connect 对等节点,以建立与 VPC 中的设备的连接。Transit Gateway地址为 `192.0.2.1`,BGP 地址的范围为 `169.254.6.0/29`。范围中的第一个 IP 地址 (`169.254.6.1`) 在设备上被配置为对等 BGP IP 地址。 VPC C 的子网路由表有一个路由,该路由将发往Transit Gateway CIDR 块的流量指向Transit Gateway。 | 目的地 | 目标 | | --- | --- | | 172.31.0.0/16 | 本地 | | 192.0.2.0/24 | tgw-id | ## 要求和注意事项 以下是 Connect 挂载的要求和注意事项。 + 有关哪些区域支持 Connect 挂载的信息,请参阅 [Amazon Transit Gateway 常见问题解答](https://www.amazonaws.cn/transit-gateway/faqs/)。 + 必须将第三方设备配置为使用 Connect 挂载通过 GRE 隧道在Transit Gateway之间发送和接收流量。 + 必须将第三方设备配置为使用 BGP 进行动态路由更新和运行状况检查。 + 支持以下类型的 BGP: + 外部 BGP (eBGP):用于连接到位于不同于Transit Gateway的自治系统中的路由器。如果使用 eBGP,则必须将 ebgp-multihop 配置为 time-to-live 2。 + 内部 BGP (iBGP):用于连接到位于与 Transit Gateway 相同的自治系统的路由器。传输网关不会安装来自 iBGP 对等体(第三方设备)的路由,除非这些路由源自 eBGP 对等体并且应该已 next-hop-self配置。第三方设备通过 iBGP 对等连接发布的路由必须具有 ASN。 + MP-BGP(BGP 的多协议扩展):用于支持多种协议类型,例如和地址族。 IPv4 IPv6 + 默认 BGP 保持连接超时为 10 秒,默认的保持计时器为 30 秒。 + IPv6 不支持 BGP 对等互连;仅支持 IPv4基于 BGP 对等互连。 IPv6 使用 MP-BGP 通过 IPv4 BGP 对等互连交换前缀。 + 不支持双向转发检测 (BFD)。 + 不支持 BGP 平稳重启。 + 创建Transit Gateway对等节点时,如果您没有指定对等节点 ASN 编号,我们将选择Transit Gateway ASN 编号。这意味着您的设备和Transit Gateway将位于执行 iBGP 的同一个自治系统中。 + 当您有两个 Connect 对等节点时,使用 BGP AS-PATH 属性的 Connect 对等节点是首选路由。 要在多个设备之间使用相同成本的多路径 (ECMP) 路由,您必须将设备配置为使用相同的 BGP AS-PATH 属性向Transit Gateway发布相同的前缀。要使Transit Gateway选择所有可用的 ECMP 路径,AS-PATH 和自治系统号 (ASN) 必须匹配。中转网关可以在同一 Connect 挂载的 Connect 对等节点之间使用 ECMP,也可以在同一中转网关上的 Connect 挂载之间使用 ECMP。Transit Gateway 不能在单个对等体建立的两个冗余 BGP 对等连接之间使用 ECMP。 + 默认情况下,使用 Connect 挂载,路由会传播到Transit Gateway路由表。 + 不支持静态路由。 + 配置 GRE 隧道 MTU 时,需减去 GRE 标头(24 字节)和外部 IP 标头(20 字节)的开销,确保其小于外部接口的 MTU 值。例如,如果外部接口 MTU 为 1500 字节,则应将 GRE 隧道 MTU 设置为 1456 字节(1500 - 24 - 20 = 1456),以避免数据包分片。 **Topics** + [ ## Connect 对等节点 ](#tgw-connect-peer) + [ ## 要求和注意事项 ](#tgw-connect-requirements) + [创建 Connect 连接](create-tgw-connect-attachment.md) + [创建 Connect 对等节点](create-tgw-connect-peer.md) + [查看 Connect 连接和 Connect 对等节点](view-tgw-connect-attachments.md) + [修改 Connect 连接和 Connect 对等节点标签](modify-connect-attachment-tag.md) + [删除 Connect 对等节点](delete-tgw-connect-peer.md) + [删除 Connect 连接](delete-tgw-connect-attachment.md) # 在 Amazon Transit Gateway 中创建 Connect 连接 创建 Connect 连接 要创建 Connect 连接,您必须将现有连接指定为传输连接。您可以将 VPC 连接或 Direct Connect 连接指定为传输连接。 **使用控制台创建 Connect 连接** 1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/)。 1. 在导航窗格中,选择“中转网关连接”****。 1. 选择 **Create Transit Gateway Attachment**(创建中转网关连接)。 1. (可选)对于 **Name tag**(名称标签),为连接指定名称标签。 1. 对于**Transit Gateway ID**(中转网关 ID),选择要用于连接的中转网关。 1. 对于 **Attachment type**(连接类型),选择 **Connect**(连接)。 1. 对于 **Transport Attachment ID**(传输连接 ID),选择现有连接(传输连接)的 ID。 1. 选择 **Create Transit Gateway Attachment**(创建中转网关连接)。 **使用 Amazon CLI 创建 Connect 连接** 使用 [create-transit-gateway-connect](https://docs.amazonaws.cn/cli/latest/reference/ec2/create-transit-gateway-connect.html) 命令。 # 在 Amazon Transit Gateway 中创建 Connect 对等节点 创建 Connect 对等节点 您可以为现有的 Connect 连接创建 Connect 对等节点(GRE 隧道)。在开始之前,请确保已配置中转网关 CIDR 块。您可以在[创建](create-tgw.md)或[修改](tgw-modifying.md)中转网关时配置中转网关 CIDR 块。 创建 Connect 对等节点时,必须在 Connect 对等节点的设备端指定 GRE 外部 IP 地址。 **要使用控制台创建 Connect 对等节点** 1. 通过 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 打开 Amazon VPC 控制台。 1. 在导航窗格中,选择“中转网关连接”****。 1. 选择 Connect 连接,然后选择 **Actions**(操作)、**Create Connect peer**(创建 Connect 对等节点)。 1. (可选)对于“名称标签”****,为 Connect 对等节点指定名称标签。 1. (可选)对于 **Transit Gateway GRE Address**(中转网关 GRE 地址),为中转网关指定 GRE 外部 IP 地址。默认情况下,使用中转网关 CIDR 块中的第一个可用地址。 1. 对于“对等节点 GRE 地址”****,为 Connect 对等节点的设备端指定 GRE 外部 IP 地址。 1. 对于 **BGP Inside CIDR blocks IPv4**(CIDR 块 IPv4 内的 BGP),指定用于 BGP 对等连接的内部 IPv4 地址范围。从 `169.254.0.0/16` 范围中指定 /29 CIDR 块。 1. (可选)对于 **BGP Inside CIDR blocks IPv6**(CIDR 块 IPv6 内的 BGP),指定用于 BGP 对等连接的内部 IPv6 地址范围。从 `fd00::/8` 范围中指定 /125 CIDR 块。 1. (可选)对于 **Peer ASN**(对等节点 ASN),为设备指定边界网关协议(BGP) 自治系统编号(ASN)。您可以使用指定给您的网络的现有 ASN。如果您没有 ASN,您可以使用 64512–65534(16 位 ASN)或 4200000000–4294967294(32 位 ASN)范围内的私有 ASN。 默认值与Transit Gateway的 ASN 相同。如果将 **Peer ASN**(对等节点 ASN)配置为与Transit Gateway ASN(eBGP) 不同,您必须使用生存时间(TTL) 值 2 配置 ebgp-multihop。 1. 选择 **Create Connect peer**(创建 Connect 对等节点) **要使用 Amazon CLI 创建 Connect 对等节点** 使用 [create-transit-gateway-connect-peer](https://docs.amazonaws.cn/cli/latest/reference/ec2/create-transit-gateway-connect-peer.html) 命令。 # 在 T Amazon ransit Gateway 中查看 Connect 附件和连接对等体 查看 Connect 连接和 Connect 对等节点 查看您的 Connect 连接和 Connect 对等节点。 **要使用控制台查看 Connect 连接和 Connect 对等节点** 1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 的 Amazon VPC 控制台。 1. 在导航窗格中,选择“中转网关连接”****。 1. 选择 Connect 连接。 1. 要查看 Connect 连接对等节点,请选择 **Connect Peers**(Connect 对等节点)选项卡。 **要查看您的 Connect 附件和 Connect 对等方,请使用 Amazon CLI** 使用[describe-transit-gateway-connects](https://docs.amazonaws.cn/cli/latest/reference/ec2/describe-transit-gateway-connects.html)和 [describe-transit-gateway-connect-peers](https://docs.amazonaws.cn/cli/latest/reference/ec2/describe-transit-gateway-connect-peers.html) 命令。 # 在 T Amazon ransit Gateway 中修改 Connect 附件和连接对等标签 修改 Connect 连接和 Connect 对等节点标签 您可以修改 Connect 连接的标签。 **要使用控制台修改 Connect 连接标签** 1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 的 Amazon VPC 控制台。 1. 在导航窗格中,选择 **Transit Gateway Attachments**(中转网关连接)。 1. 选择 Connect 连接,然后选择 **Actions**(操作)、**Manage tags**(管理标签)。 1. 要添加标签,请选择 **Add new tag**(添加新标签)并指定键名称和键值。 1. 要删除标签,请选择**移除**。 1. 选择**保存**。 您可以修改 Connect 对等节点的标签。 **要使用控制台修改 Connect 对等节点标签** 1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 的 Amazon VPC 控制台。 1. 在导航窗格中,选择 **Transit Gateway Attachments**(中转网关连接)。 1. 选择 Connect 连接,然后选择 **Connect peers**(Connect 对等节点)。 1. 选择 Connect 对等节点,然后选择“操作”****、“管理标签”****。 1. 要添加标签,请选择 **Add new tag**(添加新标签)并指定键名称和键值。 1. 要删除标签,请选择**移除**。 1. 选择**保存**。 **要修改您的 Connect 附件和 Connect 对等方标签,请使用 Amazon CLI** 使用 [create-tags](https://docs.amazonaws.cn/cli/latest/reference/ec2/create-tags.html) 和 [delete-tags](https://docs.amazonaws.cn/cli/latest/reference/ec2/delete-tags.html) 命令 # 在 Amazon Transit Gateway 中删除 Connect 对等节点 删除 Connect 对等节点 如果您不再需要某个 Connect 对等节点,可以将其删除。 **要使用控制台删除 Connect 对等节点** 1. 通过 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 打开 Amazon VPC 控制台。 1. 在导航窗格中,选择“中转网关连接”****。 1. 选择 Connect 连接。 1. 在“Connect 对等节点”****选项卡中,选择 Connect 对等节点,然后选择“操作”****、“删除 Connect 对等节点”****。 **要使用 Amazon CLI 删除 Connect 对等节点** 使用 [delete-transit-gateway-connect-peer](https://docs.amazonaws.cn/cli/latest/reference/ec2/delete-transit-gateway-connect-peer.html) 命令。 # 在 Amazon Transit Gateway 中删除 Connect 连接 删除 Connect 连接 如果您不再需要某个 Connect 连接,则可以将其删除。您必须首先删除连接的所有 Connect 对等节点。 **要使用控制台删除 Connect 连接** 1. 通过以下网址打开 Amazon VPC 控制台:[https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/)。 1. 在导航窗格中,选择“中转网关连接”****。 1. 选择 Connect 连接,然后选择 **Actions**(操作)、**Delete Transit Gateway attachment**(删除Transit Gateway连接)。 1. 输入 **delete**,然后选择 **Delete**(删除)。 **要使用 Amazon CLI 删除 Connect 连接** 使用 [delete-transit-gateway-connect](https://docs.amazonaws.cn/cli/latest/reference/ec2/delete-transit-gateway-connect.html) 命令。