Questions d'ordre général

Q : Qu'est-ce qu'AWS Direct Connect ?

AWS Direct Connect est un service de réseaux qui offre une alternative à l'utilisation d'Internet pour se connecter à AWS. En utilisant AWS Direct Connect, des données qui auraient été précédemment transmises via Internet peuvent désormais être livrées par le biais d'une connexion réseau privée entre vos installations et AWS. Généralement, les connexions réseau privées peuvent réduire les coûts, augmenter la bande passante et fournir une expérience réseau plus constante que les connexions basées sur Internet. Tous les services AWS, y compris Amazon Elastic Compute Cloud (EC2), Amazon Virtual Private Cloud (VPC), Amazon Simple Storage Service (S3) et Amazon DynamoDB sont compatibles avec AWS Direct Connect.

Q : Où AWS Direct Connect est-il disponible ?

La liste complète des points d'accès AWS Direct Connect est disponible sur la page points d'accès AWS Direct Connect. Lors de l'utilisation d'AWS Direct Connect, vous pouvez vous connecter à des VPC déployés dans toutes les Régions AWS et les zones de disponibilité. Vous pouvez également vous connecter à AWS Local Zones.

Q : Quelle est la différence entre les connexions dédiées et les connexions hébergées ?

Une connexion dédiée passe par un port Ethernet de 1 Gbit/s, 10 Gbit/s ou 100 Gbit/s dédié à un seul client. Les connexions hébergées proviennent d'un partenaire AWS Direct Connect qui dispose d'une liaison réseau entre lui et AWS. 

Q : Comment puis-je commencer à utiliser AWS Direct Connect ?

Sur la console de gestion AWS, créez une connexion à partir de l'onglet AWS Direct Connect. Lors d'une demande de connexion, vous devez sélectionner un point d'accès AWS Direct Connect, le nombre de ports et la vitesse du port. Vous collaborerez avec un partenaire Direct Connect si vous avez besoin d'aide pour étendre votre réseau de bureau ou de centre de données vers un point d'accès AWS Direct Connect.

Q : Puis-je utiliser AWS Direct Connect si mon réseau n'est pas présent dans un point d'accès AWS Direct Connect ?

Oui. Les partenaires AWS Direct Connect peuvent vous aider à étendre votre centre de données ou réseau de bureau vers un point d'accès AWS Direct Connect. Pour plus d'informations, consultez la page Partenaires AWS Direct Connect. La passerelle AWS Direct Connect permet d'accéder à toutes les régions AWS à partir de n'importe quel point d'accès AWS Direct Connect (sauf en Chine).

Q : Est-ce qu'AWS agit comme mon fournisseur en début ou en fin de chaîne pour connecter mes emplacements sur site à AWS ?

Non. Vous devez établir des connexions entre les fournisseurs de services locaux utilisés sur vos emplacements sur site, ou travailler avec un partenaire prestataire AWS Direct Connect pour vous connecter aux points d'accès AWS Direct Connect.

Q : Comment demander un raccordement transversal à un emplacement AWS Direct Connect ?

Après avoir téléchargé votre lettre d'autorisation et l'affectation des installations de connexion (LOA-CFA), vous devez terminer la connexion à votre réseau transversal. Si votre équipement est déjà situé dans un emplacement AWS Direct Connect, contactez le fournisseur approprié pour terminer le raccordement transversal. Pour connaître les instructions spécifiques à chaque fournisseur et le tarif des raccordements transversaux, reportez-vous à la documentation d'AWS Direct Connect : Demande des raccordements transversaux aux points d'accès AWS Direct Connect.

Définitions

Qu'est-ce qu'une passerelle AWS Direct Connect ?

Une passerelle AWS Direct Connect est un regroupement de passerelles réseau privé virtuel (VGW) et d'interfaces virtuelles privées (VIF). Une passerelle AWS Direct Connect est une ressource disponible partout dans le monde. Vous pouvez créer la passerelle AWS Direct Connect dans n'importe quelle région et y accéder depuis toutes les autres régions. 

Q : Qu'est-ce qu'une interface virtuelle (VIF) ?

Une interface virtuelle (VIF) est nécessaire pour accéder aux services AWS. Elle peut être publique ou privée. Une interface virtuelle publique permet d'accéder aux services publics tels que Simple Storage Service (Amazon S3). Une interface virtuelle privée permet d'accéder à votre VPC. Pour plus d'informations, consultez la rubrique Interfaces virtuelles AWS Direct Connect.

Q : Qu'est-ce qu'une passerelle privée virtuelle (VGW) ?

Une passerelle réseau privé virtuel (VGW) fait partie d'un VPC qui fournit un routage périphérique pour les connexions VPN gérées par AWS et pour les connexions AWS Direct Connect. Vous associez une passerelle AWS Direct Connect à la passerelle réseau privé virtuel pour le VPC. Pour plus d'informations, reportez-vous à cette documentation.

Q : Qu'est-ce qu'un groupe d'agrégation de liaisons (LAG) ?

Un groupe d'agrégation de liaisons (LAG) est une interface logique qui utilise le protocole de contrôle d'agrégation de liaisons (LACP) pour cumuler plusieurs connexions dédiées en un seul point de terminaison AWS Direct Connect, ce qui permet de les traiter comme une seule connexion gérée. Les groupes LAG simplifient la configuration, car celle-ci s'applique à toutes les connexions du groupe. Pour savoir comment créer, mettre à jour, associer/dissocier et supprimer un LAG, reportez-vous à la documentation AWS Direct Connect : Groupes d'agrégation des liaisons - AWS Direct Connect.

  • L'utilisation d'un groupe LAG n'engendre aucuns frais supplémentaires.
  • Les solutions groupées de LACP dynamique sont utilisées, mais les modules de LACP statique ne sont pas pris en charge.
  • Des VIF sur deux groupes LAG différents peuvent être connectés à la même VGW. Pour améliorer les temps de basculement entre les chemins lors de l'utilisation de plusieurs LAG, la détection de transfert bidirectionnel (BFD) est prise en charge.

Q : Qu'est-ce que la boîte à outils de résilience d'AWS Direct Connect ?

La boîte à outils de résilience d'AWS Direct Connect fournit un assistant de connexion qui vous aide à choisir entre plusieurs modèles de résilience. Ces modèles vous permettent de déterminer, puis de commander, le nombre de connexions dédiées afin d'atteindre votre objectif d'entente de niveau de service (SLA). Vous sélectionnez un modèle de résilience, et la boîte à outils de résilience d'AWS Direct Connect vous guidera tout au long du processus de commande de la connexion dédiée. Les modèles de résilience sont conçus pour garantir que vous disposez du nombre approprié de connexions dédiées dans plusieurs points d'accès.

Q : Que sont les fonctions de test de basculement d'AWS Direct Connect ?

La fonction de test de basculement d'AWS Direct Connect permet de tester la résilience de votre connexion AWS Direct Connect en désactivant la session Border Gateway Protocol entre vos réseaux sur site et AWS. Vous pouvez utiliser la console de gestion AWS ou l'interface de programme d'application (API) d'AWS Direct Connect. Pour en savoir plus sur ces fonctions, veuillez consulter ce document. Elle est prise en charge dans toutes les régions commerciales AWS (à l'exception de la région GovCloud (US)).

Q : Que sont les communautés de préférences locales pour interfaces virtuelles privées (VIF) ?

L'emplacement des communautés de préférences locales pour interfaces virtuelles privées permet d'influencer le chemin de retour du trafic provenant des VPC.

Q : Que sont les communautés de préférences locales pour interfaces virtuelles privées et de transit (VIF) ? 

L'emplacement des communautés de préférences locales pour interfaces virtuelles privées et de transit permet d'influencer le chemin de retour du trafic provenant des VPC.

Q : Qu'est-ce qu'une passerelle AWS Direct Connect – Apport de votre propre ASN privé ?

Le numéro de système autonome (ASN) privé configurable permet de définir l'ASN du côté d'AWS de la session du protocole de passerelle frontière (BGP) pour les VIF privées ou de transit sur toute passerelle AWS Direct Connect nouvellement créée. Ceci est disponible dans toutes les Régions AWS commerciales (à l'exception de la Région AWS Chine) et AWS GovCloud (US).

Q : Qu'est-ce qu'une interface virtuelle de transit ?

Une interface virtuelle de transit est un type d'interface virtuelle que vous pouvez créer sur toute connexion AWS Direct Connect. Une interface virtuelle de transit ne peut être liée qu'à une passerelle AWS Direct Connect. Vous pouvez utiliser une passerelle AWS Direct Connect associée à une ou plusieurs interfaces virtuelles de transit pour établir une interface avec jusqu'à trois passerelles AWS Transit Gateway dans toutes les Régions AWS prises en charge. De manière similaire à l'interface virtuelle privée, vous pouvez établir une session IPv4 BGP et IPv6 BGP sur une seule interface virtuelle de transit.

Q : Qu'est-ce que la prise en charge multicompte pour la passerelle AWS Direct Connect ?

La prise en charge multicompte pour la passerelle AWS Direct Connect est une fonction qui vous permet d'associer jusqu'à 10 clouds privés virtuels (Amazon VPC) ou jusqu'à trois passerelles AWS Transit Gateway à partir de plusieurs comptes AWS avec une passerelle AWS Direct Connect.

Q : Qu'est-ce que MACsec ?

802.1AE MAC Security (MACsec) est un standard IEEE qui assure la confidentialité des données, leur intégrité et l'authenticité de leur origine. Vous pouvez utiliser les connexions AWS Direct Connect qui prennent en charge MACsec pour chiffrer vos données depuis votre réseau sur sites ou votre appareil colocalisé jusqu'au point de présence AWS Direct Connect de votre choix.

Q : Qu'est-ce qu'AWS Direct Connect SiteLink ?

Lorsque la fonction AWS Direct Connect SiteLink est activée sur deux ou plus de deux points d'accès AWS Direct Connect, vous pouvez envoyer des données entre ces points d'accès, en contournant les régions AWS. AWS Direct Connect SiteLink fonctionne à la fois avec des connexions hébergées et des connexions dédiées.

Q : Est-ce qu'AWS agit comme mon fournisseur en début ou en fin de chaîne pour connecter mes emplacements sur site à AWS ?

Non. Vous devez établir des connexions entre les fournisseurs de services locaux utilisés sur vos emplacements sur site pour vous connecter à AWS.

Haute disponibilité et résilience

Q : Le fait de posséder un groupe d'agrégation de liaisons (LAG) peut-il rendre ma connexion plus résiliente ?

Non, un LAG ne rend pas votre connectivité à AWS plus résiliente. Si vous possédez plus d'une liaison dans votre LAG, et si vos liaisons minimal sont définies sur 1, votre LAG vous protégera contre une seule panne de liaison. Toutefois, vous ne serez pas protégé contre une seule panne d'appareil sur AWS où votre LAG se termine.

Pour atteindre une connectivité hautement disponible à AWS, nous vous conseillons de disposer de connexions à de multiples points d'accès AWS Direct Connect. Pour en savoir plus sur comment atteindre une connectivité réseau hautement disponible, consultez la section Recommandations en matière de résilience AWS Direct Connect.

Q : Comment commander des connexions à AWS Direct Connect pour atteindre une haute disponibilité ?

Pour déterminer le meilleur modèle de résilience pour votre cas d'utilisation, nous vous conseillons de suivre les bonnes pratiques de résilience détaillées dans la section Recommandations en matière de résilience AWS Direct Connect. Après avoir choisi un modèle de résilience, utilisez la boîte à outils de résilience d'AWS Direct Connect pour procéder à une commande de connexions redondantes. AWS vous invite également à utiliser la fonction de test de basculement de la boîte à outils de résilience pour tester vos configurations avant leur mise en service. 

Chaque connexion AWS Direct Connect dédiée consiste en une seule connexion dédiée entre les ports de votre routeur et un périphérique AWS Direct Connect. Nous recommandons d'établir une seconde connexion pour la redondance. Lorsque vous demandez plusieurs ports au même point d'accès AWS Direct Connect, ils seront alloués sur des équipements AWS redondants. 

Si vous avez configuré une connexion VPN IPsec de secours à la place, tout le trafic VPC basculera automatiquement vers cette connexion VPN. Le trafic vers et depuis les ressources publiques, telles que Simple Storage Service (Amazon S3), sera acheminé par Internet. Si vous ne disposez pas d'une liaison AWS Direct Connect de sauvegarde ou d'une liaison VPN IPsec, le trafic Amazon VPC sera interrompu en cas de panne. Le trafic vers et depuis les ressources publiques sera acheminé par Internet.

Q : AWS Direct Connect offre-t-il un contrat de niveau de service (SLA) ?

Oui, AWS Direct Connect offre un SLA. Vous trouverez les détails ici.

Q : Lorsque j'utilise les fonctions de test de basculement, puis-je configurer la durée du test ou annuler le test alors qu'il est en cours ?

Oui, vous pouvez configurer la durée du test en définissant la durée minimale du test sur une minute et la durée maximale sur 180 minutes.  Vous pouvez annuler le test alors qu'il est en cours. Lorsque vous annulez le test, nous restaurons la session Border Gateway Protocol et l'historique de votre test indiquera que le test a été annulé.

Q : Puis-je voir l'historique de mes tests lorsque j'utilise la fonction de test de basculement ? Combien de temps conservez-vous l'historique des tests ?

Oui, vous pouvez consulter votre historique de test à l'aide de la Console de gestion AWS ou via AWS CloudTrail. Nous conservons l'historique de vos tests pendant 365 jours. Si vous supprimez l'interface virtuelle, l'historique de vos tests est aussi supprimé.

Q : Que se passe-t-il lorsqu'un test de basculement est terminé ?

Après la durée du test configurée, nous restaurons la session Border Gateway Protocol entre vos réseaux sur sites et AWS en utilisant les paramètres de session Border Gateway Protocol négociés avant le démarrage du test.

Q : Qui peut initier un test de basculement à l'aide de la boîte à outils de résilience d'AWS Direct Connect ?

Seul le propriétaire du compte AWS qui inclut l'interface virtuelle peut initier le test.

Q : Puis-je supprimer l'interface virtuelle tandis que le test de basculement de cette même interface virtuelle est en cours ?

Oui, vous pouvez supprimer l'interface virtuelle alors que le test de cette même interface virtuelle est en cours.

Q : Puis-je exécuter des tests de basculement pour tout type d'interface virtuelle ?

Oui, vous pouvez exécuter des tests pour les sessions Border Gateway Protocol établies en utilisant n'importe quel type d'interface virtuelle.

Q : J'ai établi des sessions Border Gateway Protocol IPv4 et IPv6. Puis-je exécuter ce test pour chaque session Border Gateway Protocol ?

Oui, vous pouvez initier un test pour une ou les sessions Border Gateway Protocol.

Q : Ai-je besoin de nouvelles connexions AWS Direct Connect pour utiliser AWS Direct Connect SiteLink, et doivent-elles être du même type ?

Vous pouvez utiliser AWS Direct Connect SiteLink avec vos connexions AWS Direct Connect existantes. Cela fonctionne avec n'importe quel type de connexion AWS Direct Connect (dédiée ou hébergée).

Q : Où et comment puis-je configurer AWS Direct Connect SiteLink ?

Vous activez et désactivez AWS Direct Connect SiteLink lors de la configuration d'interfaces virtuelles (VIF). Pour établir une connexion à l'aide d'AWS Direct Connect SiteLink, vous devez l'activer sur deux VIF ou plus, à deux points d'accès AWS Direct Connect ou plus. Vous devez lier tous les emplacements à la même passerelle AWS Direct Connect. Vous pouvez configurer votre VIF pour activer ou désactiver AWS Direct Connect SiteLink à l'aide de la console de gestion AWS, d'AWS Command Line Interface, ou d'API. AWS Direct Connect SiteLink est intégré avec AWS CloudWatch afin que vous puissiez surveiller le trafic envoyé sur ce lien.

Q : Est-ce qu'AWS Direct Connect SiteLink nécessite une connexion de passerelle AWS Direct Connect ?

Oui. Pour utiliser AWS Direct Connect SiteLink, vous devez connecter les interfaces virtuelles (VIF) AWS Direct Connect SiteLink à une passerelle AWS Direct Connect. Le type de VIF peut être privé ou de transit.

Q : Comment puis-je savoir ce qui m'est facturé pour AWS Direct Connect SiteLink ?

Sur les relevés de facturations, les frais liés à AWS Direct Connect SiteLink apparaîtront sur une ligne distincte des autres frais liés à AWS Direct Connect.

Q : À quoi ressemble une architecture réseau simple à deux sites avec AWS Direct Connect SiteLink ?

Pour créer un réseau simple, configurez une interface virtuelle (VIF) privée et activez AWS Direct Connect SiteLink sur cette VIF sur chaque site. Créez ensuite une passerelle AWS Direct Connect et associez-lui chacune de vos VIF AWS Direct Connect SiteLink afin de créer un réseau.

Q : Comment puis-je implémenter une architecture de réseau en étoile avec AWS Direct Connect SiteLink ?

Pour créer une architecture de réseau en étoile, créez une passerelle AWS Direct Connect et associez-la avec vos VIF privés AWS Direct Connect SiteLink.

Q : Comment puis-je créer une architecture de réseau segmenté avec AWS Direct Connect SiteLink ?

Mettez en place plusieurs passerelles AWS Direct Connect, et associez à chacune d'elle des sous-ensemble d'interfaces virtuelles (VIF) privées AWS Direct Connect SiteLink. Les VIF AWS Direct Connect SiteLink sur une passerelle AWS Direct Connect ne peuvent pas communiquer avec les VIF AWS Direct Connect SiteLink qui sont sur une autre passerelle AWS Direct Connect, ce qui créé un réseau segmenté.

Q : Quels types d'interfaces virtuelles (VIF) sont prises en charge par AWS Direct Connect SiteLink ?

AWS Direct Connect SiteLink est pris en charge sur les VIF privées et de transit. Cependant, vous ne pouvez pas lier une passerelle AWS Direct Connect (DXGW) à une passerelle AWS Transit Gateway lorsque la passerelle AWS Direct Connect était précédemment associée à une passerelle réseau privé virtuel ou est liée à une interface virtuelle privée.

Q : Est-ce qu'AWS Direct Connect SiteLink nécessite un BGP ?

Oui. AWS Direct Connect SiteLink nécessite un BGP.

Q : Est-ce qu'AWS Direct Connect SiteLink prend en charge IPv6 ?

Oui. AWS Direct Connect SiteLink prend en charge IPv6.

Q : Est-ce qu'AWS Direct Connect SiteLink prend en charge MACsec ?

Oui. AWS Direct Connect SiteLink prend en charge MACsec à condition que le port et l'emplacement du point de présence prennent en charge le chiffrement MACsec.

Q : Est-ce que la qualité de service (QoS) est prise en charge par les interfaces virtuelles (VIF) AWS Direct Connect SiteLink ?

AWS Direct Connect ne fournit pas de fonctionnalité de QoS gérée. Lorsque vous configurez la QoS sur des appareils qui sont connectés à l'aide d'AWS Direct Connect SiteLink, les marquages DSCP seront préservés sur le trafic transféré.

Q : Est-ce qu'AWS Direct Connect SiteLink prend en charge les communautés BGP de préférences locales ?

Oui. Vous pouvez utiliser des balises de préférences locales AWS Direct Connect existantes avec AWS Direct Connect SiteLink. Les balises de communautés BGP de préférences locales prises en charge sont les suivantes :
7224:7100 - Faible préférence
7224:7200 - Préférence medium
7224:7300 - Préférence élevée

Q : Quand dois-je utiliser AWS Direct Connect SiteLink et quand dois-je utiliser AWS Cloud WAN ?

Selon votre cas d'utilisation, vous l'un, l'autre ou les deux. Cloud WAN, actuellement disponible en version préliminaire, peut créer et gérer des réseaux de VPC sur plusieurs Régions. AWS Direct Connect SiteLink, quant à lui, connecte les emplacements DX entre eux, en contournant les Régions AWS pour améliorer les performances. AWS Direct Connect est l'une des multiples options de connectivité que vous pourrez utiliser à l'avenir avec un réseau cloud WAN.

AWS Local Zones

Q : Puis-je utiliser AWS Direct Connect pour accéder aux ressources qui s'exécutent dans AWS Local Zones ?

Oui, lors de l'utilisation d'AWS Direct Connect, vous pouvez vous connecter aux VPC déployés dans AWS Local Zones. Vos données entrent et sortent directement dans AWS Local Zones par le biais d'une connexion AWS Direct Connect, sans passer par une région AWS. Cela permet d'améliorer les performances et de réduire la latence.

Q : Comment puis-je configurer le service AWS Local Zones pour qu'il fonctionne avec AWS Direct Connect ?

Un lien AWS Direct Connect vers AWS Local Zones fonctionne de la même manière que la connexion à une région.

Pour vous connecter à une région, commencer par étendre votre VPC de la région parente aux AWS Local Zones en créant un sous-réseau et en l'attribuant à la zone locale AWS. (Pour en savoir plus sur cette procédure, reportez-vous à la page Étendre un VPC à une zone locale, une zone Wavelength ou un Outpost de notre documentation.) Puis, associez votre passerelle privée virtuelle (VGW) à une interface virtuelle privée AWS Direct Connect ou à une passerelle AWS Direct Connect pour établir la connexion. (Pour en savoir plus, référez-vous à la section Associations de la passerelle privée virtuelle de notre documentation.)

Vous pouvez également vous connecter à AWS Local Zones à l'aide d'interface virtuelles publiques AWS Direct Connect qui utilisent une passerelle Internet (IGW).

Q : Existe-il des différences dans la manière dont AWS Direct Connect se connecte à une zone locale AWS par rapport à une région ?

Oui, il existe des différences. AWS Local Zones ne prend pas en charge AWS Transit Gateway pour le moment. Si vous vous connectez au sous-réseau d'une zone locale AWS par l'intermédiaire d'AWS Transit Gateway, votre trafic entre dans la région parente, est traité par votre AWS Transit Gateway, est envoyé à la zone locale AWS, puis reviens de la région (ou enchaîne des va-et-vient). Deuxièmement, les destinations de routage d'entrée ne vous acheminent pas directement à AWS Local Zones. Le trafic entre d'abord dans la région parente avant que vous ne vous reconnectiez à votre AWS Local Zones. Troisièmement, contrairement à la région, où la taille maximale de l'unité de transmission (MTU) est de 9001, la taille maximale de la MTU pour que le paquet puisse se connecter à Local Zones est de 1468. La découverte de la MTU du chemin est prise en charge et recommandée. Enfin, la limite de flux unique (5 tuples) pour la connectivité vers une zone locale AWS est d'environ 2,5 Gbit/s pour la MTU maximale (1468), contre 5 Gbit/s pour la région. REMARQUE : les limites de la taille de la MTU et du flux unique ne s'appliquent pas à la connectivité AWS Direct Connect vers la zone locale AWS de Los Angeles.

Q : Puis-je utiliser AWS Site-to-Site VPN en tant que sauvegarde de mon lien AWS Direct Connect vers une zone locale AWS ?

Non. Contrairement à la connectivité vers une région, vous ne pouvez pas utiliser AWS Site-to-Site VPN en tant que sauvegarde vers votre connexion AWS Direct Connect vers une zone locale AWS. À des fins de redondance, vous devez utiliser au moins deux connexions AWS Direct Connect.

Q : Puis-je utiliser ma passerelle AWS Direct Connect (DXGW) actuelle pour associer la passerelle virtuelle (VGW) ?

Oui, à condition que la passerelle AWS Direct Connect actuelle ne soit pas associée à une AWS Transit Gateway. Étant donné qu'AWS Transit Gateway n'est pas pris en charge dans AWS Local Zones (et qu'une DXGW qui est associée à une AWS Transit Gateway ne peut pas être associée à une VGW), vous ne pouvez pas associer une DXGW à une AWS Transit Gateway. Vous devez créer une DXGW, puis l'associer à la VGW.

Interopérabilité des services

Q : Puis-je utiliser simultanément la même connexion réseau privée avec Amazon Virtual Private Cloud (VPC) et les autres services AWS ?

Oui. Chaque connexion AWS Direct Connect peut être configurée avec une ou plusieurs interfaces virtuelles. Les interfaces virtuelles peuvent être configurées pour accéder aux services AWS, tels qu'Amazon EC2 et Simple Storage Service (Amazon S3), qui utilisent l'espace à adresse IP publique, ou aux ressources d'un VPC utilisant l'espace à adresse IP privée.

Q : Si j'utilise Amazon CloudFront et que mon origine se situe dans mon propre centre de données, puis-je utiliser AWS Direct Connect pour transférer les objets stockés dans mon propre centre de données ?

Oui. Amazon CloudFront prend en charge les origines personnalisées, y compris les origines que vous exécutez hors d'AWS. L'accès aux emplacements périphériques CloudFront sera restreint à la région AWS la plus proche géographiquement, à l'exception des régions en Amérique du Nord, qui autorisent actuellement l'accès à toutes les origines CloudFront de la région Amérique du Nord. Vous pouvez y accéder à l'aide d'interfaces virtuelles privées sur la connexion AWS Direct Connect. Avec AWS Direct Connect, vous paierez les tarifs de transfert de données AWS Direct Connect pour les transferts d'origine.

Après avoir accédé au réseau mondial AWS via un emplacement Direct Connect, votre trafic reste sur le réseau de base d'Amazon. Les préfixes des emplacements CloudFront qui ne se trouvent pas sur le réseau de base d'Amazon ne seront pas publiés au moyen de Direct Connect. Vous trouverez plus d'informations sur les préfixes d'adresses IP publiés et la politique de routage de Direct Connect sur cette page.

Q : Puis-je commander un port pour la région AWS GovCloud (US) dans la console de gestion AWS ?

Pour commander un port pour vous connecter à AWS GovCloud (US), vous devez utiliser la console de gestion AWS GovCloud (US).

Q : Est-ce que les préfixes du point de terminaison AWS Global Accelerator (AGA) sont annoncés depuis AWS vers le site sur des interfaces virtuelles publiques Direct Connect ?

R : Oui. L'interface virtuelle publique Direct Connect annoncera les préfixes AnyCast utilisés par les points de terminaison public AGA.

Q : Combien peut-il y avoir de liaisons dans un groupe LAG ?

Un groupe LAG peut contenir jusqu'à 4 liaisons.

Q : Les groupes LAG sont-ils en mode actif/actif ou actif/passif ?

Ils sont configurés en mode actif/actif. Cela signifie que les ports AWS envoient en continu des unités de données du protocole de contrôle d'agrégation de liaisons (LACPDU). 

Q : L'unité de transmission maximale d'un LAG peut-elle changer ?

L'unité de transmission maximale peut être changée. Pour en savoir plus, veuillez consulter la documentation Jumbo Frame ici.

Q : Puis-je configurer mes ports en mode actif/passif plutôt qu'en mode actif/actif ?

Le LAG à votre point de terminaison peut être configuré en mode LACP actif ou passif. Le côté AWS est toujours configuré en mode LACP actif.

Q : Puis-je bénéficier de plusieurs types d'interfaces, de quelques ports 1 G et de quelques ports 10 G sur le même LAG ?

Non. Un LAG doit utiliser un seul type de ports (1 G ou 10 G).

Q : Sur quels types de ports le LAG sera-t-il disponible ?

Il sera disponible pour les ports de connexion dédiés 1 G, 10 G et 100 G.

Q : Puis-je bénéficier également de connexions hébergées par le LAG ?

Non. Ce ne sera uniquement disponible pour les ports de connexion dédiés 1 G, 10 G et 100 G. Ce ne sera pas disponible pour les connexions hébergées.

Q : Puis-je créer un LAG en dehors de mes ports existants ?

Oui, si vos ports se trouvent sur le même périphérique AWS Direct Connect. Notez que vos ports seront temporairement désactivés durant leur reconfiguration en tant que LAG. Pour qu'ils soient de nouveau fonctionnels, le LAG devra être configuré de votre côté.

Q : Puis-je disposer d'un LAG qui couvre plusieurs périphériques AWS Direct Connect ?

Le LAG ne comportera que des ports figurant sur les mêmes périphériques AWS Direct Connect. Nous ne prenons pas en charge les LAG multi-châssis.

Q : Comment ajouter des liaisons à mon LAG une fois qu'il est configuré ?

Vous devez demander un autre port pour votre LAG. Si aucun port n'est disponible sur le même périphérique, vous devez commander un nouveau LAG et migrer vos connexions. Par exemple, si vous disposez de 3 liaisons 1 G et que vous souhaitez en ajouter une quatrième, mais qu'aucun port n'est disponible sur ce périphérique, vous devez commander un nouveau LAG constitué de 4 ports 1 G.

Q : Vous êtes à court de ports. Je dois commander un nouveau LAG, mais j'ai configuré des interfaces virtuelles (VIF). Comment puis-je les migrer ?

Vous pouvez disposer de plusieurs interfaces virtuelles liées à une VGW et vous pouvez configurer des VIF sur une connexion (même si celle-ci n'est pas active). Nous vous suggérons de créer tous les VIF sur votre nouveau LAG, puis d'y migrer les connexions. N'oubliez pas de supprimer les anciennes connexions pour qu'elles ne vous soient plus facturées.

Q : Puis-je supprimer un port unique de mon LAG ?

Oui, mais uniquement si vous avez défini un nombre de liaisons minimal inférieur au nombre de ports restants. Par exemple, si vous possédez quatre ports et que le nombre minimal de liaisons est défini sur quatre, vous ne pouvez pas supprimer de port de votre LAG. Si le nombre minimal de liaisons est défini sur trois, vous pouvez supprimer un port du LAG. Nous vous enverrons une notification indiquant le panneau/port spécifique que vous avez supprimé, ainsi qu'un rappel pour déconnecter le raccordement transversal et le circuit d'AWS.

Q : Puis-je supprimer mon module LAG une bonne fois pour toutes ?

Oui, mais comme pour une connexion habituelle, vous ne pourrez pas le supprimer si vous avez configuré des VIF.

Q : Si je ne dispose que de deux ports dans mon LAG, puis-je en supprimer un ?

Oui, un seul port peut suffire dans un LAG.

Q : Puis-je commander un LAG qui ne comporte qu'un seul port ?

Oui. Veuillez noter que nous ne pouvons garantir que d'autres ports seront disponibles sur le même châssis si vous souhaitez en ajouter par la suite.

Q : Puis-je reconvertir un LAG en plusieurs ports individuels ?

Oui. Via l'appel d'API DisassociateConnectionWithLag. 

Pouvez-vous créer un outil pour migrer mes interfaces virtuelles (VIF) à ma place ?

Pour effectuer cette opération, vous pouvez utiliser l'API AssociateVirtualInterface ou la console.

Q : Le LAG apparaît-il comme une connexion unique ou un ensemble de connexions ?

Il apparaîtra comme un dxlag unique et nous indiquerons en dessous de lui les identifiants de connexion.

Q : Qu'est-ce que le nombre de liaisons minimal et pourquoi une case à cocher lui est-elle associée lorsque je commande mon module ?

Le nombre de liaisons minimal est une fonction dans LACP via laquelle vous pouvez définir le nombre minimal de liaisons actives dans une solution groupée pour que celle-ci soit active et qu'elle permette au trafic de transiter. Par exemple, si vous disposez de quatre ports, que votre nombre minimal de liaisons est défini sur trois et que seuls deux de ces ports sont actifs, votre solution groupée ne le sera pas. Si vous en possédez trois ou plus, la solution groupée sera active et permettra au trafic de transiter si une VIF est configurée.

Si vous ne sélectionnez pas de nombre de liaisons minimal, sa valeur sera définie par défaut sur zéro. Vous pouvez modifier cette valeur après avoir configuré la solution groupée, à l'aide de la console de gestion AWS ou d'une API.

Q : Lorsque j'associe ma connexion AWS Direct Connect avec un LAG, qu'advient-il des interfaces virtuelles (VIF) auparavant créées avec une connexion ?

Lorsqu'une connexion AWS Direct Connect avec des interfaces virtuelles (VIF) existantes est associée à un LAG, les interfaces virtuelles migrent vers le LAG. Veuillez noter que certains paramètres associés aux interfaces virtuelles, tels que les numéros VLAN, doivent être uniques afin d'assurer la migration vers un LAG.

Q : Puis-je définir un lien comme étant prioritaire ?

Toutes les liaisons sont mises sur un pied d'égalité. Aucune n'est prioritaire.

Q : Puis-je disposer d'une interface 40 GE de mon côté qui se connecte à 4 interfaces 10 GE côté AWS ?

Pour faire ceci, vous devez disposer de 4 interfaces 10 GE sur votre routeur pour vous connecter à AWS. Une seule interface 40 GE se connectant à un LACP de 4 interfaces 10 GE n'est pas prise en charge.

Facturation

Q : Y a-t-il des frais de configuration ou une période d'engagement minimum requis pour utiliser AWS Direct Connect ?

Il n'y a pas de frais de configuration et vous pouvez annuler à n'importe quel moment. Les services fournis par les partenaires AWS Direct Connect peuvent appliquer d'autres conditions ou restrictions.

Q : Comment mon utilisation d'AWS Direct Connect me sera-t-elle facturée ?

L'utilisation d'AWS Direct Connect fait l'objet de deux facturations distinctes : l'une est calculée en heure-port consommées et l'autre en fonction de vos transferts de données. La tarification est calculée par heure-port consommée pour chaque type de port. Les heures-port partiellement consommées sont facturées comme des heures entières. Le compte qui possède le port sera facturé pour les frais en heure-port.

Le transfert de données via AWS Direct Connect vous sera facturé le même mois que celui de votre utilisation. Pour mieux comprendre la facturation du transfert de données, consultez les informations supplémentaires ci-après.

Q : Les transferts régionaux de données seront-ils facturés aux tarifs AWS Direct Connect ?

Non, les transferts de données entre les zones de disponibilité d'une Région sont facturés au tarif normal des transferts régionaux de données pour le mois de leur utilisation.

Q : Qu'est-ce qui définit les heures-port facturables pour les connexions hébergées ?

Les heures-port sont facturées une fois que vous avez accepté la connexion hébergée. Les frais par port continueront d'être facturés tant que la connexion hébergée est allouée pour votre usage. Si vous ne souhaitez plus être facturé pour votre connexion hébergée, veuillez contacter le partenaire AWS Direct Connect pour annuler la connexion hébergée.

Q : Quel est le format des frais de connexion hébergée heure-port ?

Tous les frais d'heure-port de connexion hébergée à un point d'accès AWS Direct Connect sont regroupés par capacité.

Par exemple, dans le cas de la facture d'un client avec deux connexions hébergées de 200 Mbit/s séparées à un point d'accès AWS Direct Connect, et aucune autre connexion hébergée à ce point d'accès. Les frais d'heure-port pour les deux connexions hébergées de 200 Mbit/s séparées seront résumés sous un seul élément avec une étiquette se terminant par « HCPortUsage:200M ». Pour un mois avec un total de 720 heures, le total des heures-port pour cet élément sera de 1 440, soit le nombre total d'heures dans le mois multiplié par le nombre total de connexions hébergées à 200 Mbit/s à ce point d'accès.

Voici les identificateurs de capacité de connexion hébergée pouvant apparaître sur votre facture :

HCPortUsage:50M
HCPortUsage:100M
HCPortUsage:200M
HCPortUsage:300M
HCPortUsage:400M
HCPortUsage:500M
HCPortUsage:1G
HCPortUsage:2G
HCPortUsage:5G
HCPortUsage:10G

Notez que ces identificateurs de capacité apparaîtront par emplacement en fonction des capacités de connexion hébergée dont vous disposez à chaque emplacement.

Q : Quel compte AWS est facturé pour les transferts de données sortants effectués via une interface virtuelle publique ?

Pour les ressources AWS adressables publiquement (par exemple les compartiments Simple Storage Service (Amazon S3), les instances EC2 Classic ou le trafic EC2 passant par une passerelle Internet), si le trafic sortant est destiné à des préfixes publics détenus par le même compte AWS souscripteur et activement annoncés sur AWS via une interface virtuelle publique AWS Direct Connect, la consommation du transfert de données sortant (Data Transfer Out, DTO) est mesurée pour le propriétaire de la ressource au tarif du transfert de données d'AWS Direct Connect.

Pour en savoir plus sur la tarification d'AWS Direct Connect, reportez-vous à la page de tarification d'AWS Direct Connect. Si vous utilisez un partenaire AWS Direct Connect pour faciliter une connexion AWS Direct Connect, contactez-le pour obtenir des informations sur les frais qu'il est susceptible de vous facturer.

Q : Quel compte AWS est facturé pour les transferts de données sortants effectués via une interface virtuelle de transit/privée ?

Avec l'introduction d'une fonction granulaire d'allocation de transfert de données sortant, le compte AWS responsable du transfert de données sortant sera facturé pour le transfert de données sortant effectué via une interface virtuelle de transit/privée. Le compte AWS à l'origine du transfert de données sortant sera déterminé en fonction de l'utilisation de l'interface virtuelle de transit/privée, comme suit :

La ou les interfaces virtuelles privées sont utilisées pour faire la jonction avec un ou plusieurs clouds privés virtuels Amazon, avec ou sans passerelle AWS Direct Connect. Dans le cas de l'interface virtuelle privée, le compte AWS détenant les ressources AWS et étant responsable du transfert de données sortant sera facturé.

La ou les interfaces virtuelles de transit sont utilisées pour faire la jonction avec une passerelle AWS Transit Gateway. Dans le cas d'une interface virtuelle de transit, le compte AWS détenant le ou les clouds privés virtuels Amazon liés à une passerelle AWS Transit Gateway associée à la passerelle AWS Direct Connect liée à l'interface virtuelle de transit sera facturé. Notez que tous les frais applicables spécifiques à une passerelle AWS Transit Gateway (traitement des données et attachement) s'ajouteront au transfert de données sortant d'AWS Direct Connect.

Q : Comment AWS Direct Connect fonctionne-t-il avec la facturation consolidée ?

Les transferts de données AWS Direct Connect effectués sont regroupés sous votre compte de gestion.

Q : Comment puis-je annuler le service AWS Direct Connect ?

Vous pouvez annuler AWS Direct Connect en supprimant vos ports dans la console de gestion AWS. Annulez également le ou les services achetés par un tiers. Par exemple, contactez le fournisseur de colocalisation pour déconnecter tout raccordement transversal vers AWS Direct Connect ou un fournisseur de service réseau qui propose une connectivité réseau entre vos points d'accès distants et le point d'accès AWS Direct Connect.

Q : Vos prix sont-ils toutes taxes comprises ?

Sauf indication contraire, nos prix n'incluent pas les taxes et redevances applicables, ni la TVA et les taxes de vente applicables. Pour les clients dont l'adresse de facturation est située au Japon, l'utilisation de services AWS est soumise à la taxe sur la consommation applicable dans ce pays. En savoir plus.

Spécifications

Q : Quelles sont les vitesses de connexion disponibles ?

Pour les connexions dédiées, des ports 1 Gbit/s, 10 Gbit/s et 100 Gbit/s sont disponibles. Pour les connexions hébergées, des vitesses de connexion de 50 Mbit/s, 100 Mbit/s, 200 Mbit/s, 300 Mbit/s, 400 Mbit/s, 500 Mbit/s, 1 Gbit/s, 2 Gbit/s, 5 Gbit/s et 10 Gbit/s peuvent être commandées auprès de partenaires AWS Direct Connect agréés. Pour plus d'informations, consultez la page Partenaires AWS Direct Connect. 

Q : La quantité de données que je peux transférer en utilisant AWS Direct Connect est-elle limitée ?

Vous pouvez transférer autant de données que vous le souhaitez jusqu'à la limite de la capacité du port que vous avez sélectionné.

Q : Existe-t-il des limites au nombre de routes que je peux annoncer vers AWS à l'aide d'AWS Direct Connect ?

Oui, vous pouvez annoncer jusqu'à 100 routes via chaque session Border Gateway Protocol avec AWS Direct Connect. En savoir plus sur les limites d'AWS Direct Connect.

Q : Qu'arrive-t-il si j'annonce plus de 100 routes via une session Border Gateway Protocol ?

Votre session Border Gateway Protocol sera interrompue si vous annoncez plus de 100 routes via une session Border Gateway Protocol. De ce fait, le trafic réseau ne pourra transiter sur cette interface virtuelle que si vous réduisez le nombre de routes à moins de 100.

Q : Quelles sont les exigences techniques pour la connexion ?

AWS Direct Connect prend en charge les connexions 1000BASE-LX, 10GBASE-LR ou 100GBASE-LR4 sur fibre monomode utilisant le transport Ethernet. Votre dispositif doit prendre en charge les VLAN 802.1Q. Pour en savoir plus sur les exigences requises, consultez le guide de l'utilisateur AWS Direct Connect.

Q : Puis-je étendre l'un de mes réseaux VLAN au cloud AWS en utilisant AWS Direct Connect ?

Non, les réseaux VLAN sont utilisés dans AWS Direct Connect uniquement pour séparer le trafic entre les interfaces virtuelles.

Q : Quelles sont les exigences techniques pour les interfaces virtuelles accédant à des services AWS publics tels qu'Amazon EC2 et Simple Storage Service (Amazon S3) ?

  • Cette connexion nécessite l'utilisation du protocole de passerelle frontière (BGP) avec un numéro de système autonome (ASN) et des préfixes IP. Vous aurez besoin des informations suivantes pour établir la connexion :
  • Un ASN public ou privé. Si vous utilisez un ASN public, vous devez en être propriétaire. Si vous utilisez un ASN privé, il doit figurer dans la plage 64512 à 65535.
  • Une nouvelle identification VLAN non utilisée que vous sélectionnez.
  • Des adresses IP publiques (/31 ou /30) allouées à la session BGP. La RFC 3021 (utilisant des préfixes 31 bits sur les liaisons point à point IPv4) est prise en charge sur tous les types d'interfaces virtuelles Direct Connect.
  • Par défaut, Amazon annoncera les préfixes globaux d'adresses IP publiques via BGP. Vous devez annoncer les préfixes d'adresses IP publiques (/31 ou inférieurs) qui vous appartiennent ou qui sont fournis par AWS via BGP. Pour en savoir plus, consultez le guide de l'utilisateur AWS Direct Connect.
  • Reportez-vous aux informations ci-dessous pour plus de détails sur AWS Direct Connect, Ajout de votre propre ASN.

Q : Quelle adresse IP sera attribuée à chacune des terminaisons d'une interface virtuelle ?

Si vous configurez une interface virtuelle au Cloud AWS publique, les adresses IP des terminaisons de la connexion doivent être allouées depuis un espace d'adresse IP publique qui vous appartient. Si l'interface virtuelle est connectée à un VPC et que vous décidez qu'AWS génère automatiquement le CIDR d'IP pair, l'espace d'adresse IP pour les deux terminaisons de la connexion sera alloué par AWS dans la plage 169.254.0.0/16.

Q : Puis-je placer mon matériel à proximité d'équipements utilisant AWS Direct Connect ?

Vous pouvez vous procurer de l'espace rack au sein de l'installation hébergeant le point d'accès AWS Direct Connect et déployer votre équipement à proximité. Cependant, en raison de pratiques de sécurité, votre équipement ne peut pas être placé dans les zones de rack ou de cage AWS Direct Connect. Pour en savoir plus, contactez l'opérateur de votre installation. Une fois l'équipement déployé, vous pouvez le connecter à AWS Direct Connect en utilisant un raccordement transversal.

Q : Comment activer le protocole BFD sur ma connexion AWS Direct Connect ?

Le protocole BFD asynchrone est automatiquement activé pour chaque interface virtuelle AWS Direct Connect, mais ne prend effet que lorsqu'il est configuré sur votre routeur. AWS a défini l'intervalle minimum de détection de présence du protocole BFD sur 300, et le multiplicateur de détection de présence du protocole BFD sur 3.

Q : Comment configurer AWS Direct Connect pour la Région AWS GovCloud (US) ?

Consultez le guide de l'utilisateur AWS GovCloud (US) pour des instructions détaillées sur la configuration d'AWS Direct Connect dans la Région AWS GovCloud (US). 

Q : Quelles sont les exigences techniques des interfaces virtuelles (VIF) accédant aux VPC ?

AWS Direct Connect requiert le protocole de passerelle frontière (BGP). Pour établir la connexion, vous aurez besoin des informations suivantes :

• Un ASN public ou privé. Si vous utilisez un ASN public, vous devez en être propriétaire. Si vous utilisez un ASN privé, il doit figurer dans la plage 64512 à 65535.
• Une balise de réseau local virtuel (VLAN) nouvelle, non utilisée, de votre choix.
• L'ID de la passerelle réseau privé virtuel (VGW) VPC
• AWS affectera des adresses IP privées (/30) dans la plage 169.x.x.x pour la session BGP et communiquera le bloc d'adresse CIDR VPC via le protocole BGP. Vous pouvez communiquer le routage par défaut via BGP.

Q : Puis-je établir une connexion de couche 2 entre le VPC et mon réseau ?

Non, les connexions de couche 2 ne sont pas prises en charge.

Connexions VPN

Q : En quoi AWS Direct Connect diffère-t-il d'une connexion VPN IPsec ?

Une connexion VPN utilise IPsec pour établir une connectivité réseau chiffrée entre votre intranet et un VPC Amazon via l'Internet public. Les connexions VPN peuvent être configurées en quelques minutes et sont une bonne solution si vous avez un besoin immédiat, des exigences de bande passante faibles ou modestes et pouvez tolérer la variabilité inhérente à la connectivité basée sur Internet. AWS Direct Connect n'implique pas Internet. Il utilise des connexions réseau privées dédiées entre votre réseau et AWS.

Q : Puis-je utiliser simultanément AWS Direct Connect et une connexion VPN pour le même VPC ?

Oui, mais uniquement pour le basculement. Le chemin AWS Direct Connect sera toujours privilégié, lorsqu'il est établi, quel que soit l'ajout de chemin d'accès du système autonome. Assurez-vous que vos connexions VPN peuvent traiter le trafic de basculement provenant d'AWS Direct Connect.

Q : Y a-t-il une différence en ce qui concerne les détails de configuration BGP définis pour AWS Direct Connect ?

Le BGP sur VPN fonctionne de la même façon que sur AWS Direct Connect.

Prise en charge des passerelles AWS Transit Gateway

Q : Quelles régions AWS offrent une prise en charge d'AWS Direct Connect pour les passerelles AWS Transit Gateway ?

La prise en charge des passerelles AWS Transit Gateway est disponible dans toutes les Régions AWS commerciales.

Q : Comment créer une interface virtuelle de transit ?

Vous pouvez utiliser la Console de gestion AWS ou les opérations API pour créer une interface virtuelle de transit.

Q : Puis-je allouer une interface virtuelle de transit à un autre compte AWS ?

Oui, vous pouvez allouer une interface virtuelle de transit à un autre compte AWS.

Q : Puis-je associer une interface virtuelle de transit à ma passerelle réseau privé virtuel ?

Non, vous ne pouvez pas attacher une interface virtuelle de transit à votre passerelle réseau privé virtuel.

Q : Puis-je associer une interface virtuelle privée à ma passerelle AWS Transit Gateway ?

Non, vous ne pouvez pas associer d'interface virtuelle privée à votre passerelle AWS Transit Gateway.

Q : Quels sont les quotas associés à l'interface virtuelle de transit ?

Pour en savoir plus sur les limites associées à l'interface virtuelle de transit, veuillez consulter la page sur les quotas AWS Direct Connect. 

Q : Puis-je ajouter des interfaces virtuelles de transit à la connexion ?

Non, vous ne pouvez créer qu'une seule interface virtuelle de transit pour toute connexion AWS Direct Connect.

Q : Une passerelle AWS Direct Connect est connectée à une interface virtuelle privée. Puis-je associer une interface virtuelle de transit à cette passerelle AWS Direct Connect ?

Non, une passerelle AWS Direct Connect ne peut avoir qu'un seul type d'interface virtuelle associé.

Q : Puis-je associer ma passerelle AWS Transit Gateway à la passerelle AWS Direct Connect associée à une interface virtuelle privée ?

Non, une passerelle AWS Transit Gateway ne peut être associée qu'à la passerelle AWS Direct Connect associée à l'interface virtuelle de transit.

Q : Combien de temps faut-il pour associer une passerelle AWS Transit Gateway à une passerelle AWS Direct Connect ?

L'association d'une passerelle AWS Transit Gateway avec une passerelle AWS Direct Connect peut prendre jusqu'à 40 minutes.

Q : Au total, combien d'interfaces virtuelles puis-je créer par connexion dédiée de 1 Gbit/s, 10 Gbits/s ou 100 Gbits/s ?

Vous pouvez créer jusqu'à 51 interfaces virtuelles par connexion dédiée de 1 Go/s, 10 Go/s ou 100 Go/s, y compris l'interface virtuelle de transit.

Q : Puis-je créer une interface virtuelle de transit sur une connexion hébergée quelle que soit sa vitesse ?

Oui.

Q : J'ai un groupe LAG 4x10 Go/s. Combien d'interfaces virtuelles de transit puis-je créer sur ce groupe d'agrégation de liaisons (LAG) ?

Vous pouvez créer une interface virtuelle de transit sur un LAG 4x10G.

Q : Une interface virtuelle de transit prend-elle en charge les trames jumbo ?

Oui, une interface virtuelle de transit prend en charge les trames jumbo. La taille maximale de l'unité de transmission (MTU) est de 8 500.

Q : Sur l'interface virtuelle de transit, prenez-vous en charge tous les attributs Border Gateway Protocol (BGP) pris en charge sur l'interface virtuelle privée ?

Oui, vous pouvez continuer à utiliser les attributs BGP pris en charge (AS_PATH, Local Pref, NO_EXPORT) sur l'interface virtuelle de transit.

Passerelle AWS Direct Connect

Q : Pourquoi une passerelle AWS Direct Connect est-elle nécessaire ?

Une passerelle AWS Direct Connect exécute plusieurs fonctions :

  • La passerelle AWS Direct Connect sert d'interface avec les VPC de toutes les Régions AWS (sauf la Région Chine). Vos connexions AWS Direct Connect pourront donc servir d'interface avec plusieurs Régions AWS.
  • Vous pouvez partager une interface virtuelle privée pour faire l'interface avec un maximum de 10 VPC afin de réduire le nombre de sessions Border Gateway Protocol entre votre réseau sur sites et les déploiements AWS.
  • En attachant une ou plusieurs interfaces virtuelles de transit (VIF) à une passerelle AWS Direct Connect et en associant une ou plusieurs passerelles AWS Transit Gateway à la passerelle Direct Connect, vous pouvez partager les interfaces virtuelles de transit pour établir la connexion avec un maximum de trois passerelles AWS Transit Gateway. Cela permet de réduire le nombre de sessions Border Gateway Protocol entre votre réseau sur sites et les déploiements AWS. Une fois qu'une VIF de transit est connectée à une passerelle AWS Direct Connect, cette passerelle ne peut pas héberger une autre VIF privée, elle devient dédiée à la VIF de transit.
  • Vous pouvez associer plusieurs passerelles réseau privé virtuel (VGW, associées à un VPC) à une passerelle AWS Direct Connect tant que les blocs d'adresse CIDR IP du VPC Amazon associé à la passerelle réseau privé virtuel ne se superposent pas.

Q : Puis-je associer plus d'une passerelle AWS Transit Gateway à une passerelle AWS Direct Connect ?

Vous pouvez associer jusqu'à trois passerelles Transit Gateway à une passerelle AWS Direct Connect tant que les blocs d'adresse CIDR IP annoncés à partir de vos passerelles Transit Gateway ne se superposent pas.

Q : Puis-je associer des VPC appartenant à n'importe quel compte AWS à une passerelle AWS Direct Connect appartenant à n'importe quel compte AWS ?

Oui, vous pouvez associer des VPC appartenant à n'importe quel compte AWS à une passerelle AWS Direct Connect appartenant à n'importe quel compte AWS.

Q : Puis-je associer une passerelle AWS Transit Gateway appartenant à n'importe quel compte AWS à une passerelle AWS Direct Connect appartenant à n'importe quel compte AWS ?

Oui, vous pouvez associer une passerelle Transit Gateway appartenant à n'importe quel compte AWS à une passerelle AWS Direct Connect appartenant à n'importe quel compte AWS.

Q : Si j'utilise une passerelle AWS Direct Connect, mon trafic vers la Région AWS souhaitée transite-t-il par la Région AWS associée ?

Non. Lorsque vous utilisez la passerelle AWS Direct Connect, votre trafic emprunte le chemin d'accès le plus court entre votre point d'accès AWS Direct Connect et la Région AWS de destination, quelle que soit la Région AWS de rattachement du point d'accès AWS Direct Connect où vous êtes connecté.

Q : L'utilisation de la passerelle AWS Direct Connect et le travail avec des Régions AWS distantes entraînent-ils des frais supplémentaires ?

L'utilisation d'une passerelle AWS Direct Connect est gratuite. Vous paierez les frais de données de sortie applicables en fonction de la région AWS éloignée de la source et des frais d'heure de port. Pour en savoir plus, consultez la page de la tarification d'AWS Direct Connect. 

Q : Pour utiliser une passerelle AWS Direct Connect, est-ce que la ou les interfaces virtuelles privées/de transit, la passerelle AWS Direct Connect, la passerelle réseau privé virtuel ou AWS Transit Gateway doivent appartenir au même compte ?

Oui, les interfaces virtuelles privées et les passerelles AWS Direct Connect doivent appartenir au même compte AWS. De la même façon, les interfaces de transit virtuelles et les passerelles AWS Direct Connect doivent appartenir au même compte AWS. Les passerelles réseau privé virtuel ou les passerelles AWS Transit Gateway peuvent se trouver dans des comptes AWS différents de celui détenant la passerelle AWS Direct Connect.

Q : Si j'associe des passerelles réseau privé virtuel (VGW) à une passerelle AWS Direct Connect, puis-je continuer à utiliser toutes les fonctions de VPC ?

Oui. Les fonctions de réseaux comme Elastic File System, Elastic Load Balancing, Application Load Balancer, les groupes de sécurité, la liste de contrôle d'accès et AWS PrivateLink fonctionnent avec la passerelle AWS Direct Connect. La passerelle AWS Direct Connect ne prend pas en charge la fonctionnalité AWS VPN CloudHub. Cependant, si vous utilisez une connexion AWS Site-to-Site VPN à une passerelle virtuelle (VGW) associée à votre passerelle AWS Direct Connect, vous pouvez utiliser votre connexion VPN pour le basculement.

Les fonctions actuellement non prises en charge par AWS Direct Connect sont : AWS Classic VPN, AWS VPN, (comme le routage de périphérie à périphérie), l'appairage de VPC, les points de terminaison d'un VPC.

Q : Je travaille avec un partenaire AWS Direct Connect pour qu'une interface virtuelle privée (VIF) soit allouée à mon compte. Puis-je utiliser une passerelle AWS Direct Connect ?

Oui. Vous pouvez associer une interface virtuelle privée (VIF) allouée à votre passerelle AWS Direct Connect lorsque vous confirmez que vous êtes alloué comme privé dans votre compte AWS.

Q : Puis-je me connecter aux VPC dans ma Région locale ?

Vous pouvez continuer à joindre vos interfaces virtuelles (VIF) à vos passerelles réseau privé virtuel (VGW). Vous profiterez toujours de votre connectivité VPC au sein de la région et vous serez facturé en fonction des tarifs de sortie applicables selon les Régions géographiques.

Q : Quels sont les quotas associés à une passerelle AWS Direct Connect ?

Veuillez vous référer à la page des quotas AWS Direct Connect pour plus d'informations sur ce sujet.

Q : Les passerelles réseau privé virtuel (VGW, associées à un VPC) peuvent-elles faire partie de plusieurs passerelles AWS Direct Connect ?

Non, une paire VGW-VPC ne peut pas faire partie de plusieurs passerelles AWS Direct Connect.

Q : Pouvez-vous attacher une interface virtuelle privée (VIF) à plusieurs passerelles AWS Direct Connect ?

Non, une interface virtuelle privée ne peut être attachée qu'à une passerelle AWS Direct Connect OU à une passerelle réseau privé virtuel. Nous vous recommandons de suivre les recommandations en matière de résilience d'AWS Direct Connect et d'attacher plus d'une interface virtuelle privée. 

Q : La passerelle AWS Direct Connect interrompt-elle la fonctionnalité AWS VPN CloudHub existante ?

Non, la passerelle AWS Direct Connect n'interrompt pas AWS VPN CloudHub. La passerelle AWS Direct Connect permet la connectivité entre des réseaux sur sites et des VPC de n'importe quelle Région AWS. AWS VPN CloudHub permet la connectivité entre les réseaux sur sites à l'aide d'AWS Direct Connect ou d'un VPN dans la même Région. La VIF est associée directement à la VGW. La fonctionnalité AWS VPN CloudHub existante continuera d'être prise en charge. Vous pouvez attacher une interface virtuelle (VIF) AWS Direct Connect directement à une passerelle réseau privé virtuel (VGW) pour prendre en charge AWS VPN CloudHub au sein d'une Région.

Q : Quel type de trafic est et n'est pas pris en charge par la passerelle AWS Direct Connect ?

Pour connaître les modèles de trafic, reportez-vous au Guide de l'utilisateur d'AWS Direct Connect. 

Q : J'ai actuellement un VPN dans la région us-east-1 attaché à une passerelle réseau privé virtuel (VGW). Je souhaite utiliser AWS VPN CloudHub dans us-east-1 entre le VPN et une nouvelle VIF. Est-ce possible avec la passerelle AWS Direct Connect ?

Non, cela est impossible avec la passerelle AWS Direct Connect, mais l'option d'attacher une VIF directement à une VGW est disponible pour activer le cas d'utilisation VPN <-> AWS VPN CloudHub AWS Direct Connect.

Q : J'ai une interface virtuelle privée existante associée à une passerelle privée virtuelle (VGW), puis-je associer mon interface virtuelle privée existante à une passerelle AWS Direct Connect ?

Non, une interface virtuelle privée existante associée à une VGW ne peut pas être associée à une passerelle AWS Direct Connect. Pour ce faire, créez une nouvelle interface virtuelle privée, et au moment de la création, associez-la à votre passerelle AWS Direct Connect.

Q : Si j'ai une passerelle privée virtuelle (VGW) attachée à un VPN et à une passerelle AWS Direct Connect, et que mon circuit AWS Direct Connect tombe en panne, mon trafic VPC sera-t-il acheminé vers le VPN ?

Oui, tant que la table de routage du VPC possède des acheminements de la passerelle privée virtuelle (VGW) vers le VPN.

Q : Puis-je attacher une passerelle privée virtuelle (VGW) à une passerelle AWS Direct Connect si elle n'est pas attachée à un VPC ?

Non, vous ne pouvez pas associer de VGW non attachée à une passerelle AWS Direct Connect.

Q : J'ai créé une passerelle AWS Direct Connect avec une VIF privée AWS Direct Connect et trois passerelles réseau privé virtuel (VGW) non chevauchantes (chacune associée à un VPC). Que se passera-t-il si je détache une des VGW du VPC ?

Le trafic partant de votre réseau sur sites vers le VPC dissocié s'arrêtera et l'association de la VGW à la passerelle AWS Direct Connect sera supprimée.

Q : J'ai créé une passerelle AWS Direct Connect avec une VIF AWS Direct Connect et trois paires VGW-VPC qui ne se chevauchent pas, que se passe-t-il si je détache l'une des passerelles réseau privé virtuel (VGW) de la passerelle AWS Direct Connect ?

Le trafic partant de votre réseau sur sites vers la VGW détachée (associée à un VPC) s'arrêtera.

Q : Puis-je envoyer du trafic depuis un VPC associé à une passerelle AWS Direct Connect vers un autre VPC associé à la même passerelle AWS Direct Connect ?

Non, la passerelle AWS Direct Connect prend uniquement en charge le routage du trafic des VIF AWS Direct Connect vers les VGW (associées au VPC). Pour envoyer du trafic entre deux VPC, vous devez configurer une connexion d'appairage de VPC.

Q : J'ai actuellement un VPN dans us-east-1 attaché à une passerelle privée virtuelle (VGW). Si j'associe cette VGW à une passerelle AWS Direct Connect, puis-je envoyer du trafic de mon VPN vers une VIF attachée à la passerelle AWS Direct Connect dans une région AWS différente ?

Non, une passerelle AWS Direct Connect n'acheminera pas le trafic entre un VPN et une VIF AWS Direct Connect. Pour activer ce cas d'utilisation, vous devez créer un VPN dans la Région AWS de la VIF et attacher la VIF et le VPN à la même VGW.

Q : Puis-je redimensionner un VPC qui est associé à une passerelle AWS Direct Connect ?

Oui, vous pouvez redimensionner le VPC. Si vous redimensionnez votre VPC, vous devez renvoyer la proposition avec le CIDR VPC redimensionné au propriétaire de la passerelle AWS Direct Connect. Une fois que le propriétaire de la passerelle AWS Direct Connect a approuvé la nouvelle proposition, le CIDR de VPC redimensionné sera publié sur vos réseaux sur sites.

Q : Existe-t-il un moyen de configurer une passerelle AWS Direct Connect pour la propagation sélective des préfixes vers ou depuis des VPC ?

Oui, la passerelle AWS Direct Connect permet d'annoncer sélectivement les préfixes vers vos réseaux sur sites. Pour les préfixes annoncés à partir de vos réseaux sur sites, chaque VPC associé à une passerelle AWS Direct Connect reçoit tous les préfixes annoncés à partir de vos réseaux sur sites. Si vous souhaitez limiter le trafic vers et depuis n'importe quel VPC spécifique, vous devez envisager d'utiliser des listes de contrôle d'accès (ACL) pour chaque VPC.

Communauté de préférences locales

Q : Puis-je utiliser cette fonction pour mes sessions EBGP existantes ?

Oui, toutes les sessions BGP existantes d'interfaces virtuelles privées prennent en charge l'utilisation des communautés de préférences locales.

Q : Cette fonction sera-t-elle disponible sur les interfaces virtuelles publiques et privées ?

Non, cette fonction n'est actuellement disponible que sur les interfaces virtuelles privées et de transit.

Q : Ces fonctions seront-elles compatibles avec une passerelle AWS Direct Connect ?

Oui, ces fonctions seront compatibles avec les interfaces virtuelles privées attachées à une passerelle AWS Direct Connect.

Q : Puis-je vérifier si les communautés sont reçues par AWS ?

Non, pour le moment nous ne proposons pas de telles fonctions de surveillance.

Q : Quelles communautés de préférences locales sont prises en charge pour une interface virtuelle privée AWS Direct Connect ?

Les communautés de préférences locales suivantes sont prises en charge pour l'interface virtuelle privée et sont évaluées dans l'ordre de préférence du niveau le plus faible au niveau le plus élevé. Les communautés s'excluent mutuellement. Les préfixes marqués des mêmes communautés et portant des attributs MED*, AS_PATH identiques peuvent prendre en charge des chemins d'accès multiples.

  • 7224:7100 – Faible préférence
  • 7224:7200 – Préférence moyenne
  • 7224:7300 – Préférence élevée

Q : Quel est le comportement par défaut en cas de non-utilisation des communautés prises en charge ?

Si vous ne précisez pas de communautés de préférences locales pour votre VIF privée, la préférence locale par défaut dépend de la distance de la Région locale par rapport aux points d'accès AWS Direct Connect. Dans ce cas, le comportement de sortie sur plusieurs VIF depuis plusieurs points d'accès AWS Direct Connect peut être arbitraire.

Q : Je dispose de deux VIF privées sur des connexions physiques à un point d'accès AWS Direct Connect. Puis-je utiliser les communautés prises en charge pour influencer le comportement de sortie entre ces deux VIF privées ?

Oui, vous pouvez utiliser cette fonction pour influencer le comportement du trafic de sortie entre deux VIF sur la même connexion physique.

Q : La fonction des communautés de préférences locales prend-elle en charge le basculement ?

Oui. Cette prise en charge peut être assurée en annonçant des préfixes sur l'interface virtuelle principale/active avec une communauté d'une préférence locale plus élevée que les préfixes annoncés sur l'interface virtuelle de secours/passive. Cette fonction est rétrocompatible avec les méthodes préexistantes permettant d'assurer un basculement. Si votre connexion est actuellement configurée pour le basculement, aucune autre modification n'est nécessaire.

Q : J'ai déjà configuré mes routeurs avec l'attribut AS_PATH. Dois-je modifier la configuration pour utiliser les balises communautaires et perturber mon réseau ?

Non, nous continuerons à respecter l'attribut AS_PATH. Cette fonctionnalité est un outil supplémentaire que vous pouvez utiliser pour mieux contrôler le trafic entrant depuis AWS. AWS Direct Connect adopte l'approche standard en matière de sélection des chemins. N'oubliez pas que la préférence locale est évaluée avant l'attribut AS_PATH.

Q : Je dispose de deux connexions AWS Direct Connect, l'une à 1 Gbit/s et l'autre à 10 Gbit/s, et les deux annoncent le même préfixe. Je souhaite recevoir tout le trafic pour cette destination via la connexion AWS Direct Connect 10 Gbit/s, mais être toujours en mesure de basculer vers la connexion 1 Gbit/s. Les communautés de préférences locales peuvent-elles être utilisées pour équilibrer le trafic dans ce scénario ?

Oui. En marquant le préfixe annoncé sur la connexion directe AWS 10 Gbit/s avec une communauté d'une préférence locale plus élevée, ce sera le chemin préféré. Si le 10 Gbit/s échoue ou que le préfixe est retiré, l'interface 1 Gbit/s devient le chemin de retour.

Q : Quelle sera l'échelle du routage multi-chemin AWS de mon réseau ?

Nous procéderons à un routage multi-chemin par préfixe jusqu'à 16 sauts suivants, où chaque saut suivant est un point de terminaison AWS unique.

Q : Puis-je avoir des sessions BGP v4 et v6 sur un seul tunnel VPN ?

Pour le moment, seules les sessions BGP v4 peuvent fonctionner sur le tunnel VPN unique avec l'adresse IPv4.

Q : Y a-t-il une différence en ce qui concerne les détails de configuration BGP définis pour AWS Direct Connect ?

Le BGP sur VPN fonctionne de la même façon que sur AWS Direct Connect.

Q : Puis-je terminer mon tunnel sur un point de terminaison avec une adresse IPv6 ?

Pour le moment, nous prenons uniquement en charge l'adresse de point de terminaison IPv4 pour le VPN. 

Q : Puis-je terminer mon tunnel sur une adresse IPv4 et utiliser des sessions BGP IPv6 sur le tunnel ?

Pour le moment, seules les sessions BGP v4 peuvent fonctionner sur le tunnel VPN unique avec l'adresse IPv4.

Passerelle AWS Direct Connect - ASN privé

Q : Quelle est cette fonction ?

Numéro de système autonome (ASN) privé configurable. Cela permet aux clients de définir l'ASN pour le côté AWS de la session BGP pour les VIF privées sur toute passerelle AWS Direct Connect nouvellement créée.

Q : Où ces fonctionnalités sont-elles disponibles ?

Elles sont disponibles dans toutes les Régions AWS commerciales (Région Chine exceptée) et AWS GovCloud (US).

Q : Comment puis-je configurer/attribuer mon ASN pour qu'il puisse être annoncé comme l'ASN du côté AWS ?

Vous pouvez configurer/assigner un ASN pour qu'il soit annoncé comme l'ASN du côté AWS lors de la création de la nouvelle passerelle AWS Direct Connect. Vous pouvez créer une passerelle AWS Direct Connect à l'aide de la console de gestion AWS ou d'une opération d'API CreateDirectConnectGateway.

Q : Puis-je utiliser un ASN, qu'il soit public ou privé ?

Vous pouvez affecter n'importe quel ASN privé du côté AWS. Vous ne pouvez affecter aucun autre ASN public.

Q : Pourquoi ne puis-je pas affecter d'ASN public pour la moitié AWS de la session BGP ?

AWS ne valide pas la propriété des ASN. C'est pourquoi nous limitons les ASN du côté AWS aux ASN privés. Nous voulons protéger les clients contre l'usurpation de BGP.

Q : Quel ASN puis-je choisir ?

Vous pouvez choisir n'importe quel ASN. La plage d'ASN privés 16 bits va de 64512 à 65534. Vous pouvez également fournir des ASN 32 bits entre 4200000000 et 4294967294.

Q : Qu'arrivera-t-il si j'essaie d'affecter un ASN public à la moitié AWS de la session BGP ?

Nous vous demanderons de ressaisir un ASN privé une fois que vous tenterez de créer la passerelle AWS Direct Connect.

Q : Si je ne fournis aucun ASN pour la moitié AWS de la session BGP, quel ASN dois-je m'attendre à recevoir de la part d'AWS ?

Si vous n'en choisissez pas, AWS vous fournira un ASN défini sur 64512 pour la passerelle AWS Direct Connect.

Q : Où puis-je voir l'ASN du côté AWS ?

Vous pouvez voir l'ASN du côté AWS dans la console AWS Direct Connect, ainsi que dans la réponse de DescribeDirectConnectGateways ou en utilisant l'opération d'API DescribeVirtualInterfaces.

Q : Si j'ai un ASN public, est-ce qu'il fonctionnera avec un ASN privé du côté AWS ?

Oui, vous pouvez configurer au côté AWS de la session BGP un ASN privé et un ASN public au vôtre.

Q : Je dispose de VIF déjà configurées et j'aimerais configurer un ASN différent pour le côté AWS de la session BGP sur une VIF existante. Comment puis-je procéder à cette modification ?

Vous devrez créer une nouvelle passerelle AWS Direct Connect avec l'ASN souhaité, puis créer une nouvelle VIF avec la passerelle AWS Direct Connect nouvellement créée. La configuration de votre appareil doit également être modifiée de manière appropriée.

Q : J'attache plusieurs VIF privées à une seule passerelle AWS Direct Connect. Chaque VIF peut-elle avoir un ASN du côté AWS distinct ?

Non, vous pouvez attribuer/configurer un ASN du côté AWS distinct pour chaque passerelle AWS Direct Connect, pas pour chaque VIF. L'ASN du côté AWS pour la VIF est hérité de l'ASN du côté AWS de la passerelle AWS Direct Connect attachée.

Q : Puis-je utiliser différents ASN privés pour ma passerelle AWS Direct Connect et ma passerelle réseau privé virtuel ?

Oui, vous pouvez utiliser différents ASN privés pour votre passerelle AWS Direct Connect et votre passerelle réseau privé virtuel. L'ASN du côté AWS que vous recevez dépend de l'association de votre interface virtuelle privée.

Q : Puis-je utiliser les mêmes ASN privés pour ma passerelle AWS Direct Connect et ma passerelle réseau privé virtuel ?

Oui, vous pouvez utiliser les mêmes ASN privés pour votre passerelle AWS Direct Connect et votre passerelle réseau privé virtuel. L'ASN du côté AWS que vous recevez dépend de l'association de votre interface virtuelle privée.

Q : J'attache plusieurs passerelles réseau privé virtuel avec leur propre ASN privé à une seule passerelle AWS Direct Connect configurée avec son propre ASN privé. Quel ASN privé prend l'ascendant, celui de la VGW ou celui de la passerelle AWS Direct Connect ?

L'ASN privé de la passerelle AWS Direct Connect sera utilisé comme ASN du côté AWS pour la session du protocole de passerelle frontière (BGP) entre votre réseau et AWS.

Q : A quel moment puis-je sélectionner mon propre ASN privé ?

Vous pouvez sélectionner votre propre ASN privé dans la console de passerelle AWS Direct Connect. Une fois la passerelle AWS Direct Connect configurée avec un ASN du côté AWS, les interfaces virtuelles privées associées à la passerelle AWS Direct Connect utiliseront votre ASN configuré comme ASN du côté AWS.

Q : J'utilise AWS VPN CloudHub aujourd'hui. Est-ce que je devrai ajuster ma configuration à l'avenir ?

Vous n'aurez aucune modification à apporter.

Q : J'aimerais sélectionner un ASN 32 bits. Quelle est la plage d'ASN 32 bits privés ?

Nous prenons en charge les ASN 32 bits de 4200000000 à 4294967294.

Q : Une fois la passerelle AWS Direct Connect créée, puis-je changer ou modifier l'ASN du côté AWS ?

Non, vous ne pouvez pas modifier l'ASN du côté AWS après la création. Vous pouvez supprimer la passerelle AWS Direct Connect et en recréer une nouvelle avec l'ASN privé souhaité.

MACsec

Q : Est-ce que MACsec remplace les autres technologies de chiffrement que j'utilise dans mon réseau ?

MACsec n'a pas pour vocation de remplacer des technologies de chiffrement spécifiques. Pour des raisons de simplicité et de sécurité, vous devez continuer à utiliser les technologies de chiffrement déjà mises en place. Nous proposons MACsec comme option de chiffrement que vous pouvez ajouter à votre réseau en plus des autres technologies de chiffrement déjà présentes.

Q : Quels types de connexions AWS Direct Connect prennent en charge MACsec ?

MACsec est pris en charge sur des connexions AWS Direct Connect dédiée de 10 Gbit/s et 100 Gbit/s aux points de présence sélectionnés. Pour que MACsec fonctionne, votre connexion dédiée doit être transparente pour le trafic de couche 2 et le périphérique qui termine l’adjacence de couche 2 doit prendre en charge MACsec. Si vous utilisez un partenaire de connectivité jusqu'au dernier kilomètre, vérifiez que la connexion du dernier kilomètre peut prendre en charge MACsec. MACsec n'est pas pris en charge sur les connexions dédiées ou hébergées de 1 Gbit/s.

Q : Dois-je disposer de matériel spécial pour utiliser MACsec ?

Oui. Vous devez posséder un appareil compatible avec MACsec de votre côté de la connexion Ethernet à un point d'accès AWS Direct Connect. Reportez-vous à la section Sécurité MAC de notre guide de l'utilisateur pour vérifier les modes d'opération pris en charge et les fonctions MACsec requises.

Q : Ai-je besoin d'une nouvelle connexion AWS Direct Connect pour utiliser MACsec avec mon appareil compatible MACsec ?

MACsec demande que votre connexion se termine sur un appareil compatible avec MACsec du côté AWS Direct Connect de la connexion. Vous pouvez vérifier la compatibilité de votre connexion existante avec MACsec par le biais de la Console de gestion AWS ou de l'API AWS Direct Connect de DescribeConnections. Si votre connexion MACsec existante ne se termine pas sur un appareil compatible avec MACsec, vous pouvez demander une nouvelle connexion compatible avec MACsec au moyen de la console de gestion AWS ou de l'API CreateConnection.

Q : Quelle suite de chiffrement MACsec prenez-vous en charge ?

Pour le moment, nous prenons en charge la suite chiffrement GCM-AES-XPN-256.

Q : pourquoi ne prenez-vous en charge que les clés de 256 bits ?

Nous ne prenons en charge que les clés MACsec de 256 bits afin de garantir la plus récente protection de données avancées.

Q : Exigez-vous l'utilisation de la numérotation étendue des paquets (XPN - Extended Packet Numbering) ?

Oui. Nous exigeons l'utilisation de XPN. Les connexions à très haut débit, comme les connexions dédiées de 100 Gbits/s, peuvent rapidement épuiser l'espace de numérotation de paquets 32 bits d'origine de MACsec, ce qui vous obligerait à modifier vos clés de chiffrement à quelques minutes d'intervalle afin d'établir une nouvelle association de connectivité. Pour éviter cette situation, l'amendement à la norme IEEE Std 802.1AEbw-2013 a créé la numérotation étendue des paquets, qui permet d'augmenter l'espace de numérotation à 64 bits, ce qui allège les exigences de ponctualité pour la rotation des clés.

Q : Prenez-vous en charge le Secure Channel Identifier (SCI) ?

Oui. Le SCI doit être activé. Ce paramètre ne peut pas être changé.

Q : Prenez-vous en charge l’identification IEEE 802.1Q (Dot1q/VLAN) offset/dot1q-in-clear ?

Non. Nous ne prenons pas en charge le déplacement de l’identification VLAN en dehors de la charge utile chiffrée.

En savoir plus sur la tarification AWS Direct Connect

Consultez la page de tarification
Prêt à concevoir ?
Mise en route avec AWS Direct Connect
D'autres questions ?
Contactez-nous