一般性问题

问:什么是 AWS Direct Connect?

AWS Direct Connect 是一种网络服务,可以在连接到 AWS 时作为 Internet 的替代方案。使用 AWS Direct Connect ,以前通过 Internet 传输的数据将可以借助您的设施和 AWS 之间的私有网络连接进行传输。在许多情况下,私有网络连接可以降低成本、增加带宽,提供比基于 internet 的连接更为一致的网络体验。所有 AWS 服务都可与 AWS Direct Connect 结合使用,包括 Amazon Elastic Compute Cloud (EC2)、Amazon Virtual Private Cloud (VPC)、Amazon Simple Storage Service (S3) 和 Amazon DynamoDB。

问:AWS Direct Connect 可在何处使用?

Direct Connect 站点的完整列表请参阅 Direct Connect 站点页面。使用 Direct Connect 时,您可以连接到任何 AWS 区域和可用区中部署的 VPC。 

问:专用连接和托管连接之间有哪些区别?

专用连接使用单个客户专用的 1 Gbps、10 Gbps 或 100 Gbps 以太网端口。托管连接来自其自身和 AWS 之间具有网络链路的 AWS Direct Connect 合作伙伴。

问:如何开始使用 AWS Direct Connect?

使用 AWS 管理控制台中的 AWS Direct Connect 选项卡,新建一个连接。请求连接时,系统将提示您选择 AWS Direct Connect 站点、端口数量和端口速度。将您的办公室或数据中心网络扩展为 AWS Direct Connect 站点时,如需帮助,您可以与 AWS Direct Connect 合作伙伴合作。

问:如果我的网络不在 AWS Direct Connect 节点,可否使用 AWS Direct Connect?

可以。AWS Direct Connect 合作伙伴可以帮助您将先前存在的数据中心或办公室网络扩展为 AWS Direct Connect 站点。有关更多信息,请参阅 AWS Direct Connect 合作伙伴。 利用 Direct Connect 网关,您可以从任何 AWS Direct Connect 站点(中国除外)访问任何 AWS 区域。

定义

问:什么是 Direct Connect 网关?

Direct Connect 网关是一组虚拟私有网关 (VGW) 和私有虚拟接口 (VIF)。Direct Connect 网关是全球可用的资源。您可以在任何区域中创建 Direct Connect 网关,并从所有其他区域进行访问。 

问:什么是虚拟接口 (VIF)?

虚拟接口 (VIF)是访问 AWS 服务的必要条件,可以公有,也可以私有。公有虚拟接口支持访问公有服务,如 Amazon S3。私有虚拟接口支持访问 VPC。有关更多信息,请参阅 AWS Direct Connect 虚拟接口

问:什么是虚拟私有网关 (VGW)?

虚拟私有网关 (VGW) 是 VPC 的一部分,可为 AWS 托管的 VPN 连接和 Direct Connect 连接提供边缘路由。您可以将 Direct Connect 网关与 VPC 的虚拟私有网关关联。有关更多详细信息,请参阅该文档

问:什么是链路汇聚组 (LAG)?

链路汇聚组 (LAG) 是一种逻辑接口,使用链路汇聚控制协议 (LACP) 在单个 AWS Direct Connect 终端节点汇聚多个专用连接,允许您将其视为单个托管连接。LAG 能够简化配置的原因在于 LAG 配置适用于组中的所有连接。有关创建、更新、关联/解除关联和删除 LAG 的详细信息,请参阅 AWS Direct Connect 文档:链路汇聚组 - AWS Direct Connect

• 使用 LAG 无需支付额外费用。
• 使用的是动态 LACP 捆绑包,静态 LACP 捆绑包不受支持。
• 两个不同 LAG 上的虚拟接口 (VIF) 可以连接到同一个虚拟网关 (VGW)。为了改进使用多个 LAG 时路径之间的故障转移时间,支持双向转发检测 (BFD)。

问:什么是 AWS Direct Connect 弹性工具包?

AWS Direct Connect 弹性工具包提供了一种连接向导,可帮助您在多个弹性模式之间进行选择。这些模式可帮助您确定专用连接的数量,然后下订单,以实现 SLA 目标。选择一个弹性模式,然后 AWS Direct Connect 弹性工具包将引导您完成专用连接订购过程。弹性模式旨在确保您能够在多个站点拥有适当数量的专用连接。

问:什么是 AWS Direct Connect Failover Testing 功能?

AWS Direct Connect Failover Testing 功能让您可以通过禁用本地网络和 AWS 之间的边界网关协议会话来测试您的 Direct Connect 的弹性。您可以使用 AWS 管理控制台或 AWS Direct Connect 应用程序编程接口 (API)。请参阅此文档以了解关于这项功能的更多信息。所有商用 AWS 区域(AWS 中国区域和 GovCloud (US) 除外)都支持这一功能。

问:什么是针对私有虚拟接口 (VIF) 的本地优先团体?

私有和中转虚拟接口的站点首选项社区提供了一项功能,可以让您影响源自 VPC 的流量的返回路径。

问:什么是针对私有和中转虚拟接口 (VIF) 的本地优先团体?

私有和中转虚拟接口的站点首选项社区为您提供了一项功能,可以让您影响源自 VPC 的流量的返回路径。

问:什么是 Direct Connect 网关 – 使用您自己的私有 ASN?

可配置的私有自治系统编号 (ASN) 允许在任何新创建的 Direct Connect 网关上为私有或中转 VIF 在 BGP 会话的 Amazon 端设置 ASN。所有商用 AWS 区域(AWS 中国区域除外)和 GovCloud (US) 都提供这一功能。

问:什么是中转虚拟接口?

中转虚拟接口指的是可以通过任何容量为 1Gbps 或以上 (1/2/5/10/100 Gbps) 的 AWS Direct Connect 连接创建的一种虚拟接口。中转虚拟接口只能附加到 Direct Connect 网关。您可以使用附加了一个或多个中转虚拟接口的 AWS Direct Connect 网关来在任何支持的 AWS 区域中最多与三个 AWS Transit Gateway 交互。与私有虚拟接口类似,您可以通过单个中转虚拟接口建立一个 IPv4 BGP 会话和一个 IPv6 BGP 会话。

问:什么是 Direct Connect 网关的多账户支持?

Direct Connect 网关的多账户支持是一项功能,允许您将来自多个 AWS 账户的最多 10 个 Amazon Virtual Private Cloud (Amazon VPC) 或三个 AWS Transit Gateway 与 Direct Connect 网关关联。

高可用性和弹性

问:创建链路汇聚组 (LAG) 是否可以让我的连接更具弹性?

不,LAG 无法使您到 AWS 的连接更具弹性。如果您的 LAG 中有多个链路,并且如果您的最少链路数量设置为一个,那么您的 LAG 将允许您防御单个链路故障。但是,当 LAG 终止时,它便不能防御 AWS 的单个设备故障。

为了实现到 AWS 的高可用性连接,建议您在多个 AWS Direct Connect 站点上设置连接。您可以参阅 Direct Connect 弹性建议,了解关于如何实现高度可用的网络连接的更多信息。

问:如何订购与 AWS Direct Connect 的连接,以获得高可用性?

我们建议按照Direct Connect 弹性建议页面详细介绍的弹性最佳实践,以根据您的使用案例确定最佳弹性模型。选择弹性模型后,AWS Direct Connect 弹性工具包将指导您完成订购冗余连接的过程。AWS 还建议您使用弹性工具包故障转移测试功能,在上线前对您的配置进行测试。 

每个专用的 Direct Connect 连接由您的路由器端口和 AWS Direct Connect 设备端口之间的一个专用连接组成。建议您为冗余建立第二个连接。如果您在同一 AWS Direct Connect 站点上请求多个端口,它们将被预置在冗余的 Amazon 路由器上。 

如果您配置了备用 IPsec VPN 连接,则所有 VPC 流量将自动故障转移到 VPN 连接。传入/传出 Amazon S3 等公有资源的流量将通过 Internet 路由。如果您没有备用的 AWS Direct Connect 链路或 IPsec VPN 链路,则出现故障时会丢失 Amazon VPC 流量。传入/传出公有资源的流量将通过 Internet 路由。

问:AWS Direct Connect 是否提供服务等级协议 (SLA)?

是的,AWS Direct Connect 提供 SLA。详细信息请参阅此处

问:使用故障转移测试功能时,我可以配置测试的持续时间或在测试运行时取消测试吗?

可以,您可以配置测试的持续时间。您可以将测试的最短和最长持续时间分别设置为 1 分钟和 180 分钟。

可以,您可以在测试运行时取消它。当您取消测试时,我们将恢复边界网关协议会话,而您的测试历史记录将反映被取消的测试。

问:在使用故障转移测试功能时,是否可以查看我过去的测试历史记录? 您会将测试历史记录保存多长时间?

可以,您可以使用 AWS 管理控制台或通过 CloudTrail 检查您的测试历史记录。我们会将您的测试历史记录保存 365 天。如果您删除虚拟接口,您的测试历史记录也会被删除。

问:故障转移测试结束以后会发生什么?

在配置测试时间结束以后,我们将使用测试启动前商定的参数,恢复您的本地网络和采用边界网关协议会话的 AWS 之间的边界网关协议会话。

问:谁可以使用 AWS Direct Connect 弹性工具包启动故障转移测试?

只有包含虚拟接口的 AWS 账户的拥有者可以启动测试。

问:我可以在针对某虚拟接口进行故障转移测试的过程当中删除该虚拟接口吗?

可以,您可以在针对某虚拟接口进行测试的过程当中删除该虚拟接口。

问:我可以为任何类型的虚拟接口运行故障转移测试吗?

可以,您可以为采用任何类型的虚拟接口建立的边界网关协议会话运行测试。

问:我已经建立了 IPv4 和 IPv6 边界网关协议会话,我可以为每个边界网关协议会话执行此测试吗?

可以,您可以为其中一个或同时为两个边界网关协议会话启动测试。

服务互操作

问:是否可以将同一私有网络连接同时用于 Amazon Virtual Private Cloud (VPC) 和其他 AWS 服务?

可以。每个 AWS Direct Connect 连接都可以配置一个或多个虚拟接口。虚拟接口可以配置为访问 Amazon EC2 和 Amazon S3 等使用公有 IP 空间的 AWS 产品,或配置为访问使用私有 IP 空间的 VPC 中的资源。

问:如果我在使用 Amazon CloudFront,并且我的原始服务器是自有的数据中心,可否使用 AWS Direct Connect 传输自有数据中心中存储的数据元?

可以。Amazon CloudFront 支持自定义源服务器,包括您在 AWS 外部运行的源服务器。对 CloudFront 边缘站点的访问将被限制在地理位置最接近的 AWS 区域,但位于北美的 AWS 区域除外,这些区域目前允许对所有北美区域的联网 CloudFront 源的访问。使用 AWS Direct Connect 时,您将按照 AWS Direct Connect 数据传输费率支付原始服务器数据传输费。

通过 Direct Connect 站点进入 AWS 全球网络后,您的流量仍将保持在 Amazon 支柱网络上。不在 Amazon 支柱网络上的 CloudFront 站点的前缀将不会通过 Direct Connect 公布。您可以在此页面上找到有关已公布的 IP 前缀和 Direct Connect 路由策略的更多详细信息。您还可以单击此页面,了解有关 Direct Connect 路由策略的更多信息。

问:可以在 AWS 管理控制台中订购 AWS GovCloud (美国) 端口吗?

如果您想要订购一个端口来连接 AWS GovCloud(美国),则需要使用 AWS GovCloud (美国) 管理控制台。有关如何开始使用 AWS GovCloud (美国) 区域的详细信息,请参阅此处。

问:如何在 AWS Direct Connect 站点请求交叉连接?

您下载授权书和连接设施分配 (LOA-CFA) 后,必须完成交叉网络连接。如果您的设备已经位于 AWS Direct Connect 站点,请联系相应的提供商完成交叉连接。有关每个提供商和交叉连接定价的具体说明,请参阅 AWS Direct Connect 文档:在 AWS Direct Connect 站点请求交叉连接。

问:一个 LAG 组中最多可以拥有几条链路?

一个 LAG 组中最多可以拥有 4 条链路。

问:链路汇聚组 (LAG) 处于主动/主动还是主动/被动模式?

它们处于主动/主动模式。换句话说,AWS 端口会持续发送链路汇聚控制协议数据单元 (LACPDU)。 

问:LAG 的 MTU 能变更吗?

LAG 的 MTU 可能会发生变化,请参阅此处的巨型帧文档,以了解详情。

问:是否可以将我的端口配置为主动/被动模式,而不是主动/主动模式?

终端节点处的 LAG 可以配置为 LACP 主动或被动模式。AWS 侧始终配置为主动模式 LACP。

问:是否可以在同一 LAG 中混合使用接口类型,配置一些 1G 端口和一些 10G 端口?

不可以。您可以使用同一类型的端口(1G 或 10G)创建 LAG。

问:此项功能适用于哪些类型的端口?

此项功能适用于 1G、10G 和 100G 的专用连接端口。

问:是否可以将此项功能用于 LAG 托管连接?

不可以。此项功能仅适用于 1G、10G 和 100G 的专用连接。不适用于托管连接。

问:是否可以使用现有端口以外的其他端口创建 LAG?

可以,只要您的端口都在同一个 AWS Direct Connect 设备上。请注意,在您的端口重新配置为 LAG 的过程中,它们的运行速度将会下降。直到 LAG 在您所在的一端配置完毕后,它们的运行速度才会恢复正常。

问:是否可以创建一个跨越多个 AWS Direct Connect 设备的 LAG?

LAG 将仅包含同一 AWS Direct Connect 设备上的端口。我们不支持多机架 LAG。

问:在 LAG 设置完毕后,如何向其添加链路?

您必须为 LAG 请求其他端口。如果同一设备中没有可用的端口,则必须订购新的 LAG 并迁移连接。举例来说,如果您有 3 条 1G 的链路,且希望再添加一条,但我们在该设备上没有可用端口,那么您需要订购一个拥有 4 条 1G 链路的新 LAG。

问:你们没有可用端口,因此我订购了新 LAG,但已经配置了虚拟接口 (VIF)! 如何转移这些 VIF?

您可以一次性将多个 VIF 附加到某个 VGW,还可以在连接上配置 VIF,即使该连接出现故障也是如此。建议您在新 LAG 上创建新的 VIF,并在创建好所有 VIF 后将连接转移到新 LAG。请务必删除旧的连接,以使我们停止计费。

问:是否可以删除 LAG 的某个端口?

可以,但前提是您设置的最少链路数量必须低于您的剩余端口数量。例如:如果您有 4 个端口,并将最少链路数量设置为 4,那么您将不能删除该 LAG 的某个端口。如果将最少链路数量设置为 3,那么您就可以删除 LAG 的端口。我们将返回一条通知和一条提醒,前者用于告知您已删除的特定面板/端口,后者用于提醒您断开与 Amazon 的交叉连接和线路。

问:是否可以一次性彻底删除我的 LAG?

可以,但与常规连接类似,如果您配置了 VIF,那么您就不能删除 LAG。

问:如果我的 LAG 中只有 2 个端口,我是否仍然可以删除其中一个端口?

可以,LAG 中可以只有一个端口。

问:是否可以订购只有一个端口的 LAG?

可以。请注意,如果您希望添加更多的端口,我们不能保证日后会在同一机架上提供其他端口。

问:是否可以将一个 LAG 转换回各个端口?

可以。您可以通过 DisassociateConnectionWithLag API 调用来执行这一操作。 

问:是否可以为我创建一款用于转移虚拟接口 (VIF) 的工具?

您可以使用 AssociateVirtualInterface API 或控制台来执行这一操作。

问:LAG 会显示为单个连接还是一组连接?

它将显示为单个 dxlag,我们将列出它下面的连接 ID。

问:最少链路数量是什么意思?在订购捆绑包时,为什么会看到最少链路数量复选框?

最少链路数量是 LACP 中的一项功能,您可以借助此功能设置捆绑包中需要处于活跃状态的链路的最少数量,以使该捆绑包处于活跃状态并能传输流量。举例来说,如果您有 4 个端口,而您的最少链路数量设置为 3,但您只有 2 个处于激活状态的端口,那么您的捆绑包将不会处于激活状态。如果您有 3 个或更多处于激活状态的端口,并配置了 VIF,那么您的捆绑包将处于激活状态并能传递流量。

如果不单击最少链路数量,将默认为零。在设置好捆绑包后,您可以通过控制台或 API 更改最少链路数量的值。在设置好捆绑包后,您可以通过控制台或 API 更改最少链路数量的值。

问:当我将现有 Direct Connect 连接与 LAG 关联后,已通过 Direct Connect 连接创建的现有虚拟接口 (VIF) 会发生什么情况?

将与现有虚拟接口 (VIF) 的 Direct Connect 连接同 LAG 关联后,虚拟接口会迁移至 LAG 中。请注意,与 VIF 关联的某些参数也必须唯一,如 VLAN 编号,才能迁移至 LAG。

问:是否可以在某个特定链路上设置链路优先级?

我们对所有链路一视同仁,因此不会在任何链路上设置“链路优先级”。

问:我所在的一端是否可以拥有一个连接至 AWS 一端的 4 个 10GE 接口的 40GE 接口?

要做到这一点,您的路由器上需要有 4 个 10GE 接口以连接至 AWS。我们不支持单个 40GE 接口连接到具有 4 个 10GE 接口的 LACP。

计费

问:使用 AWS Direct Connect 是否需要任何设置费用或最短使用期限承诺?

使用此服务无需任何设置费用,且您可以随时取消此服务。AWS Direct Connect 合作伙伴提供的服务可能有其他适用的条款或限制。

问:使用 AWS Direct Connect 时如何收费和记账?

AWS Direct Connect 具有两项单独的费用:端口小时费和数据传输费。定价依据为每种端口类型所消耗的端口小时数。未满一小时的按一小时计费。拥有端口的账户将按照端口小时费计费。

通过 AWS Direct Connect 传输数据的费用将计入使用该服务的当月账单中。请参阅下面的其他信息,了解数据传输如何计费。

问:区域数据传输是否以 AWS Direct Connect 费率计费?

不是。同一地区域不同可用区之间的数据传输将按照常规的区域数据传输费率计费,费用计入使用该服务的当月账单中。

问: 决定托管连接的可计费端口小时数的因素有哪些?

端口小时数将从您接受托管连接之时起计算。只要预置了托管连接以供您使用,都将持续收取端口费用。如果您不再希望支付托管连接费用,请联系 AWS Direct Connect 合作伙伴取消托管连接。

问:托管连接的端口小时费采用什么形式?

在一个 Direct Connect 站点的所有托管连接端口小时费,将按照容量进行分组。

例如,假设一个客户在一个 Direct Connect 站点有两个独立的 200Mbps 托管连接,并且在该站点无其他托管连接,则这两个独立 200Mbps 托管连接的端口小时费将使用以“HCPortUsage:200M”结尾的标签,汇总为一个项目。假设一个月总运行时间为 720 小时,则此项目的端口小时数为 1440,也就是该月的总小时数乘以该站点的 200Mbps 托管连接总数。

在您的账单中,可能显示如下托管连接容量识别符:

HCPortUsage:50M
HCPortUsage:100M
HCPortUsage:200M
HCPortUsage:300M
HCPortUsage:400M
HCPortUsage:500M
HCPortUsage:1G
HCPortUsage:2G
HCPortUsage:5G
HCPortUsage:10G

请注意,这些容量识别符将根据您在各个站点拥有的托管连接容量,按站点分别显示。

问:通过公有虚拟接口执行的数据传出需要向哪个 AWS 账户收费?

对于可公开寻址的 AWS 资源(例如,Amazon S3 存储桶、Classic EC2 实例或通过互联网网关的 EC2 流量),如果出站流量的目的地是同一 AWS 付款人账户拥有的公有前缀,并通过 AWS Direct Connect 公有虚拟接口主动发布给 AWS,那么将按照 AWS Direct Connect 数据传输速率向资源拥有者计量数据传出 (DTO) 使用量。

有关 AWS Direct Connect 的定价信息,请参阅 AWS Direct Connect 定价页面。如果使用 AWS Direct Connect 合作伙伴来协助建立 Direct Connect 连接,请联系 AWS Direct Connect 合作伙伴了解相关费用。

问:通过中转/私有虚拟接口执行的数据传出需要向哪个 AWS 账户收费?

随着精细数据传出分配功能的引入,负责数据传出的 AWS 账户将为通过中转/私有虚拟接口执行的数据传出付费。负责数据传出的 AWS 账户将根据客户对私有/中转虚拟接口的使用情况来确定,如下所示:

私有虚拟接口用于与具有或不具有 Direct Connect 网关的 Amazon Virtual Private Cloud 连接。对于私有虚拟接口,将对拥有负责数据传出的 AWS 资源的 AWS 账户收费。

中转虚拟接口用于与 AWS Transit Gateway 连接。对于中转虚拟接口,将对拥有与附加到中转虚拟接口的 Direct Connect 网关关联的 AWS Transit Gateway 附加的 Amazon Virtual Private Cloud 的 AWS 账户收取费用。请注意,除适用于 AWS Direct Connect 数据传出的费用外,所有适用的 AWS Transit Gateway 专用费用(数据处理和附件)都将是其中的一部分。

问:AWS Direct Connect 与整合账单有什么关联?

AWS Direct Connect 数据传输使用量将汇总到您的主账户中。

问: 如何取消 AWS Direct Connect 服务?

您可以从 AWS 管理控制台删除您的端口,以此取消 AWS Direct Connect 服务。您还应当取消由第三方提供的所有服务。例如,您应联系托管服务提供商断开与 AWS Direct Connect 的所有交叉连接,以及/或者联系可能为您的远程位置与 AWS Direct Connect 站点之间提供网络连接的网络服务提供商。

问:价格是否含税?

除非另行说明,否则我们的价格不包括适用的税费和税收 (包括增值税和适用销售税)。使用日本账单地址的客户若要使用 AWS 服务,则需缴纳日本消费税。了解更多。

规格

问:可用的连接速度是多少?

对于专用连接,可以使用 1Gbps、10Gbps 和 100Gbps 端口。对于托管连接,可以从经过批准的 AWS Direct Connect 合作伙伴订购 50Mbps、100Mbps、200Mbps、300Mbps、400Mbps、500Mbps、1Gbps、2Gbps、5Gbps 和 10Gbps 的容量。有关更多信息,请参阅 AWS Direct Connect 合作伙伴 

问:可使用 AWS Direct Connect 传输的数据量是否有限制?

没有。您可以传输任意数量的数据,最大传输量为您选用的端口容量。

问:使用 AWS Direct Connect 时,播发到 AWS 的路由数量是否有限制?

是的。使用 AWS Direct Connect 时,每个边界网关协议会话最多可播发 100 个路由。了解与 Direct Connect 限制有关的更多信息

问:如果针对一个边界网关协议会话,我播发了超过 100 个路由,会发生什么?

如果针对一个边界网关协议会话,您播发了超过 100 个路由,则您的边界网关协议会话将关闭。如此一来,将会阻止所有网络流量流经虚拟接口,直至您将路由数量降至 100 以下。

问:连接有什么技术要求?

AWS Direct Connect 支持在使用以太网传输的单模光纤上进行 1000BASE-LX、10GBASE-LR 或 100GBASE-LR4 连接。您的设备必须支持 802.1Q VLAN。有关详细的要求信息,请参阅 AWS Direct Connect 用户指南

问:问:能否使用 AWS Direct Connect 将我的一个 VLAN 扩展到 AWS 云?

不能。在 AWS Direct Connect 中,VLAN 仅用于在虚拟接口之间分隔流量。

问:通过虚拟接口连接 Amazon EC2 和 Amazon S3 等公有 AWS 服务有什么技术要求?

  • 此连接要求使用带有自治系统编码 (ASN) 和 IP 前缀的边界网关协议 (BGP)。您需要以下信息才能完成连接:
  • 公有或私有 ASN。如果使用公有 ASN,您必须具有其所有权。如果使用私有 ASN,它必须在 64512 至 65535 的范围内。
  • 您所选用的未使用的新 VLAN 标签
  • 您为 BGP 会话分配的公有 IP(/30)
  • 默认情况下,Amazon 将通过 BGP 公布全球公有 IP 前缀。您必须通过 BGP 公布您拥有的公有 IP 前缀(/30 或更小)。更多详细信息,请参阅 AWS Direct Connect 用户指南
  • 如需有关《Direct Connect,使用您自己的 ASN》的更多详细信息,请参阅下方。

问:虚拟接口的两端须指定什么 IP 地址?

如果您要配置连接公有 AWS 云的虚拟接口,则必须从您所拥有的公有 IP 空间向该连接的两端分配 IP 地址。如果虚拟接口将连接 VPC,且您选择让 AWS 自动生成对等 IP CIDR,则该连接两端的 IP 地址空间将由 AWS 分配,其范围为 169.254.0.0/16。

问:能否将我的硬件部署在提供 AWS Direct Connect 支持的设备附近?

您可以购买 AWS Direct Connect 站点所在场址中的机架空间,并在附近部署您的设备。但是,出于安全考虑,AWS 客户设备不能放置在 AWS Direct Connect 机架空间或机笼区域内。有关更多信息,请联系负责特定设施的操作员。部署后,您就可以通过交叉连接的方式将此设备连接到 AWS Direct Connect。

问:如何为 Direct Connect 连接启用 BFD?

AWS 会为每个 Direct Connect 虚拟接口自动启用异步 BFD,但要等到在您的路由器上对其进行配置之后才会生效。AWS 已将 BFD 连线检测最小间隔设置为 300,并将 BFD 连线检测乘数设置为 3。

问:如何为 AWS GovCloud (美国) 区域设置 Direct Connect?

有关如何为 AWS GovCloud (美国) 区域设置 Direct Connect 连接的详细说明,请参阅 AWS GovCloud (美国) 用户指南。 

问:虚拟接口 (VIF) 连接 VPC 有什么技术要求?

此连接要求使用边界网关协议 (BGP)。要完成连接,您需要:

• 公有或私有 ASN。如果使用公有 ASN,您必须具有其所有权。如果使用私有 ASN,它必须在 64512 至 65535 的范围内。
• 您所选用的未使用的新 VLAN 标签。
• VPC 虚拟私有网关 (VGW) ID
• AWS 将在 169.x.x.x 范围内为 BGP 会话分配私有 IP (/30),并将通过 BGP 公布 VPC CIDR 数据块。您可以通过 BGP 公布默认路由。

问:能否在 VPC 和我的网络之间建立 Layer 2 连接?

不能。Layer 2 连接不受支持。

VPN 连接

问:AWS Direct Connect 与 IPSec VPN 连接有什么区别?

VPC VPN 连接利用 IPSec 通过 Internet 在您的内网与 Amazon VPC 之间建立加密网络连接。VPN 连接可在几分钟内完成配置。如果您急需连接、带宽要求不高且可以承受 Internet 连接固有的易变性,该连接是不错的解决方案。相反,AWS Direct Connect 不涉及 Internet;它在您的内网和 Amazon VPC 之间使用专门的私有网络连接。

问:可否同时使用 AWS Direct Connect 和 VPN 连接与同一 VPC 连接?

可以,但仅限用于故障转移。Direct Connect 路径一旦建立,就始终是优先选择的路径,且与追加的 AS 路径无关。 请确保您的 VPN 连接可以处理来自 Direct Connect 的故障转移流量。

问:列出的 Direct Connect BGP 配置/设置详细信息是否有任何不同?

VPN BGP 的运行方式与 Direct Connect 相同。

AWS Transit Gateway 支持

问:哪些 AWS 区域为 AWS Transit Gateway 提供 AWS Direct Connect 支持?

所有商业 AWS 区域(AWS 中国和亚太(大阪)区域除外)均为 Transit Gateway 提供支持。

问:如何创建中转虚拟接口?

您可以使用 AWS 管理控制台或 API 来创建中转虚拟接口。

问:我能否将中转虚拟接口分配到另一个 AWS 账户中?

是,我可以将中转虚拟接口分配到任何 AWS 账户中。

问:我能否将中转虚拟接口附加到我的虚拟私有网关?

不,您不能将中转虚拟接口附加到您的虚拟私有网关

问:我能否将私有虚拟接口附加到我的 AWS Transit Gateway?

不,您不能将虚拟私有接口附加到您的 AWS Transit Gateway。

问:中转虚拟接口有哪些相关限制?

请参阅 AWS Direct Connect 限制页面了解有关中转虚拟接口相关限制的更多信息。 

问:我能否添加更多中转虚拟接口到该连接中?

不,您只能为任何容量大于或等于1 Gbps 的 AWS Direct Connect 连接创建一个中转虚拟接口。

问:我有一个现有 Direct Connect 网关附加在私有虚拟接口上,能否附加一个中转虚拟接口到此 Direct Connect 网关?

不能,Direct Connect 网关只能附加一种类型的虚拟接口。

问:我能否将我的 AWS Transit Gateway 与附加在私有虚拟接口上的 Direct Connect 网关关联?

不能,AWS Transit Gateway 只能与附加在中转虚拟接口上的 Direct Connect 网关关联。

问:在 AWS Transit Gateway 和 AWS Direct Connect 网关之间建立关联需要多久?

在 AWS Transit Gateway 和 AWS Direct Connect 网关之间建立关联最多需要 40 分钟。

问:在每 1 Gbps、10 Gbps 或 100 Gbps 专用连接中,我总共可以创建多少虚拟接口?

每 1 Gbps、10Gbps 或 100 Gbps 专用连接中,我最多可以创建 51 个虚拟接口,其中包括中转虚拟接口。

问:我能否在 1/2/5/10/100 Gbps 托管连接上创建中转虚拟接口?

能,您可以在容量为 1 Gbps 或以上(1、2、5、10、100 Gbps)的任何连接上创建一个中转虚拟接口。

问:我有 4x10 Gbps LAG,我可以在此链路汇聚组 (LAG) 上创建多少中转虚拟接口?

您可以在 4x10G LAG 上创建一个中转虚拟接口。

问:中转虚拟接口是否支持巨型帧?

是,中转虚拟接口将支持巨型帧。最大传输单位 (MTU) 大小将限制为 8,500。

问:您是否为中转虚拟接口支持您在私有虚拟接口上支持的所有边界网关协议 (BGP) 属性?

是,您可以在中转虚拟接口上继续使用支持的 BGP 属性(AS_PATH、Local Pref、NO_EXPORT)。

Direct Connect 网关

问:为什么需要使用 Direct Connect 网关?

Direct Connect 网关执行了以下多个功能:

  • Direct Connect 网关使您能够连接任何 AWS 区域(AWS 中国区域除外)中的 VPC,因而能够使用 AWS Direct Connect 连接来连接多个 AWS 区域。
  • 您可以共享私有虚拟接口以便连接多达 10 个 Virtual Private Cloud (VPC),以减少本地网络与 AWS 部署之间的边界网关协议会话的数量。
  • 通过将中转虚拟接口 (VIF) 连接到 Direct Connect 网关,并将 AWS Transit Gateway 与 Direct Connect 网关关联,您可以共享中转虚拟接口,以连接最多三个 Transit Gateways。这可以减少本地网络和 AWS 部署之间的边界网关协议会话数量。中转 VIF 连接到 Direct Connect 网关后,该网关就无法同时承载另一个私有 VIF,其将专用于中转 VIF。
  • 只要与虚拟私有网关关联的 Amazon VPC 的 IP CIDR 数据块不重叠,您就可以将多个虚拟私有网关(VGW,与 VPC 关联)关联到 Direct Connect 网关。

问:我能否将多个 AWS Transit Gateway 关联至 Direct Connect 网关?

能,只要您的 AWS Transit Gateway 发布的 IP CIDR 数据块不会重叠,您就可以最多关联三个 AWS Transit Gateway 至 Direct Connect 网关。

问:我可以将任何 AWS 账户拥有的 Amazon Virtual Private Cloud (Amazon VPC) 与任何 AWS 账户拥有的 Direct Connect 网关相关联吗?

是的,您可以将任何 AWS 账户拥有的 Amazon Virtual Private Cloud (Amazon VPC) 与任何 AWS 账户拥有的 Direct Connect 网关相关联。

问:我可以将任何 AWS 账户拥有的 AWS Transit Gateway 与任何 AWS 账户拥有的 Direct Connect 网关相关联吗?

是的,您可以将任何 AWS 账户拥有的 AWS Transit Gateway 与任何 AWS 账户拥有的 Direct Connect 网关相关联。

问:如果使用 Direct Connect 网关,传输到所需 AWS 区域的流量是否通过关联的主 AWS 区域?

否。使用 Direct Connect 网关时,您的流量将通过最短路径从您的 Direct Connect 站点到达目标 AWS 区域,并且顺序相反,与您连接的 Direct Connect 站点关联的主 AWS 区域无关。

问:使用 Direct Connect 网关连接远程区域是否需要额外支付费用?

使用 Direct Connect 网关不会产生任何费用。您需要根据源远程 AWS 区域支付适当的传出数据费用,以及支付端口小时费用。请参阅 AWS Direct Connect 定价页面,以了解详细信息 

问:为了使用 Direct Connect 网关的功能,私有/中转虚拟接口、Direct Connect 网关、虚拟私有网关或 AWS Transit Gateway 是否需要处于同一个账户下?

是的,私有虚拟接口和 Direct Connect 网关必须处于同一个 AWS 账户下。同样,中转虚拟接口和 Direct Connect 网关也必须处于同一个 AWS 账户下。虚拟私有网关或 AWS Transit Gateway 可以与拥有 Direct Connect 网关的账户位于不同的 AWS 账户中。

问:如果我将虚拟私有网关(VGW - 与 Amazon VPC 关联)关联到 Direct Connect 网关,那么我能否继续使用所有 VPC 功能?

能。Elastic File System、Elastic Load Balancer、Application Load Balancer、安全组、访问控制列表和 AWS PrivateLink 等联网功能仍然能够与 Direct Connect 网关配合使用。
Direct Connect 网关不支持 CloudHub 功能,但是如果您使用 AWS VPN 来连接与您的 Direct Connect 网关关联的虚拟网关 (VGW),那么您就能够使用 VPN 连接进行故障转移。

当前不受 Direct Connect 支持的功能包括:AWS Classic VPN、AWS VPN(例如边缘到边缘路由)、VPC 对等连接和 VPC 终端节点。

问:我请 AWS Direct Connect 合作伙伴为我的账户预置了私有虚拟接口 (VIF),我能否使用 Direct Connect 网关?

能。当您在 AWS 账户中确认预置的私有虚拟接口 (VIF) 时,您可以将预置的私有虚拟接口与您的 Direct Connect 网关相关联。

问:如果我只想连接到本地区域中的 VPC,应该怎么办?

您可以继续将虚拟接口 (VIF) 连接到虚拟私有网关 (VGW)。您仍将拥有区域内 VPC 连接,并将收取相关地理区域的出口费用。

问:Direct Connect 网关有什么使用限制?

请参阅 AWS Direct Connect 的限制,了解与 Direct Connect 网关功能相关的限制。

问:虚拟私有网关(VGW,与 VPC 关联)能否用于多个 Direct Connect 网关?

不能。一对 VGW-VPC 不能用于多个 Direct Connect 网关。

问:一个私有虚拟接口 (VIF) 能否连接多个 Direct Connect 网关?

不能。一个私有虚拟接口只能连接一个 Direct Connect 网关,或者连接一个虚拟私有网关。我们建议您遵循 AWS Direct Connect 弹性建议并附加多个私有虚拟接口。 

问:Direct Connect 网关会破坏已有的 CloudHub 功能吗?

不会。Direct Connect 网关不会破坏 CloudHub。Direct Connect 网关支持本地网络与任何 AWS 区域内的 VPC 之间的连接。CloudHub 支持同一区域内使用 Direct Connect 或 VPN 的本地网络之间的连接。VIF 与 VGW 直接关联。已有的 CloudHub 功能将会继续受到支持。您可以将 Direct Connect 虚拟接口 (VIF) 直接连接到虚拟私有网关 (VGW),以支持区域内的 CloudHub。

问:Direct Connect 网关支持哪种类型的流量?不支持哪种类型的流量?

请参阅 AWS Direct Connect 用户指南,查看受支持和不受支持的流量模式。 

问:我现在在 us-east-1 中有一个 VPN 连接了一个虚拟私有网关 (VGW)。我想要在 VPN 和新的 VIF 之间启用 us-east-1 中的 CloudHub。能否用 Direct Connect 网关来实现这一点?

不能。您不能用 Direct Connect 网关来实现这一点,但是您可以选择将一个 VIF 直接连接到一个 VGW,这样就能启用 VPN <-> Direct Connect CloudHub 用例。

问:我有一个现有私有虚拟接口与 VGW 关联,我能否将现有私有虚拟接口与 Direct Connect 网关关联?

不能。与 VGW 关联的现有私有虚拟接口不能与 Direct Connect 网关关联。请创建一个新的私有虚拟接口,并在创建时将其与您的 Direct Connect 网关关联。

问:如果我有一个连接到 VPN 的 VGW 和一个 Direct Connect 网关,那么当 Direct Connect 线路断开时,VPC 流量会被路由出 VPN 吗?

是的。只要 VPC 路由表仍然具有通向 VPN 的虚拟私有网关 (VGW)的路由。

问:我能否将没有连接到 VPC 的虚拟私有网关 (VGW) 连接到一个 Direct Connect 网关?

不能。您不能将没有连接到 VPC 的 VGW 与 Direct Connect 网关相关联。

问:我创建了一个具有一个 Direct Connect 私有 VIF 的 Direct Connect 网关和三个不重叠的虚拟私有网关(VGW,每个 VGW 都关联一个 VPC)。如果我将一个 VGW 与 VPC 分离,会发生什么情况?

从您的本地网络传输到分离的 VPC 的流量会停止,并且 VGW 与 Direct Connect 网关之间的关联会被删除。

问:我创建了一个具有一个 Direct Connect VIF 的 Direct Connect 网关和三个不重叠的 VGW-VPC 对,如果我将一个虚拟私有网关 (VGW) 与 Direct Connect 网关分离,会发生什么情况?

从您的本地网络传输到分离的 VGW(关联一个 VPC)的流量会停止。

问:我能否将与某个 Direct Connect 网关关联的 VPC 的流量发送到与该 Direct Connect 网关关联的另一个 VPC?

不能。Direct Connect 网关只支持从 Direct Connect VIF 到 VGW (关联 VPC)的流量的路由。要在 2 个 VPC 之间发送流量,您必须配置一个 VPC 对等连接。

问:我现在在 us-east-1 中有一个 VPN 连接了一个 VGW。如果我将这个 VGW 与一个 Direct Connect 网关关联,那么我能否将来自该 VPN 的流量发送到其他区域中连接到该 Direct Connect 网关的 VIF?

不能。Direct Connect 网关不支持 VPN 和 Direct Connect VIF 之间的流量路由。要实现这一目的,您需要在 VIF 所在的区域创建一个 VPN,并且将该 VIF 和 您创建的 VPN 连接到同一个 VGW。

问:我能否调整与 Direct Connect 网关相关联的 Amazon VPC 的大小?

能。您可以调整 Amazon VPC 的大小。如果您调整 Amazon VPC 的大小,必须将调整大小后的 VPC CIDR 提案重新发送给 Direct Connect 网关拥有者。Direct Connect 网关拥有者批准新提案后,将向本地网络公开调整大小后的 VPC CIDR。

问:是否有方法配置 Direct Connect 网关以选择性向 Amazon VPC 填充前缀或从 Amazon VPC 填充前缀?

有。Direct Connect 网关提供一种方法以选择性向本地网络公开前缀。对于从本地网络公开的前缀,与 Direct Connect 网关相关联的每个 VPC 将接收从本地网络公开的所有前缀。如果要限制进出任何特定 Amazon VPC 的流量,您应考虑为每个 VPC 使用访问控制列表 (ACL)。

本地优先团体

问:能否将这一功能用于我现有的 EBGP 会话?

可以,私有虚拟接口上的所有现有 BGP 会话都支持使用本地优先团体。

问:这一功能是否同时适用于公有虚拟接口和私有虚拟接口?

不,这一功能目前只适用于私有和中转虚拟接口。

问:这一功能是否可以与 Direct Connect 网关配合使用?

是的,这一功能可以与连接 Direct Connect 网关的私有虚拟接口配合使用。

问:能否检查 AWS 收到的团体?

不能,目前我们不提供此类监控功能。

问:对于 Direct Connect 私有虚拟接口,支持哪些本地优先团体?

我们针对私有虚拟接口支持以下团体,其优先级按从低到高的顺序排列。不同团体互相排斥。标有同一团体并且带有相同的 MED*, AS_PATH 属性的前缀适合多路径传输。

  • 7224:7100 – 低优先级
  • 7224:7200 – 中优先级
  • 7224:7300 – 高优先级

问:如果我不使用支持的团体,默认会出现什么情况?

如果您不针对自己的私有 VIF 指定本地优先团体,那么系统会根据所在区域与 Direct Connect 站点之间的距离来确定默认本地优先级。在这种情况下,从多个 Direct Connect 站点通过多个 VIF 的出口行为可能是任意的。

问:我在一个 Direct Connect 站点的一个物理连接上有两个私有 VIF,我能否使用支持的团体来影响通过这两个私有 VIF 的出口行为?

是的,您可以使用这一功能来影响同一物理连接上的两个 VIF 之间的出口流量行为。

问:本地优先团体功能是否支持故障转移?

可以。您可以在主/主动虚拟接口上公布前缀,使其团体的本地优先级高于在备份/被动虚拟接口上公布的前缀,这样就可以实现这一点。这一功能与以前用于实现故障转移的方法向后兼容;如果您的 Direct Connect 目前配置为支持故障转移,那么就不需要进行额外的更改。

问:我已经将路由器属性配置为 AS_PATH,我是否需要更改配置才能使用团体标签?是否需要中断我的网络?

不需要,我们会继续支持 AS_PATH 属性。这一功能可以为您提供额外的帮助,让您更好地控制来自 AWS 的传入流量。Direct Connect 采用标准方法进行路径选择。请注意,本地优先级先于 AS_PATH 属性接受评估。

问:我有两个 Direct Connect 连接,一个是 1G,一个是 10G,都公布相同的前缀。我想通过 10G Direct Connect 连接来接收指向这一地址的所有流量,并能故障转移到 1G 连接。在这种情况下,能否使用本地优先团体来均衡流量?

可以。将 10G Direct Connect 连接上公布的前缀的团体标为较高的本地优先级,该连接就会成为优先路径。当 10G 连接发生故障或者前缀被撤销时,1G 接口就会成为返回路径。

问:传输到我的网络的流量的 AWS 多路径宽度是多少?

每个前缀的多路径宽度最大为 16 个下一跳,而每个下一跳都是一个唯一的 AWS 终端节点。

问:我可以在单个 VPN 隧道上运行 v4 和 v6 BGP 会话吗?

目前,我们仅允许在具有 IPv4 地址的单个 VPN 隧道上运行 v4 BGP 会话。将来,我们会允许在具有 IPv4 终端节点地址的单个 VPN 隧道上运行 v6 BGP 会话。

问:列出的 Direct Connect BGP 配置/设置详细信息是否有任何不同?

VPN BGP 的运行方式与 Direct Connect 相同。

问:我可以在具有 IPv6 地址的终端节点终止我的隧道吗?

目前,我们仅支持具有 IPv4 终端节点地址的 VPN。 

问:我是否可以在 IPv4 地址上终止我的隧道并在该隧道上运行 IPv6 BGP 会话?

目前,我们仅允许在具有 IPv4 地址的单个 VPN 隧道上运行 v4 BGP 会话。

Direct Connect 网关 - 私有 ASN

问:这是什么功能?

可配置的私有自治系统编号 (ASN)。利用这一功能,客户可以针对任何新创建的 Direct Connect 网关上的私有 VIF,在 BGP 会话的 Amazon 端设置 ASN。

问:可以在哪里使用这些功能?

所有商用 AWS 区域(AWS 中国区域除外)和 GovCloud(美国)都支持这一功能。

问:怎样将要公开的 ASN 配置/指定为 Amazon 端 ASN?

您可以在创建新的 Direct Connect 网关期间将某个要公开的 ASN 配置/分配为 Amazon 端 ASN。您可以使用 AWS Direct Connect 控制台或 CreateDirectConnectGateway 这一 API 调用来创建 Direct Connect 网关。

问:可否使用任何公有和私有 ASN?

您可以将任意私有 ASN 分配到 Amazon 端。您无法分配任何其他公有 ASN。

问:为什么不能为 BGP 会话的 Amazon 端分配公有 ASN?

Amazon 不会验证 ASN 的所有权,因此我们将 Amazon 端 ASN 限定为私有 ASN。我们要保护客户免受 BGP 欺诈。

问:我可以选择什么 ASN?

您可以选择任何私有 ASN。16 位私有 ASN 的范围是从 64512 到 65534。您还可以提供介于 4200000000 与 4294967294 之间的 32 位 ASN。

问:如果我尝试为 BGP 会话的 Amazon 端指定公有 ASN,会怎么样?

我们会在您尝试创建 Direct Connect 网关时要求您重新输入一个私有 ASN。

问:如果我不为 BGP 会话的 Amazon 端提供 ASN,那么 Amazon 会向我分配什么 ASN?

如果您不选择 ASN,Amazon 会为 Direct Connect 网关提供编号为 64512 的 ASN。

问:我可以在哪里查看 Amazon 端 ASN?

您可以在 AWS Direct Connect 控制台和对 DescribeDirectConnectGateways 命令的响应中查看 Amazon 端 ASN,也可以使用 DescribeVirtualInterfaces API 来查看。

问:如果我有公有 ASN,它是否会与 AWS 端的私有 ASN 搭配使用?

会。您可以为 BGP 会话的 Amazon 端配置一个私有 ASN,为您的一端配置一个公有 ASN。

问:我已配置了私有 VIF,并且想要为现有 VIF 上的 BGP 会话设置一个不同的 Amazon 端 ASN。我应如何进行此项更改?

您需要创建一个具有所需 ASN 的新 Direct Connect 网关,然后创建一个连接新创建的 Direct Connect 网关的新 VIF。您的设备配置还需要做出相应更改。

问:我要将多个私有 VIF 连接到一个 Direct Connect 网关。每个 VIF 可否拥有单独的 Amazon 端 ASN?

不能。您可以为每个 Direct Connect 网关分配/配置单独的 Amazon 端 ASN,但不能为每个 VIF 这样做。用于 VIF 的 Amazon 端 ASN 继承自连接的 Direct Connect 网关的 Amazon 端 ASN。

问:Direct Connect 网关和虚拟私有网关能否使用不同的私有 ASN?

能。Direct Connect 网关和虚拟私有网关可以使用不同的私有 ASN。请注意,您收到的 Amazon 端 ASN 取决于您的私有虚拟接口关联。

问:Direct Connect 网关和虚拟私有网关能否使用相同的私有 ASN?

是的。Direct Connect 网关和虚拟私有网关可以使用相同的私有 ASN。请注意,您收到的 Amazon 端 ASN 取决于您的私有虚拟接口关联。

问:我要将具有自己的私有 ASN 的多个虚拟私有网关连接到配置了自己的私有 ASN 的一个 Direct Connect 网关。系统会优先使用哪种私有 ASN?是 VGW 还是 Direct Connect 网关的私有 ASN?

Direct Connect 网关的私有 ASN 将会被用作您的网络与 AWS 之间的边界网关协议 (BGP) 会话的 Amazon 端 ASN。

问:我可以在哪里选择自己的私有 ASN?

当您在 AWS Direct Connect 网关控制台中创建 Direct Connect 网关时。Direct Connect 网关被配置了 Amazon 端 ASN 之后,与 Direct Connect 网关关联的私有虚拟接口会将您配置的 ASN 用作 Amazon 端 ASN。

问:我目前使用的是 CloudHub。我以后是否必须要调整配置?

您不需要进行任何更改。

问:我想选择 32 位 ASN。32 位私有 ASN 的范围是什么?

我们支持介于 4200000000 与 4294967294 之间的 32 位 ASN。

问:创建了 Direct Connect 网关后,我能否更改或修改 Amazon 端 ASN?

不能。您不能在创建 Direct Connect 网关后修改 Amazon 端 ASN。您可以删除 Direct Connect 网关,然后重新创建一个具有所需私有 ASN 的新 Direct Connect 网关。

MACsec

问:什么是 MACsec?

802.1AE MAC Security (MACsec) 是一项 IEEE 标准,能够提供数据机密性、数据完整性和数据源真实性。您可以使用支持 MACsec 的 AWS Direct Connect 连接对从本地网络或托管设备到所选 AWS Direct Connect 存在点的数据进行加密。

问:MACsec 是否取代了我目前在网络中使用的其他加密技术?

MACsec 并非旨在取代任何特定的加密技术。为了简单起见,也为了加深防御,您应该继续使用您已经使用的任何加密技术。除了您当前使用的其他加密技术之外,我们提供的 MACsec 作为一种加密选项,您也可以将其集成到您的网络中。

问:哪些类型的 Direct Connect 支持 MACsec?

在选定的节点处,MACsec 的 10Gbps 和 100Gbps 专用 Direct Connect 连接可以获得支持。要使 MACsec 正常工作,您的专用连接必须对第 2 层流量透明。如果您使用的是最后一英里连接合作伙伴,请检查您的最后一英里连接是否支持 MACsec。MACsec 不受 1Gbps 专用连接或托管连接的支持。

问:我需要任何特殊硬件才能使用 MACsec 吗?

可以。在以太网连接到 Direct Connect 站点的端点处,需要支持 MACsec 的设备。请参阅我们的文档,以验证支持的运营模式和所需的 MACsec 功能。

问:我是否需要新的 Direct Connect 连接才能将 MACsec 用于支持 MACsec 的设备?

MACsec 要求您的连接在连接的 AWS Direct Connect 端上支持 MACsec 的设备上终止。您可以通过 AWS 管理控制台或 DescribeConnections Direct Connect API 检查现有连接是否支持 MACsec。如果现有的 MACsec 连接未在支持 MACsec 的设备上终止,则可以使用 AWS 管理控制台或 CreateConnection API 请求新的支持 MACsec 的连接。

问:您支持哪些 MACsec 密码套件?

我们目前支持 GCM-AES-XPN-256 密码套件。

问:为何仅支持 256 位密钥?

我们仅支持 256 位 MACsec 密钥旨在提供最先进的数据保护。

问:您要求使用扩展包编号 (XPN) 吗?

是的,我们要求使用 XPN。超高速连接(如 100Gbps 专用连接)会很快耗尽 MACsec 原来的 32 位数据包编号空间,这需要您每隔几分钟轮换一次加密密钥,以建立新的连接关联。为了避免这种情况,IEEE Std 802.1AEbw-2013 修正案引入了扩展数据包编号,将编号空间增加到 64 位,从而缓解了密钥轮换的及时性要求。

问:您是否支持使用安全通道标识符 (SCI)?

可以。我们要求 SCI 必须打开。此设置无法更改。

问:您是否支持 IEEE 802.1Q (Dot1q/VLAN) 标签偏移/dot1q-in-clear?

不,我们不支持将 VLAN 标签移到加密负载之外。

了解有关 AWS Direct Connect 定价的更多信息

访问定价页面
准备好开始构建了吗?
开始使用 AWS Direct Connect
还有其他问题?
联系我们