一般性问题

问:什么是 AWS Direct Connect?

AWS Direct Connect 是一种联网服务,提供了通过互联网连接到 AWS 的替代方案。使用 Direct Connect 时,数据将不再通过互联网传输,而是通过您的设施与 AWS 之间的私有网络连接进行。在许多情况下,私有网络连接可以降低成本、增加带宽,提供比基于互联网的连接更为稳定的网络体验。所有 AWS 服务均支持 Direct Connect,包括 Amazon Elastic Compute Cloud(EC2)、Amazon Virtual Private Cloud(VPC)、Amazon Simple Storage Service(S3)和 Amazon DynamoDB。

问:AWS Direct Connect 可在何处使用?

Direct Connect 站点的完整列表详见 Direct Connect 站点页面。使用 Direct Connect 时,您可以连接到在任何 AWS 区域和可用区中部署的 VPC。

问:专用连接和托管连接之间有哪些区别?

专用连接通过单个客户专用的 1Gbps、10Gbps 或 100Gbps 以太网端口提供。托管连接由自身和 AWS 之间具有网络链路的 Direct Connect 合作伙伴提供。

问:如何开始使用 AWS Direct Connect?

使用 AWS 管理控制台上的 Direct Connect 选项卡新建一个连接。请求连接时,系统将提示您选择 Direct Connect 站点、端口数量和端口速度。如果需要有关将办公室或数据中心网络扩展到 Direct Connect 站点的帮助,您可以联系 Direct Connect 合作伙伴

问:如果我的网络不在 AWS Direct Connect 节点,可否使用 AWS Direct Connect?

可以。Direct Connect 合作伙伴可以帮助您将先前存在的数据中心或办公室网络扩展到 Direct Connect 站点。有关更多信息,请参阅 Direct Connect 合作伙伴。 利用 Direct Connect 网关,您可以从任何 AWS Direct Connect 站点(中国除外)访问任何 AWS 区域。

定义

问:什么是 AWS Direct Connect 网关?

Direct Connect 网关是虚拟私有网关(VGW)和私有虚拟接口(VIF)的组合。Direct Connect 网关是全球可用的资源。您可以在任何区域中创建 Direct Connect 网关,并从所有其他区域进行访问。 

问:什么是虚拟接口 (VIF)?

虚拟接口 (VIF)是访问 AWS 服务的必要条件,可以公有,也可以私有。公有虚拟接口支持访问公有服务,如 Amazon S3。私有虚拟接口支持访问 VPC。有关更多信息,请参阅 Direct Connect 虚拟接口

问:什么是虚拟私有网关 (VGW)?

虚拟私有网关 (VGW) 是 VPC 的一部分,可为 AWS 托管的 VPN 连接和 Direct Connect 连接提供边缘路由。您可以将 Direct Connect 网关与 VPC 的虚拟私有网关关联。有关更多详细信息,请参阅该文档

问:什么是链路聚合组(LAG)?

链路聚合组(LAG)是一种逻辑接口,使用链路聚合控制协议(LACP)在单个 Direct Connect 终端节点聚合多个专用连接,从而让您能够将其视为单个托管连接。LAG 之所以能够简化配置,原因在于 LAG 配置适用于组中的所有连接。有关创建、更新、关联/解除关联和删除 LAG 的详细信息,请参阅 Direct Connect 文档:链路聚合组 – Direct Connect

  • 使用 LAG 无需额外付费。
  • 支持动态 LACP 捆绑包,但不支持静态 LACP 捆绑包。
  • 两个不同 LAG 上的虚拟接口(VIF)可以连接到同一虚拟网关(VGW)。支持双向转发检测(BFD),以在使用多个 LAG 时缩短路径之间的故障转移时间。

问:什么是 AWS Direct Connect 弹性工具包?

Direct Connect 弹性工具包提供了一种连接向导,可帮助您在多个弹性模式之间进行选择。这些模式可帮助您确定专用连接的数量,然后下订单,以实现 SLA 目标。选择一个弹性模式,然后 Direct Connect 弹性工具包将引导您完成专用连接订购过程。弹性模式旨在确保您能够在多个站点拥有适当数量的专用连接。

问:什么是 AWS Direct Connect 故障转移测试功能?

借助 Direct Connect 故障转移测试功能,您可以通过禁用本地网络和 AWS 之间的边界网关协议会话来测试 Direct Connect 连接的弹性。您可以通过 AWS 管理控制台或 Direct Connect 应用程序编程接口(API)来使用此功能。要详细了解此功能,请参阅此文档。所有商用 AWS 区域(AWS 中国区域和 GovCloud (US) 除外)都支持这一功能。

问:什么是针对私有虚拟接口 (VIF) 的本地优先团体?

私有和中转虚拟接口的站点首选项社区提供了一项功能,可以让您影响源自 VPC 的流量的返回路径。

问:什么是针对私有和中转虚拟接口 (VIF) 的本地优先团体?

私有和中转虚拟接口的站点首选项社区为您提供了一项功能,可以让您影响源自 VPC 的流量的返回路径。

问:什么是 AWS Direct Connect 网关 – 自带私有 ASN?

借助可配置的私有自治系统编号(ASN),您可以在 BGP 会话的 AWS 端为任何新创建的 Direct Connect 网关上的私有或中转 VIF 设置 ASN。所有商用 AWS 区域(AWS 中国区域除外)和 AWS GovCloud(美国)区域都提供这一功能。

问:什么是中转虚拟接口?

中转虚拟接口是您可以在容量为 1Gbps 或以上(1/2/5/10/100Gbps)的 Direct Connect 连接上创建的一种虚拟接口。中转虚拟接口只能附加到 Direct Connect 网关。借助附加了一个或多个中转虚拟接口的 Direct Connect 网关,您可以在任何支持的 AWS 区域中最多与三个 AWS Transit Gateway 交互。与私有虚拟接口类似,您可以通过单个中转虚拟接口建立一个 IPv4 BGP 会话和一个 IPv6 BGP 会话。

问:什么是 AWS Direct Connect 网关的多账户支持?

提供 Direct Connect 网关的多账户支持功能,您可以将来自多个 AWS 账户的最多 10 个 Amazon Virtual Private Cloud(Amazon VPC)或三个 AWS Transit Gateway 关联到一个 Direct Connect 网关。

问:什么是 MACsec?

802.1AE MAC 安全性(MACsec)是一项 IEEE 标准,用于确保数据保密性、数据完整性和数据源真实性。通过支持 MACsec 的 Direct Connect 连接,您可以对从本地网络或托管设备到所选 Direct Connect 站点之间的数据进行加密。

高可用性和弹性

问:拥有链路聚合组(LAG)能否提高我的连接的弹性?

不能,LAG 并不能提高您的 AWS 连接的弹性。如果您的 LAG 中包含多个链路,并将最少链路数设置为 1 时,您的 LAG 可使您不会发生单链路故障。但是,当 LAG 终止时,它不能防止在 AWS 中出现单一设备故障。

为确保 AWS 连接的高度可用,我们建议您在多个 Direct Connect 站点上建立连接。您可以参阅 Direct Connect 弹性建议,详细了解如何实现高度可用的网络连接。

问:如何订购 AWS Direct Connect 连接以获得高可用性?

我们建议按照 Direct Connect 弹性建议页面详细介绍的弹性最佳实践,来确定适合您的使用案例的最佳弹性模式。选择好弹性模式后,Direct Connect 弹性工具包将会引导您完成冗余连接订购流程。此外,AWS 还鼓励您在投入使用之前,使用弹性工具包故障转移测试功能测试您的配置。

每个专用 Direct Connect 连接由路由器上的端口与 Direct Connect 设备之间的单个专用连接组成。我们建议您建立第二个连接来实现冗余。如果您在同一个 Direct Connect 站点请求多个端口,它们将被预置在冗余的 AWS 路由器上。

如果您配置了备用 IPsec VPN 连接,则所有的 VPC 流量将自动故障转移到该 VPN 连接。传入/传出 Amazon S3 等公有资源的流量将通过互联网路由。如果您没有备用 Direct Connect 链路或 IPsec VPN 链路,则出现故障时会丢弃 Amazon VPC 流量。传入/传出公有资源的流量将通过互联网路由。

问:AWS Direct Connect 是否提供服务等级协议(SLA)?

是的,Direct Connect 提供 SLA。详细信息请参阅此处

问:使用故障转移测试功能时,能否配置测试持续时间或在运行时取消测试?

可以,您可以配置测试的持续时间。您可以将测试的最短和最长持续时间分别设为 1 分钟和 180 分钟。  您可以在运行测试过程中取消测试。取消测试时,我们将会恢复边界网关协议会话,并在您的测试历史记录中记录测试已取消。

问:在使用故障转移测试功能时,是否可以查看我过去的测试历史记录? 测试历史记录会保留多长时间?

可以,您可以通过 AWS 管理控制台或 AWS CloudTrail 查看测试历史记录。我们会将测试历史记录保留 365 天。如果删除虚拟接口,测试历史记录也将会删除。

问:故障转移测试完成之后将会出现什么情况?

在配置测试持续时间以后,我们将使用测试启动前协商的边界网关协议会话参数,恢复本地网络和 AWS 之间的边界网关协议会话。

问:谁可以使用 AWS Direct Connect 弹性工具包启动故障转移测试?

只有包含虚拟接口的 AWS 账户的拥有者可以启动测试。

问:能否在虚拟接口的故障转移测试进行过程中删除该虚拟接口?

可以,您可以在虚拟接口测试进行过程中删除该虚拟接口。

问:能否为任何类型的虚拟接口运行故障转移测试?

可以,您可以对使用任何类型的虚拟接口建立的边界网关协议会话运行测试。

问:我建立了 IPv4 和 IPv6 边界网关协议会话,能否为每个边界网关协议会话执行此测试?

可以,您可以为其中一个边界网关协议会话或者同时为这两个会话启动测试。

服务互操作性

问:是否可以将同一私有网络连接同时用于 Amazon Virtual Private Cloud (VPC) 和其他 AWS 服务?

可以。每个 AWS Direct Connect 连接都可以配置一个或多个虚拟接口。虚拟接口可以配置为访问 Amazon EC2 和 Amazon S3 等使用公有 IP 空间的 AWS 产品,或配置为访问使用私有 IP 空间的 VPC 中的资源。

问:如果我在使用 Amazon CloudFront,并且我的原始服务器是自有的数据中心,可否使用 AWS Direct Connect 传输自有数据中心中存储的数据元?

可以。Amazon CloudFront 支持自定义源,包括您在 AWS 外部运行的源。对 CloudFront 边缘站点的访问仅限地理上最近的 AWS 区域,唯一的例外是北美的区域,这些区域目前允许访问所有北美区域的联网 CloudFront 源。使用 Direct Connect 时,您需要按照 Direct Connect 数据传输费率支付源数据传输费。

通过 Direct Connect 站点进入 AWS 全球网络后,您的流量将始终位于 Amazon 骨干网络内。不在 Amazon 骨干网络上的 CloudFront 站点前缀将不会通过 Direct Connect 公布。有关已公布 IP 前缀和 Direct Connect 路由策略的更多详细信息,请访问此页面。您还可以访问此页面,以详细了解 Direct Connect 路由策略。

问:能否通过 AWS 管理控制台订购 AWS GovCloud(美国)端口?

要订购连接到 AWS GovCloud(美国)区域的端口,您必需使用 AWS GovCloud(美国)管理控制台。

问:如何在 AWS Direct Connect 站点请求交叉连接?

下载授权书和连接设施分配(LOA-CFA)后,必须完成交叉网络连接。如果设备已经位于 Direct Connect 站点中,则需联系相关提供商完成交叉连接。有关各个提供商和交叉连接定价的具体说明,请参阅 Direct Connect 文档:在 Direct Connect 站点请求交叉连接。

问:一个 LAG 组中最多可以拥有几条链路?

一个 LAG 组中最多可以拥有 4 条链路。

问:链路汇聚组 (LAG) 处于主动/主动还是主动/被动模式?

它们处于主动/主动模式。换句话说,AWS 端口会持续发送链路汇聚控制协议数据单元 (LACPDU)。 

问:LAG 的 MTU 能否更改?

LAG 的 MTU 可以更改。要了解详情,请参阅此处的巨型帧文档。

问:是否可以将我的端口配置为主动/被动模式,而不是主动/主动模式?

终端节点处的 LAG 可以配置为 LACP 主动或被动模式。AWS 侧始终配置为主动模式 LACP。

问:是否可以在同一 LAG 中混合使用接口类型,配置一些 1G 端口和一些 10G 端口?

不可以。您可以使用同一类型的端口(1G 或 10G)创建 LAG。

问:此项功能适用于哪些类型的端口?

此项功能适用于 1G、10G 和 100G 的专用连接端口。

问:是否可以将此项功能用于 LAG 托管连接?

不可以。此项功能仅适用于 1G、10G 和 100G 的专用连接。不适用于托管连接。

问:能否使用现有端口以外的其他端口创建 LAG?

可以,但前提是您的端口位于同一 Direct Connect 设备上。请注意,在将您的端口重新配置为 LAG 的过程中,它们的运行速度会暂时下降。直到 LAG 在您所在的一端配置完毕后,它们的运行速度才会恢复正常。

问:是否可以创建一个跨越多个 AWS Direct Connect 设备的 LAG?

LAG 将仅包含同一 Direct Connect 设备上的端口。我们不支持多机架 LAG。

问:在 LAG 设置完毕后,如何向其添加链路?

您必须为 LAG 请求其他端口。如果同一设备中没有可用的端口,则必须订购新的 LAG 并迁移连接。例如,假设您有 3 条 1G 的链路,并且希望增加一条,而该设备上没有可用端口,那么您需要订购一个拥有 4 条 1G 链路的新 LAG。

问:你们没有可用端口,因此我订购了新 LAG,但已经配置了虚拟接口 (VIF)! 如何转移这些 VIF?

您可以一次性将多个 VIF 附加到某个 VGW,还可以在连接上配置 VIF,即使该连接出现故障也是如此。建议您在新 LAG 上创建新的 VIF,并在创建好所有 VIF 后将连接转移到新 LAG。请务必删除旧的连接,以使我们停止计费。

问:是否可以删除 LAG 中的某个端口?

可以,但前提是您设置的最少链路数必须低于剩余的端口数量。例如,假设您有 4 个端口,并将最少链路数设置为 4,那么您将不能删除该 LAG 中的端口。如果将最少链路数设置为 3,那么您就可以删除该 LAG 中的一个端口。我们将返回一条通知和一条提醒,前者将告知您已删除的特定面板/端口,后者将提醒您断开与 AWS 的交叉连接和线路。

问:是否可以一次性彻底删除我的 LAG?

可以,但与常规连接类似,如果您配置了 VIF,那么您就不能删除 LAG。

问:如果我的 LAG 中只有 2 个端口,我是否仍然可以删除其中一个端口?

可以,LAG 中可以只有一个端口。

问:是否可以订购只有一个端口的 LAG?

可以。但请注意,如果未来您需要增加端口,我们将无法承诺会在同一机架上提供端口。

问:是否可以将一个 LAG 转换回各个端口?

可以。您可以通过 DisassociateConnectionWithLag API 调用来执行这一操作。 

问:是否可以为我创建一款用于转移虚拟接口(VIF)的工具?

您可以使用 AssociateVirtualInterface API 或控制台来执行这一操作。

问:LAG 会显示为单个连接还是一组连接?

它将显示为单个 dxlag,我们将列出它下面的连接 ID。

问:最少链路数指什么?在订购捆绑包时,为什么会看到最少链路数复选框?

最少链路数是 LACP 中的一项功能,您可以借助此功能设置捆绑包中需要处于活动状态的链路的最少数量,以使该捆绑包处于活动状态并能传输流量。例如,假设您有 4 个端口并将最少链路数设置为 3,但您只有 2 个处于活动状态的端口,那么您的捆绑包不会处于活动状态。如果您有 3 个或更多端口处于活动状态,并配置了 VIF,那么您的捆绑包将处于活动状态并能传输流量。

如果您没有勾选“最少链路数”,则系统会默认将其设置为零。在设置好捆绑包后,您可以通过 AWS 管理控制台或 API 更改最少链路数的值。

问:将现有的 AWS Direct Connect 连接关联到 LAG 后,已经通过某个连接创建的现有虚拟接口(VIF)将会怎么样?

将具有现有虚拟接口(VIF)的 Direct Connect 连接关联到 LAG 后,这些虚拟接口会迁移到该 LAG 中。请注意,与 VIF 关联的某些参数(例如要迁移到 LAG 的 VLAN 编号)也必须唯一。

问:是否可以在某个特定链路上设置链路优先级?

我们对所有链路一视同仁,因此不会在任何链路上设置“链路优先级”。

问:我这端的一个 40GE 接口是否可以连接到 AWS 端的 4 个 10GE 接口?

要做到这一点,您的路由器上需要有 4 个 10GE 接口用于连接到 AWS。我们不支持将单个 40GE 接口连接到具有 4 个 10GE 接口的 LACP。

计费

问:使用 AWS Direct Connect 是否需要任何设置费用或最短使用期限承诺?

使用此服务无需任何设置费用,且您可以随时取消此服务。AWS Direct Connect 合作伙伴提供的服务可能有其他适用的条款或限制。

问:使用 AWS Direct Connect 时,此服务将如何收费和计费?

Direct Connect 有两项单独的费用:端口小时费和数据传输费。每个端口类型按所耗用的端口小时数收费。未满一小时的按一小时计费。拥有该端口的账户也会产生端口小时费。

通过 Direct Connect 传输数据的费用将计入使用本服务传输数据当月的账单。请参阅下面的额外信息,以了解数据传输如何计费。

问:区域数据传输是否以 AWS Direct Connect 费率计费?

不是。同一地区域不同可用区之间的数据传输将按照常规的区域数据传输费率计费,费用计入使用该服务的当月账单中。

问: 决定托管连接的可计费端口小时数的因素有哪些?

端口小时数将从您接受托管连接之时起计算。只要预置了托管连接以供您使用,都将持续产生端口费。如果您不希望继续支付托管连接费,请联系 Direct Connect 合作伙伴取消托管连接。

问:托管连接的端口小时费采用什么形式?

对于一个 Direct Connect 站点的所有托管连接,端口小时费用均按容量分组。

例如,假设一个客户在某个 Direct Connect 站点有两个独立的 200Mbps 托管连接,并且在该站点无其他托管连接,则这两个独立 200Mbps 托管连接的端口小时费将使用以“HCPortUsage:200M”结尾的标签,汇总为一个项目。假设一个月总运行时间为 720 小时,则此项目的端口小时数为 1,440,也就是该月的总小时数乘以该站点的 200Mbps 托管连接总数。

在您的账单中,可能显示如下托管连接容量标识符:

HCPortUsage:50M
HCPortUsage:100M
HCPortUsage:200M
HCPortUsage:300M
HCPortUsage:400M
HCPortUsage:500M
HCPortUsage:1G
HCPortUsage:2G
HCPortUsage:5G
HCPortUsage:10G

请注意,这些容量识别符将根据您在各个站点拥有的托管连接容量,按站点分别显示。

问:哪个 AWS 账户需要为在公有虚拟接口上执行的数据传出付费?

对于可公开寻址的 AWS 资源(例如,Amazon S3 存储桶、Classic EC2 实例或通过互联网网关的 EC2 流量),如果出站流量的目的地是同一 AWS 付款人账户拥有的公有前缀,并通过 Direct Connect 公有虚拟接口主动向 AWS 公布,则将按照 Direct Connect 数据传输费率和数据传出(DTO)使用量向资源拥有者收费。

有关 Direct Connect 定价的信息,请参阅 Direct Connect 定价页面。如果使用 Direct Connect 合作伙伴来协助建立 Direct Connect 连接,请联系 Direct Connect 合作伙伴了解相关费用。

问:通过中转/私有虚拟接口执行的数据传出需要向哪个 AWS 账户收费?

随着精细数据传出分配功能的引入,负责数据传出的 AWS 账户将为通过中转/私有虚拟接口执行的数据传出付费。负责数据传出的 AWS 账户将根据客户对私有/中转虚拟接口的使用情况来确定,如下所示:

私有虚拟接口用于与具有或不具有 Direct Connect 网关的 Amazon Virtual Private Cloud 交互。对于私有虚拟接口,将由拥有对数据传出负责的 AWS 资源的 AWS 账户付费。

中转虚拟接口用于与 AWS Transit Gateway 交互。对于中转虚拟接口,将由拥有与附加到该中转虚拟接口的 Direct Connect 网关关联的 AWS Transit Gateway 附加的 Amazon Virtual Private Cloud 的 AWS 账户付费。请注意,所有适用的 AWS Transit Gateway 特定费用(数据处理和附件)都将在 Direct Connect 数据传出费用之外另行收取。

问:如何将 AWS Direct Connect 与整合账单结合使用?

Direct Connect 数据传输使用量将汇总到您的主账户中。

问: 如何取消 AWS Direct Connect 服务?

您可以从 AWS 管理控制台删除端口,从而取消 Direct Connect 服务。您还应取消通过第三方购买的所有服务。例如,您应联系托管服务提供商断开与 Direct Connect 的所有交叉连接,以及/或者联系可能为您的远程站点与 Direct Connect 站点之间提供网络连接的网络服务提供商。

问:你们的价格是否包括税费?

除非另行说明,否则我们的价格不包括适用的税费和税收 (包括增值税和适用销售税)。使用日本账单地址的客户若要使用 AWS 服务,则需缴纳日本消费税。了解更多。

规格

问:可使用哪些连接速度?

对于专用连接,可以使用 1Gbps、10Gbps 和 100Gbps 端口。对于托管连接,可以向经批准的 Direct Connect 合作伙伴订购 50Mbps、100Mbps、200Mbps、300Mbps、400Mbps、500Mbps、1Gbps、2Gbps、5Gbps 和 10Gbps 的连接速度。有关更多信息,请参阅 Direct Connect 合作伙伴

问:可使用 AWS Direct Connect 传输的数据量是否有限制?

没有。您可以传输任意数量的数据,最大传输量为您选用的端口容量。

问:使用 AWS Direct Connect 时,向 AWS 公布的路由数量是否有限制?

有,使用 Direct Connect 时,每个边界网关协议会话最多可公布 100 个路由。详细了解 Direct Connect 限制

问:如果针对一个边界网关协议会话,我播发了超过 100 个路由,会发生什么?

如果针对一个边界网关协议会话,您播发了超过 100 个路由,则您的边界网关协议会话将关闭。如此一来,将会阻止所有网络流量流经虚拟接口,直至您将路由数量降至 100 以下。

问:连接有什么技术要求?

Direct Connect 支持通过使用以太网传输的单模光纤的 1000BASE-LX、10GBASE-LR 或 100GBASE-LR4 连接。您的设备必须支持 802.1Q VLAN。有关更多详细要求,请参阅 Direct Connect 用户指南

问:能否使用 AWS Direct Connect 将我的一个 VLAN 扩展到 AWS 云?

不能。在 Direct Connect 中,VLAN 仅用于在虚拟接口之间分隔流量。

问:通过虚拟接口连接 Amazon EC2 和 Amazon S3 等公有 AWS 服务有什么技术要求?

  • 此连接要求使用带有自治系统编码 (ASN) 和 IP 前缀的边界网关协议 (BGP)。您需要以下信息才能完成连接:
  • 公有或私有 ASN。如果使用公有 ASN,您必须具有其所有权。如果使用私有 ASN,它必须在 64512 至 65535 的范围内。
  • 您所选择的未被使用的新 VLAN 标签
  • 您为 BGP 会话分配的公有 IP(/30)
  • 默认情况下,Amazon 将通过 BGP 公布全球公有 IP 前缀。您必须通过 BGP 公布您拥有的公有 IP 前缀(/30 或更小)。更多详细信息,请参阅 Direct Connect 用户指南
  • 有关 Direct Connect 自带 ASN 的更多详细信息详见下文。

问:虚拟接口的两端应分配什么 IP 地址?

如果要连接公有 AWS 云的虚拟接口,则必须从您所拥有的公有 IP 空间向该连接的两端分配 IP 地址。如果该虚拟接口将连接到某个 VPC,且您选择让 AWS 自动生成对等 IP CIDR,则该连接两端的 IP 地址空间将由 AWS 分配,其范围为 169.254.0.0/16。

问:能否将我的硬件部署在提供 AWS Direct Connect 支持的设备附近?

您可以购买 Direct Connect 站点所在场址中的机架空间,并在附近部署您的设备。但是,出于安全考虑,您的设备不能放置在 Direct Connect 机架或机笼区域内。有关更多信息,请联系负责相关设施的运营方。部署后,您可以通过交叉连接将此设备连接到 Direct Connect。

问:如何为 AWS Direct Connect 连接启用 BFD?

AWS 会为每个 Direct Connect 虚拟接口自动启用异步 BFD,但要等到在您的路由器上对其进行配置之后才会生效。AWS 已将 BFD 连线检测最小间隔设置为 300,并将 BFD 连线检测乘数设置为 3。

问:如何为 AWS GovCloud(美国)区域设置 AWS Direct Connect?

有关如何设置 Direct Connect 以在 AWS GovCloud(美国)区域使用的详细说明,请参阅 AWS GovCloud(美国)用户指南。

问:虚拟接口(VIF)连接 VPC 有什么技术要求?

Direct Connect 需要使用边界网关协议(BGP)。要完成连接,您需要具备下列信息:

• 公有或私有 ASN。如果使用公有 ASN,您必须具有其所有权。如果使用私有 ASN,它必须在 64512 至 65535 的范围内。
• 您所选用的未使用的新 VLAN 标签。
• VPC 虚拟私有网关 (VGW) ID
• AWS 将在 169.x.x.x 范围内为 BGP 会话分配私有 IP (/30),并将通过 BGP 公布 VPC CIDR 数据块。您可以通过 BGP 公布默认路由。

问:能否在 VPC 和我的网络之间建立 Layer 2 连接?

不能,我们不支持第 2 层连接。

VPN 连接

问:AWS Direct Connect 与 IPsec VPN 连接有什么区别?

VPC VPN 连接通过公共互联网,利用 IPsec 在您的内网与 Amazon VPC 之间建立加密网络连接。VPN 连接可在几分钟内完成配置。如果您急需连接、带宽要求不高且可以承受互联网连接固有的易变性,则这种连接是不错的解决方案。相反,AWS Direct Connect 不涉及互联网;它在您的网络和 AWS 之间使用专用的私有网络连接。

问:可否同时使用 AWS Direct Connect 和 VPN 来连接到同一 VPC?

可以,但仅限用于故障转移。Direct Connect 路径一旦建立,就始终是首选路径,且与追加的 AS 路径无关。请确保您的 VPN 连接能够处理来自 Direct Connect 的故障转移流量。

问:为 AWS Direct Connect 列出的 BGP 配置/设置详细信息是否有任何不同?

VPN BGP 的运行方式与 Direct Connect 相同。

AWS Transit Gateway 支持

问:哪些 AWS 区域为 AWS Transit Gateway 提供 AWS Direct Connect 支持?

所有商业 AWS 区域(AWS 中国区域除外)均为 Transit Gateway 提供支持。

问:如何创建中转虚拟接口?

您可以通过 AWS 管理控制台或 API 操作来创建中转虚拟接口。

问:能否分配其他 AWS 账户中的中转虚拟接口?

是,我可以将中转虚拟接口分配到任何 AWS 账户中。

问:能否将中转虚拟接口附加到我的虚拟私有网关?

不能,您不能将中转虚拟接口附加到您的虚拟私有网关。

问:能否将私有虚拟接口附加到我的 AWS Transit Gateway?

不能,您不能将虚拟私有接口附加到您的 AWS Transit Gateway。

问:中转虚拟接口有哪些相关限制?

要详细了解与中转虚拟接口有关的限制,请参阅 AWS Direct Connect 配额页面

问:能否在连接中添加更多中转虚拟接口?

不,您只能为任何容量大于或等于1 Gbps 的 AWS Direct Connect 连接创建一个中转虚拟接口。

问:我有一个现有 Direct Connect 网关附加在私有虚拟接口上,能否附加一个中转虚拟接口到此 Direct Connect 网关?

不能,Direct Connect 网关只能附加一种类型的虚拟接口。

问:我能否将我的 AWS Transit Gateway 与附加在私有虚拟接口上的 Direct Connect 网关关联?

不能,AWS Transit Gateway 只能与附加在中转虚拟接口上的 Direct Connect 网关关联。

问:在 AWS Transit Gateway 和 AWS Direct Connect 网关之间建立关联需要多久?

在 AWS Transit Gateway 和 AWS Direct Connect 网关之间建立关联最多需要 40 分钟。

问:对于每个 1Gbps、10Gbps 或 100Gbps 专用连接,我总共可以创建多少个虚拟接口?

对于每个 1Gbps、10Gbps 或 100Gbps 专用连接,您最多可以创建 51 个虚拟接口,包括中转虚拟接口。

问:能否在 1/2/5/10/100Gbps 托管连接上创建中转虚拟接口?

能,您可以在容量为 1 Gbps 或以上(1、2、5、10、100 Gbps)的任何连接上创建一个中转虚拟接口。

问:我有 4x10 Gbps LAG,我可以在此链路汇聚组 (LAG) 上创建多少中转虚拟接口?

您可以在 4x10G LAG 上创建一个中转虚拟接口。

问:中转虚拟接口是否支持巨型帧?

是,中转虚拟接口将支持巨型帧。最大传输单位(MTU)大小限制为 8,500。

问:对于中转虚拟接口,是否支持在私有虚拟接口上支持的所有边界网关协议(BGP)属性?

支持,您可以在中转虚拟接口上继续使用支持的 BGP 属性(AS_PATH、Local Pref、NO_EXPORT)。

Direct Connect 网关

问:为什么需要使用 AWS Direct Connect 网关?

Direct Connect 网关具有多个功能:

  • Direct Connect 网关让您能够与任何 AWS 区域(AWS 中国区域除外)中的 VPC 交互,从而让您可以通过 Direct Connect 连接与多个 AWS 区域交互。
  • 您可以共享一个私有虚拟接口以与最多 10 个 VPC 进行交互,以减少本地网络与 AWS 部署之间的边界网关协议会话数量。
  • 将中转虚拟接口(VIF)附加到某个 Direct Connect 网关,并将 AWS Transit Gateway 关联到该 Direct Connect 网关后,您可以共享这些中转虚拟接口,以连接到最多三个 AWS Transit Gateway,从而减少本地网络和 AWS 部署之间的边界网关协议会话数量。将中转 VIF 连接到 Direct Connect 网关后,该网关将无法同时承载其他私有 VIF,因此将由该中转 VIF 专用。
  • 一个 Direct Connect 网关可以关联多个虚拟私有网关(VGW,与某个 VPC 关联),但前提是与虚拟私有网关关联的 Amazon VPC 的 IP CIDR 块不重叠。

问:能否将多个 AWS Transit Gateway 关联到一个 AWS Direct Connect 网关?

一个 Direct Connect 网关最多可以关联三个 Transit Gateway,但前提是 Transit Gateway 发布的 IP CIDR 块不重叠。

问:能否将任何 AWS 账户拥有的 VPC 关联到任何 AWS 账户拥有的 AWS Direct Connect 网关?

可以,您可以将任何 AWS 账户拥有的 VPC 关联到任何 AWS 账户拥有的 Direct Connect 网关。

问:能否将任何 AWS 账户拥有的 AWS Transit Gateway 关联到任何 AWS 账户拥有的 AWS Direct Connect 网关?

可以,您可以将任何 AWS 账户拥有的 Transit Gateway 关联到任何 AWS 账户拥有的 Direct Connect 网关。

问:如果使用 AWS Direct Connect 网关,传输到所需 AWS 区域的流量是否会通过关联的主 AWS 区域?

不会,使用 Direct Connect 网关时,无论您连接的 Direct Connect 站点关联哪个主 AWS 区域,您的流量将通过最短路径从您的 Direct Connect 站点到达目标 AWS 区域。

问:使用 AWS Direct Connect 网关连接远程 AWS 区域是否需要额外付费?

使用 Direct Connect 网关不会产生任何费用。您需要根据源远程 AWS 区域支付适当的数据传出费,此外还需支付端口小时费。请参阅 Direct Connect 定价页面,以了解详细信息

问:为了使用 AWS Direct Connect 网关,我的私有/中转虚拟接口、AWS Direct Connect 网关、虚拟私有网关或 AWS Transit Gateway 是否需要来自同一 AWS 账户?

私有虚拟接口和 Direct Connect 网关必须来自同一 AWS 账户。同样,中转虚拟接口和 Direct Connect 网关也必须来自同一 AWS 账户。拥有虚拟私有网关和 AWS Transit Gateway 的账户可以与拥有 Direct Connect 网关的 AWS 账户不同。

问:如果我将虚拟私有网关(VGW)关联到某个 AWS Direct Connect 网关,能否继续使用所有 VPC 功能?

Elastic File System、Elastic Load Balancing、Application Load Balancer、安全组、访问控制列表和 AWS PrivateLink 等联网功能仍受 Direct Connect 网关支持。Direct Connect 网关不支持 AWS VPN CloudHub 功能。.但如果使用 AWS Site-to-Site VPN 来连接与您的 Direct Connect 网关关联的虚拟网关(VGW),那么您将可以使用 VPN 连接进行故障转移。

目前 Direct Connect 不支持的功能包括:AWS Classic VPN、AWS VPN(例如边缘到边缘路由)、VPC 对等连接和 VPC 终端节点。

问:我请一家 AWS Direct Connect 合作伙伴为我的账户预置了私有虚拟接口(VIF),我能否使用 AWS Direct Connect 网关?

可以。当您在 AWS 账户中确认预置的私有虚拟接口(VIF)后,即可以将预置的私有虚拟接口关联到您的 Direct Connect 网关。

问:能否连接到我本地区域中的 VPC?

您可以继续将虚拟接口(VIF)连接到虚拟私有网关(VGW)。您仍将拥有区域内 VPC 连接,并将收取相关地理区域的出口费用。

问:与 AWS Direct Connect 网关有关的配额有哪些?

要了解这方面的信息,请参阅 Direct Connect 配额

问:虚拟私有网关(VGW,与 VPC 关联)是否可以成为多个 AWS Direct Connect 网关的一部分?

不可以,一个 VGW-VPC 对不能属于多个 Direct Connect 网关。

问:是否可以将一个私有虚拟接口(VIF)附加到多个 AWS Direct Connect 网关?

不可以,一个私有虚拟接口只能附加到一个 Direct Connect 网关或一个虚拟私有网关。我们建议您遵循 AWS Direct Connect 弹性建议并附加多个私有虚拟接口。

问:AWS Direct Connect 网关是否会破坏已有的 AWS VPN CloudHub 功能?

不会,Direct Connect 网关不会破坏已有的 AWS VPN CloudHub。Direct Connect 网关支持本地网络与任何 AWS 区域的 VPC 之间的连接。AWS VPN CloudHub 支持同一区域内使用 Direct Connect 或 VPN 的本地网络之间的连接。VIF 与 VGW 直接关联。已有的 AWS VPN CloudHub 功能不受影响。您可以将 Direct Connect 虚拟接口(VIF)直接附加到虚拟私有网关(VGW),以支持区域内的 AWS VPN CloudHub。

问:AWS Direct Connect 网关支持哪种类型的流量?不支持哪种类型的流量?

有关支持和不支持的流量模式,请参阅 Direct Connect 用户指南

问:我目前在 us-east-1 区域有一个 VPN 已附加到某个虚拟私有网关(VGW)。我想在 us-east-1 区域在该 VPN 和某个新的 VIF 之间使用 AWS VPN CloudHub。能否用 AWS Direct Connect 网关来实现这一点?

不能。您不能通过 Direct Connect 网关来实现这一点,但可以选择将一个 VIF 直接附加到一个 VGW 以使用该 VPN <-> Direct Connect AWS VPN CloudHub 使用案例。

问:我有一个与虚拟私有网关(VGW)关联的现有私有虚拟接口,是否可以将我现有的私有虚拟接口关联到 AWS Direct Connect 网关?

不可以,与 VGW 关联的现有私有虚拟接口不能与 Direct Connect 网关关联。要做到这一点,您必须创建一个新的私有虚拟接口,并在创建时将其关联到您的 Direct Connect 网关。

问:如果我有一个附加到某个 VPN 和某个 AWS Direct Connect 网关的虚拟私有网关(VGW),当我的 AWS Direct Connect 线路断开时,VPC 流量是否会被路由到该 VPN 之外?

会,但前提是 VPC 路由表中具有指向该 VPN 的虚拟私有网关(VGW)路由。

问:是否可以将未附加到 VPC 的虚拟私有网关(VGW)附加到某个 AWS Direct Connect 网关?

不可以,您不能将未附加到 VPC 的 VGW 关联到 Direct Connect 网关。

问:我创建了一个 AWS Direct Connect 网关,它具有一个 AWS Direct Connect 私有 VIF 和三个不重叠的虚拟私有网关(VGW,每个 VGW 都关联一个 VPC)。如果我将一个 VGW 与 VPC 分离,会发生什么情况?

从您的本地网络传输到分离的 VPC 的流量会停止,并且 VGW 与 Direct Connect 网关之间的关联会被删除。

问:我创建了一个 AWS Direct Connect 网关,它具有一个 AWS Direct Connect VIF 和三个不重叠的 VGW-VPC 对,如果我将一个虚拟私有网关(VGW)与 AWS Direct Connect 网关分离,会发生什么情况?

从您的本地网络传输到分离的 VGW(关联一个 VPC)的流量会停止。

问:是否可以将流量从关联到某个 AWS Direct Connect 网关的一个 VPC 发送到与同一 AWS Direct Connect 网关关联的另一个 VPC?

不可以,Direct Connect 网关仅支持从 Direct Connect VIF 路由到 VGW(与 VPC 关联)的流量。要在 2 个 VPC 之间发送流量,您必须配置一个 VPC 对等连接。

问:我目前在 us-east-1 区域有一个附加到某个虚拟私有网关(VGW)的 VPN。如果将此 VGW 关联到一个 AWS Direct Connect 网关,是否能够将来自我的 VPN 的流量发送到其他 AWS 区域中附加到该 AWS Direct Connect 网关的 VIF?

不能,Direct Connect 网关不支持在 VPN 和 Direct Connect VIF 之间路由流量。要支持这一使用案例,您需要在该 VIF 所在的 AWS 区域创建一个 VPN,并将该 VIF 和该 VPN 附加到同一 VGW。

问:是否可以调整关联到 AWS Direct Connect 网关的 VPC 的大小?

可以,您可以调整 VPC 的大小。如果您调整了 VPC 的大小,则必须将包含调整大小后 VPC 的 CIDR 的提案重新发送给 Direct Connect 网关拥有者。Direct Connect 网关拥有者批准新提案后,将向本地网络公开调整大小后的 VPC CIDR。

问:有没有一种方法可以配置 AWS Direct Connect 网关,从而有选择地向/从 VPC 公布前缀?

有,Direct Connect 网关提供了有选择地向本地网络公布前缀的方法。对于从您的本地网络公布的前缀,关联到 Direct Connect 网关的每个 VPC 都将收到您的本地网络公布的所有前缀。要限制进出任何特定 Amazon VPC 的流量,则应考虑为每个 VPC 使用访问控制列表(ACL)。

本地优先社群

问:能否将这一功能用于我现有的 EBGP 会话?

可以,私有虚拟接口上的所有现有 BGP 会话都支持使用本地优先团体。

问:这一功能是否同时适用于公有虚拟接口和私有虚拟接口?

不,这一功能目前只适用于私有和中转虚拟接口。

问:此功能是否支持 AWS Direct Connect 网关?

支持,此功能支持附加到 Direct Connect 网关的私有虚拟接口。

问:我是否可以验证 AWS 收到的社群?

不可以,目前我们不提供此类监控功能。

问:AWS Direct Connect 私有虚拟接口支持哪些本地优先社群?

私有虚拟接口支持以下社群,其优先级按从低到高的顺序排列。不同团体互相排斥。标有同一团体并且带有相同的 MED*, AS_PATH 属性的前缀适合多路径传输。

  • 7224:7100 – 低优先级
  • 7224:7200 – 中优先级
  • 7224:7300 – 高优先级

问:如果我不使用支持的社群,默认会出现什么情况?

如果您没有为私有 VIF 指定本地优先社群,则默认本地首选项将根据从本地区域到 Direct Connect 站点的距离而定。在这种情况下,跨来自多个 Direct Connect 站点的多个 VIF 的出口行为可能是随机的。

问:我在位于某个 AWS Direct Connect 站点的一个物理连接上有两个私有 VIF,是否可以使用支持的社群来影响通过这两个私有 VIF 的出口行为?

可以,您可以使用此项功能来影响同一物理连接上的两个 VIF 之间的出口流量行为。

问:本地优先社群功能是否支持故障转移?

支持。要实现这一目的,您可以通过使用具有更高本地优先级的社群的主要/主动虚拟接口来公布前缀,而非通过辅助/被动虚拟接口公布前缀;此项功能可向后兼容用于实现故障转移的既有方法;如果您的连接当前已配置为可用于故障转移,则不需要进行其他更改。

问:我已经将路由器属性配置为 AS_PATH,我是否需要更改配置才能使用团体标签?是否需要中断我的网络?

不需要,我们会继续支持 AS_PATH 属性。这一功能可以为您提供额外的帮助,让您更好地控制来自 AWS 的传入流量。Direct Connect 采用标准方法进行路径选择。请注意,本地优先级先于 AS_PATH 属性接受评估。

问:我有两个 AWS Direct Connect 连接,一个为 1Gbps,另一个为 10Gbps,都公布相同的前缀。我想通过 10Gbps Direct Connect 连接来接收此目标的所有流量,但同时仍希望能够故障转移至 1Gbps 连接;在这种情况下,本地优先社群是否可用于均衡流量?

可以。您可以将通过 10Gbps Direct Connect 连接公布的前缀标记为使用具有更高本地优先级的社群,则该连接将成为首选路径,如果 10Gbps 接口出现故障或者前缀被取消,那么 1Gbps 接口将成为返回路径。

问:传输到我的网络的流量的 AWS 多路径宽度是多少?

每个前缀的多路径宽度最大为 16 个下一跳,而每个下一跳都是一个唯一的 AWS 终端节点。

问:是否可以在单个 VPN 隧道上运行 v4 和 v6 BGP 会话?

目前,我们仅允许在具有 IPv4 地址的单个 VPN 隧道上运行 v4 BGP 会话。

问:为 AWS Direct Connect 列出的 BGP 配置/设置详细信息是否有任何不同?

VPN BGP 的运行方式与 Direct Connect 相同。

问:是否可以终止指向具有 IPv6 地址的终端节点的隧道?

目前,我们仅支持具有 IPv4 终端节点地址的 VPN。

问:是否可以终止指向某个 IPv4 地址的隧道并通过该隧道运行 IPv6 BGP 会话?

目前,我们仅允许在具有 IPv4 地址的单个 VPN 隧道上运行 v4 BGP 会话。

Direct Connect 网关 – 私有 ASN

问:这是什么功能?

可配置的私有自治系统编号(ASN)。利用这一功能,客户可以针对任何新创建的 Direct Connect 网关上的私有 VIF,在 BGP 会话的 AWS 端设置 ASN。

问:可以在哪里使用这些功能?

所有商用 AWS 区域(AWS 中国区域除外)和 AWS GovCloud(美国)区域都支持这些功能。

问:如何将要公布的 ASN 配置/分配为 AWS 端 ASN?

您可以在创建新的 Direct Connect 网关期间将某个要公布的 ASN 配置/分配为 AWS 端 ASN。您可以通过 AWS 管理控制台或 CreateDirectConnectGateway API 操作来创建 Direct Connect 网关。

问:是否可以使用任何公有和私有 ASN?

您可以将任何私有 ASN 分配到 AWS 端。您无法分配任何其他公有 ASN。

问:为什么不能为 BGP 会话的 AWS 端分配公有 ASN?

AWS 不会验证 ASN 的所有权,因此我们将 AWS 端 ASN 限定为私有 ASN。我们要保护客户免受 BGP 欺诈。

问:我可以选择什么 ASN?

您可以选择任何私有 ASN。16 位私有 ASN 的范围是从 64512 到 65534。您还可以提供介于 4200000000 与 4294967294 之间的 32 位 ASN。

问:如果我尝试为 BGP 会话的 AWS 端分配某个公有 ASN,会出现什么情况?

我们会在您尝试创建 Direct Connect 网关时要求您重新输入一个私有 ASN。

问:如果我没有为 BGP 会话的 AWS 端提供 ASN,AWS 会如何分配该 ASN?

如果您没有提供 ASN,AWS 会为该 Direct Connect 网关提供编号为 64512 的 ASN。

问:我可以在哪里查看 AWS 端 ASN?

您可以在 Direct Connect 控制台以及 DescribeDirectConnectGateways 或 DescribeVirtualInterfaces API 操作的响应中查看 AWS 端 ASN。

问:如果我有一个公有 ASN,它是否能够与 AWS 端的私有 ASN 结合使用?

可以,您可以为 BGP 会话的 AWS 端配置一个私有 ASN,并为您所在端配置一个公有 ASN。

问:我已经配置了私有 VIF,并且想要为现有 VIF 上的 BGP 会话设置一个不同的 AWS 端 ASN。如何进行此项更改?

您需要使用所需 ASN 创建一个新的 Direct Connect 网关,然后使用新建的 Direct Connect 网关创建一个新的 VIF。您的设备配置也必须相应更改。

问:我要将多个私有 VIF 附加到单个 AWS Direct Connect 网关。每个 VIF 是否可以具有单独的 AWS 端 ASN?

不可以,您可以为每个 Direct Connect 网关分配/配置单独的 AWS 端 ASN,但不能为每个 VIF 这样做。VIF 的 AWS 端 ASN 将会集成所附加的 Direct Connect 网关的 AWS 端 ASN。

问:AWS Direct Connect 网关和虚拟私有网关是否可以使用不同的私有 ASN?

可以,Direct Connect 网关和虚拟私有网关可以使用不同的私有 ASN。您收到的 AWS 端 ASN 取决于您的私有虚拟接口关联。

问:AWS Direct Connect 网关和虚拟私有网关是否可以使用相同的私有 ASN?

可以,Direct Connect 网关和虚拟私有网关可以使用相同的私有 ASN。您收到的 AWS 端 ASN 取决于您的私有虚拟接口关联。

问:我要将多个虚拟私有网关附加到一个 AWS Direct Connect 网关,并且这些网关都具有/配置了自己的私有 ASN。系统会优先使用哪个私有 ASN?是 VGW 的还是 AWS Direct Connect 网关的私有 ASN?

对于您的网络与 AWS 之间的边界网关协议(BGP)会话,AWS 端 ASN 将会使用 Direct Connect 网关的私有 ASN。

问:我可以在哪里选择自己的私有 ASN?

您可以在 Direct Connect 网关控制台中选择自己的私有 ASN。为 Direct Connect 网关配置好 AWS 端 ASN 之后,关联到该 Direct Connect 网关的私有虚拟接口会将您配置的 ASN 用作 AWS 端 ASN。

问:我今天使用了 AWS VPN CloudHub,以后是否必须要调整配置?

您不需要进行任何更改。

问:我想选择 32 位 ASN。32 位私有 ASN 的范围是什么?

我们支持从 4200000000 到 4294967294 的 32 位 ASN。

问:创建 AWS Direct Connect 网关后,是否可以更改或修改 AWS 端 ASN?

不可以,AWS 端 ASN 创建后将不能修改。但您可以删除该 Direct Connect 网关,然后重新创建一个具有所需私有 ASN 的新 Direct Connect 网关。

MACsec

问:MACsec 是否取代了我目前在网络中使用的其他加密技术?

MACsec 并非旨在取代任何特定的加密技术。为了简单起见,也为了加深防御,您应该继续使用您已经使用的任何加密技术。除了您当前使用的其他加密技术之外,我们提供的 MACsec 作为一种加密选项,您也可以将其集成到您的网络中。

问:哪些类型的 AWS Direct Connect 连接支持 MACsec?

选定节点的 10Gbps 和 100Gbps 专用 Direct Connect 连接支持 MACsec。要使 MACsec 正常工作,您的专用连接必须对第 2 层流量透明。如果您使用的是最后一英里连接合作伙伴,请检查您的最后一英里连接是否支持 MACsec。1Gbps 专用连接和所有托管连接都不支持 MACsec。

问:我需要任何特殊硬件才能使用 MACsec 吗?

可以。对于到 Direct Connect 站点的以太网连接,您所在一端的设备需要支持 MACsec。请参阅我们用户指南的 MAC 安全性部分,以确定支持的运行模式和需要的 MACsec 功能。

问:是否需要新的 AWS Direct Connect 连接才能将 MACsec 用于支持 MACsec 的设备?

要使用 MACsec,您的连接必须连接到在 Direct Connect 端支持 MACsec 的设备上。您可以通过 AWS 管理控制台或 DescribeConnections Direct Connect API 来检查现有的连接是否支持 MACsec。如果现有的 MACsec 连接未连接到支持 MACsec 的设备上,则可以使用 AWS 管理控制台或 CreateConnection API 来请求新的支持 MACsec 的连接。

问:您支持哪些 MACsec 密码套件?

我们目前支持 GCM-AES-XPN-256 密码套件。

问:为何仅支持 256 位密钥?

我们仅支持 256 位 MACsec 密钥是为了提供最先进的数据保护。

问:您要求使用扩展包编号 (XPN) 吗?

是的,我们要求使用 XPN。高速连接(如 100Gbps 专用连接)会很快耗尽 MACsec 原来的 32 位数据包编号空间,这需要您每隔几分钟轮换一次加密密钥,以建立新的连接关联。为了避免这种情况,IEEE Std 802.1AEbw-2013 修正案引入了扩展数据包编号,将编号空间增加到 64 位,从而缓解了密钥轮换的及时性要求。

问:您是否支持使用安全通道标识符 (SCI)?

可以。我们要求 SCI 必须打开。此设置无法更改。

问:您是否支持 IEEE 802.1Q (Dot1q/VLAN) 标签偏移/dot1q-in-clear?

不,我们不支持将 VLAN 标签移到加密负载之外。

了解有关 AWS Direct Connect 定价的更多信息

访问定价页面
准备好开始构建了吗?
开始使用 AWS Direct Connect
还有其他问题?
联系我们