一般問題

問:什麼是 AWS Direct Connect?

AWS Direct Connect 是一種網路服務,可作為使用網際網路連線至 AWS 的替代選擇。使用 AWS Direct Connect 時,以前透過網際網路傳輸的資料可以經由您的設施和 AWS 之間的私有網路連線進行傳輸。在許多情況下,私有網路連線可以降低成本、提高頻寬,還有提供比網際網路連線更為一致的網路體驗。所有 AWS 服務都可與 AWS Direct Connect 搭配使用,包括 Amazon Elastic Compute Cloud (EC2)、Amazon Virtual Private Cloud (VPC)、Amazon Simple Storage Service (S3) 和 Amazon DynamoDB。

問:AWS Direct Connect 在何處可用?

Direct Connect 位置頁面提供了 Direct Connect 位置的完整清單。使用 Direct Connect 時,您可以連線至部署在任何 AWS 區域和可用區域中的 VPC。 

問:專用連線和託管連線有什麼區別?

專用連線透過專用於單一客戶的 1 Gbps、10 Gbps 或 100 Gbps 以太網路連接埠傳輸。託管連線源自 AWS Direct Connect 合作夥伴,其在其自身與 AWS 之間具有網路連結鏈接。

問:如何開始使用 AWS Direct Connect?

請使用 AWS 管理主控台上的 AWS Direct Connect 標籤建立新連線。請求連線時,系統將提示您選取 AWS Direct Connect 位置、連接埠數量和連接埠速度。如果需要將辦公室或資料中心網路擴展至 AWS Direct Connect 位置的相關協助,請與 AWS Direct Connect 合作夥伴聯絡。

問:如果我的網路不在 AWS Direct Connect 位置,是否可以使用 AWS Direct Connect?

是。AWS Direct Connect 合作夥伴可以協助您將既有的資料中心或辦公室網路擴展為 AWS Direct Connect 位置。如需詳細資訊,請參閱 AWS Direct Connect 合作夥伴。 藉助 Direct Connect 閘道,您可以從任何 AWS Direct Connect 位置 (中國除外) 存取任何 AWS 區域。

定義

問:什麼是 Direct Connect 閘道?

Direct Connect 閘道是虛擬私有閘道 (VGW) 和私有虛擬界面 (VIF) 的分組。Direct Connect 閘道是全球可用的資源。您可以在任何區域建立 Direct Connect 閘道,並從所有其他區域存取。 

問:什麼是虛擬界面 (VIF)?

存取 AWS 服務必須使用虛擬界面 (VIF),並且可以選擇公有或私有。公有虛擬界面允許存取公有服務,例如 Amazon S3。私有虛擬界面允許存取您的 VPC。如需詳細資訊,請參閱 AWS Direct Connect 虛擬界面

問:什麼是虛擬私有閘道 (VGW)?

虛擬私有閘道 (VGW) 是 VPC 的一部分,其為 AWS 受管 VPN 連線和 Direct Connect 連線提供節點路由。您將 Direct Connect 閘道與 VPC 的虛擬私有閘道建立關聯。如需詳細資訊,請參閱此文件

問:什麼是連結彙總群組 (LAG)?

連結彙總群組 (LAG) 是一個邏輯界面,其使用連結彙總控制協定 (LACP),在單一 AWS Direct Connect 端點彙總多個專用連線,讓您能夠將其視為單一受管連線。LAG 簡化了組態,因為 LAG 組態適用於群組中的所有連線。如需建立、更新、關聯/解除關聯和刪除 LAG 的詳細資訊,請參閱 AWS Direct Connect 文件:連結彙總群組 - AWS Direct Connect

• 使用 LAG 無須額外費用。
• 使用動態 LACP 服務包,不支援靜態 LACP 服務包。
• 兩個不同 LAG 上的虛擬界面 (VIF) 可以連線至同一虛擬閘道 (VGW)。為縮短使用多個 LAG 時路徑之間的容錯移轉時間,支援雙向轉寄偵測 (BFD)。

問:什麼是 AWS Direct Connect 彈性工具組?

AWS Direct Connect 彈性工具組提供一個連線精靈,可協助您在多個彈性模型之間進行選擇。這些模型可協助您確定專用連線的數量,然後下訂單,以實現您的 SLA 目標。您選取彈性模型,然後 AWS Direct Connect 彈性工具組將引導您完成專用連線訂購程序。彈性模型旨在確保您在多個位置具有適當數量的專用連線。

問:什麼是 AWS Direct Connect 容錯移轉測試功能?

AWS Direct Connect 容錯移轉測試功能讓您可以透過停用內部部署網路與 AWS 之間的邊界閘道協定工作階段,來測試 Direct Connect 連線的彈性。您可以使用 AWS 管理主控台或 AWS Direct Connect 應用程式開發介面 (API)。請參閱此文件以了解有關此功能的更多資訊。在所有商業 AWS 區域 (AWS 中國區域和 GovCloud (US) 除外) 均提供支援。

問:什麼是私有虛擬界面 (VIF) 的本機偏好社群?

專用和傳輸虛擬界面的位置偏好社群提供一項功能,可讓您影響 VPC 流量來源的返回路徑。

問:什麼是私有和傳輸虛擬界面 (VIF) 的本機偏好社群?

專用和傳輸虛擬界面的位置偏好社群為您提供一項功能,可讓您影響 VPC 流量來源的返回路徑。

問:什麼是 Direct Connect 閘道 - 自有私有 ASN?

可設定的私有自主系統編號 (ASN) 可在 BGP 工作階段的 Amazon 端為任何新建立的 Direct Connect 閘道上的私有 VIF 或傳輸 VIF 設定 ASN。在所有商業 AWS 區域 (AWS 中國區域和 GovCloud (US) 除外) 均開放使用。

問:傳輸虛擬界面是什麼?

傳輸虛擬界面是一種您可在容量為 1Gbps 或更高 (1/2/5/10/100 Gbps) 的任何 AWS Direct Connect 連線上建立的虛擬界面。傳輸虛擬界面僅可連線至 Direct Connect 閘道。可在任何支援的 AWS 區域,使用 Direct Connect 閘道,將一個或以上的傳輸虛擬界面連接至最多三個 AWS Transit Gateway。與私有虛擬界面類似,您可以在單一傳輸虛擬界面上建立一個 IPv4 BGP 工作階段和一個 IPv6 BGP 工作階段。

問:什麼是 Direct Connect 閘道的多帳戶支援?

Direct Connect 閘道的多帳戶支援是一項功能,可讓您從多個 AWS 帳戶中,將最多 10 個 Amazon Virtual Private Clouds (Amazon VPC) 或最多 3 個 AWS Transit Gateway 與 Direct Connect 閘道建立關聯。

高可用性和彈性

問:使用 Link Aggregation Group (LAG) 是否會讓我的連線更有彈性?

不會,LAG 不會讓您的 AWS 連線更有彈性。如果您的 LAG 中有多個連結,而最低連結數設為 1,則 LAG 可讓您針對單一連結故障提供保護。然而,它無法在 LAG 終止的 AWS 保護您不受單一裝置故障的影響。

要獲得 AWS 高可用性連線,建議您連線多個 AWS Direct Connect 位置。您可以參考 Direct Connect 彈性建議,進一步了解如何獲得高可用性網路連線能力。

問:如何訂購與 AWS Direct Connect 的連線以實現高可用性?

我們建議遵循 Direct Connect 彈性建議頁面上詳述的彈性最佳實務,以確定適合您使用案例的最佳彈性模型。選取彈性模型後,AWS Direct Connect 彈性工具組可引導您完成訂購冗餘連線的程序。AWS 還鼓勵您使用彈性工具組容錯移轉測試功能,在上線之前測試您的組態。 

每個專用的 Direct Connect 連線由路由器與 AWS Direct Connect 裝置上連接埠間的單一專用連線組成。如需冗餘,建議您建立第二個連線。當您在同一個 AWS Direct Connect 位置請求多個連接埠,它們將會佈建在冗餘的 Amazon 路由器上。 

如果您已改為設定備份 IPsec VPN 連線,則所有 VPC 流量將自動容錯移轉至 VPN 連線。往返 Amazon S3 等公有資源的流量將透過網際網路路由。如果您沒有備份 AWS Direct Connect 連結或 IPsec VPN 連結,則出現故障時會中斷 Amazon VPC 流量。往返公有資源的流量將透過網際網路路由。

問:AWS Direct Connect 是否提供服務水準協議 (SLA)?

是,AWS Direct Connect 提供 SLA。請在這裡了解詳細資訊

問:使用容錯移轉測試功能時,是否可以設定測試的持續時間或在測試執行時取消測試?

是的,您可以設定測試的持續時間。可以設定的最短和最長測試持續時間分別為 1 分鐘和 180 分鐘。

是的,您可以在測試正在執行時取消測試。當您取消測試時,我們將恢復邊界閘道協定工作階段,並且您的測試歷史記錄將反映該測試已被取消。

問:使用容錯移轉測試功能時是否可以查看過去的測試歷史記錄? 測試歷史記錄會保留多長時間?

是,您可以使用 AWS 管理主控台或 CloudTrail 查看測試歷史記錄。我們會將您的測試歷史記錄保留 365 天。如果刪除虛擬界面,則將刪除測試歷史記錄。

問:容錯移轉測試完成後會發生什麼?

在經過設定的測試持續時間之後,我們將使用邊界閘道協定工作階段 (使用在測試啟動之前協商的參數),還原內部部署網路與 AWS 之間的邊界閘道協定工作階段。

問:誰可以使用 AWS Direct Connect 彈性工具組來啟動容錯移轉測試?

只有包含虛擬界面的 AWS 帳戶的擁有者才能啟動測試。

問:是否可以刪除正在容錯移轉測試之中的虛擬界面?

是的,您可以刪除正在測試之中的虛擬界面。

問:是否可以對任何類型的虛擬界面執行容錯移轉測試?

是的,您可以對使用任何類型的虛擬界面建立的邊界閘道協定工作階段進行測試。

問:問:我已經建立了 IPv4 和 IPv6 邊界閘道協定工作階段,可以對每個邊界閘道協定工作階段進行此測試嗎?

是的,您可以針對一個或兩個邊界閘道協定工作階段啟動測試。

服務互操作

問:是否可以將同一私有網路連線同時用於 Amazon Virtual Private Cloud (VPC) 和其他 AWS 服務?

是。每個 AWS Direct Connect 連接都可透過一或多個虛擬界面進行設定。您可以設定虛擬界面以存取 Amazon EC2 和 Amazon S3 等使用公有 IP 空間的 AWS 服務,或者使用私有 IP 空間的 VPC 中的資源。

問:如果我正在使用 Amazon CloudFront,而且我的原始伺服器是自己的資料中心,是否可以使用 AWS Direct Connect 傳輸該資料中心存放的物件?

是。Amazon CloudFront 支援自訂的原始伺服器,其中包括您在 AWS 外部執行的原始伺服器。對 CloudFront 節點的存取限制在地理上最近的 AWS 區域,但北美洲區域除外,這些區域目前可以存取所有北美洲區域的聯網 CloudFront 原始伺服器。使用 AWS Direct Connect 時,您將按照 AWS Direct Connect 資料傳輸費率支付原始伺服器的資料傳輸費。

通過 Direct Connect 位置進入 AWS 全域網路後,您的流量仍保留在 Amazon 的骨幹網路上。不在 Amazon 骨幹網路的 CloudFront 位置前綴將不會透過 Direct Connect 公告。您可以在此頁面上找到更多有關公告的 IP 前綴和 Direct Connect 路由政策的詳細資訊。您也可以參考此頁面,進一步了解 Direct Connect 路由政策。

問:是否可在 AWS 管理主控台指定 AWS GovCloud (US) 的連接埠?

如果您想指定連線至 AWS GovCloud (US) 的連接埠,必須使用 AWS GovCloud (US) 管理主控台。有關 AWS GovCloud (US) 區域入門的詳細資訊,請參閱這裡。

問:如何在 AWS Direct Connect 位置請求交叉連線?

下載授權書和連線設施指派 (LOA-CFA) 之後,必須完成跨網路連線。如果您已經在 AWS Direct Connect 位置中擁有設備,請聯絡相應的供應商以完成交叉連線。如需每個供應商和交叉連線定價的特定說明,請參閱 AWS Direct Connect 文件:在 AWS Direct Connect 位置請求交叉連線。

問:LAG 群組中最多可以有多少個連結?

LAG 群組最多可以有 4 個連結。

問:連結彙總群組 (LAG) 為主動/主動模式還是主動/被動模式?

其為主動/主動模式。換言之,AWS 連接埠持續傳送連結彙總控制協定資料單元 (LACPDU)。 

問:LAG 的 MTU 是否可以變更?

可以變更 LAG 的 MTU,請在此處參閱 Jumbo Frameto 文件以深入瞭解。

問:是否可以將連接埠設定為主動/被動,而不是主動/主動?

端點上的 LAG 可以設定為 LACP 主動或被動模式。AWS 端始終設定為主動模式 LACP。

問:是否可以混合界面類型,並在相同的 LAG 中使用一些 1 G 連接埠和一些 10 G 連接埠?

否,只能使用相同的連接埠類型 (1 G 或 10 G) 建立 LAG。

問:可以在哪種連接埠類型上使用?

可以在 1G、10G 和 100G 專業連線連接埠上使用。

問:是否也可在託管連線上使用 LAG?

不能,只能在 1G、10G 和 100G 專業連線上使用。不能在託管連線上使用 LAG。

問:是否可以從現有的連接埠建立 LAG?

是的,只要您的連接埠在同一部 AWS Direct Connect 裝置上。請注意,連接埠會在重新設定為 LAG 時短暫中斷。等到您這端的 LAG 設定完成之後,連接埠才會恢復正常。

問:是否可以有跨多個 AWS Direct Connect 裝置的 LAG?

LAG 只會包含位於相同 AWS Direct Connect 裝置上的連接埠。我們不支援多底座 LAG。

問:設定完成後,要如何在 LAG 新增連結?

您必須為您的 LAG 請求另一個連接埠。如果同一裝置中沒有可用的連接埠,則必須訂購新的 LAG 並遷移連線。例如,如果您有 3 個 1 G 連結,且想要增加第四個,但是該裝置沒有可用的連接埠,則您需要訂購有 4 個 1 G 連接埠的新 LAG。

問:當連接埠用完而我需要訂購新的 LAG,但是已經設定了虛擬界面 (VIF)! 要如何移動這些 VIF?

您可以在 VGW 一次連線多個 VIF,而且即使連線無法使用也可以設定 VIF。建議您在新的 LAG 上建立新的 VIF,等到所有 VIF 建立完成之後,再將連線移到新的 LAG。請記得刪除舊的連線,以避免繼續計費。

問:是否可以刪除 LAG 中的單一連接埠?

是,但僅適用於最低連結數設定為低於剩餘的連接埠時。範例:您有 4 個連接埠且最低連結數設為 4 – 您將無法刪除 LAG 中的連接埠。如果最低連結數設為 3,則可以刪除 LAG 中的連接埠。我們會傳回一個通知,指出您刪除的特定面板/連接埠,並提醒您中斷與 Amazon 連線的交叉連線和線路。

問:是否可一次刪除整個 LAG?

是,但如同一般連線,如果您已設定 VIF,則無法刪除。

問:如果 LAG 只有 2 個連接埠,是否仍然可以刪除一個?

是,LAG 可以只有一個連接埠。

問:是否可以訂購只有一個連接埠的 LAG?

是。請注意,未來如果您需要新增更多連接埠,我們無法保證相同的底座上會有更多的可用連接埠。

問:是否可以將 LAG 轉換回個別連接埠?

是。您可以使用 DisassociateConnectionWithLag API 呼叫完成這項工作。 

問:您是否可以建立工具,代我移動虛擬界面 (VIF)?

您可以使用 AssociateVirtualInterface API 或主控台完成這項操作。

問:LAG 會顯示為單一連線還是連接集合?

會顯示為單一 dxlag,我們會在其下方列出連線 ID。

問:最低連結數是什麼意思,為什麼訂購服務包時會出現該核取方塊?

最低連結數是一項 LACP 功能,您可以設定服務包中需要啟用的最低連結數,以啟用該服務包和傳送流量。例如,如果您有 4 個連接埠,最低連結數設為 3,但只有 2 個作用中連接埠,則您的服務包將不會啟用。如果您有 3 個以上的連接埠,若已設定 VIF,則會啟用服務包並傳送流量。

如果您沒有點按「最小連結」,則預設為零。您可以透過主控台或 API,在設定完服務包後變更最低連結數的值。您可以透過主控台或 API,在設定完服務包後變更最低連結數的值。

問:當我將 LAG 與現有的 Direct Connect 連線建立關聯時,已使用 Direct Connect 連線建立的現有虛擬界面 (VIF) 會發生什麼事?

當具備現有虛擬介面 (VIF) 的 Direct Connect 連線與 LAG 相關聯時,虛擬介面會遷移至 LAG。請注意,與 VIF 關聯的特定參數必須是唯一的,例如要移動到 LAG 的 VLAN 數字。

問:是否可以在特定連結上設定連結優先順序?

我們對所有連結一視同仁,因此不會在任何特定連結上設定「連結優先順序」。

問:我這端的 40 GE 界面是否可以與 AWS 端的 4 個 10 GE 連線?

若要執行此操作,您的路由器上必須有 4 個 10 GE 界面才能連線 AWS。不支援單一 40 GE 界面連線至 4 個 10 GE LACP。

計費

問:使用 AWS Direct Connect 是否有任何設定費用或最短服務期限承諾?

沒有設定費用,您也可以隨時取消。AWS Direct Connect 合作夥伴提供的服務可能有其他適用的條款或限制。

問:使用 AWS Direct Connect 如何計價和收費?

AWS Direct Connect 有兩項單獨的費用:連接埠小時費用和資料傳輸費用。定價是按照每個連接埠類型耗用的連接埠小時數來計算。未滿一小時的連接埠小時數按一小時計費。擁有連接埠的帳戶將會按每小時收取連接埠的費用。

透過 AWS Direct Connect 的資料傳輸作業將在使用本服務的同一個月份中計費。請參閱下面的額外資訊,以了解資料傳輸的收費方式。

問:區域資料傳輸是否按照 AWS Direct Connect 費率計費?

否。同一區域中不同可用區域之間的資料傳輸將按照一般區域資料傳輸費率記在使用該服務的當月帳單。

問: 託管連線的可計費連接埠小時由什麼定義?

您接受託管連線後即會進行連接埠小時計費。只要託管連線佈建供您使用,便會繼續收取連接埠費用。如果您不想再支付託管連線的費用,請與 AWS Direct Connect 合作夥伴聯絡以取消託管連線。

問:託管連線如何按小時收費?

在 Direct Connect 位置的所有託管連線皆會依照容量分類並按小時收費。

例如,考慮在直接連接位置具有兩個單獨 200Mbps 託管連線的客戶的計費,且該位置沒有任何其他託管連線。兩個單獨 200Mbps 託管連線的連接埠小時費用將在單一項目下彙總,且含有以「HCPortUsage:200M」結尾的標籤。若某個月總共 720 個小時,此項目的總連接埠小時將為 1,440,或當月的總時數乘以此位置的200Mbps 託管連線總數。

將出現在您帳單的託管連線容量識別碼如下所示:

HCPortUsage:50M
HCPortUsage:100M
HCPortUsage:200M
HCPortUsage:300M
HCPortUsage:400M
HCPortUsage:500M
HCPortUsage:1G
HCPortUsage:2G
HCPortUsage:5G
HCPortUsage:10G

請注意,這些容量識別碼將按位置顯示,視您在每個位置擁有的託管連線容量而定。

問:哪個 AWS 帳戶將支付透過公有虛擬界面對外傳輸的資料費?

對於公開定址的 AWS 資源 (例如,Amazon S3 儲存貯體、Classic EC2 執行個體,或通過網際網路閘道的 EC2 流量),如果傳出流量的目的地是同一 AWS 付款人帳戶所擁有的公開前綴,並透過 AWS Direct Connect 公有虛擬界面主動向 AWS 宣告,將按 AWS Direct Connect 資料傳輸費率向資源擁有人收取資料傳出 (DTO) 使用量的費用。

有關 AWS Direct Connect 定價資訊,請參閱 AWS Direct Connect 定價頁面。如要使用 AWS Direct Connect 合作夥伴進行 Direct Connect 連線,請聯絡 AWS Direct Connect 合作夥伴以商討收費問題。

問:哪個 AWS 帳戶將支付透過傳輸/私有虛擬界面對外傳輸的資料費?

自引進更精細的資料傳出分配功能後,透過傳輸/公有虛擬界面對外傳輸的資料費將由負責資料傳出的 AWS 帳戶支付。負責資料傳出的 AWS 帳戶將從客戶對私有/傳輸虛擬界面的使用判斷,如下所示:

私有虛擬界面用於連線 Amazon Virtual Private Cloud (含或不含 Direct Connect 閘道)。假如為私有虛擬界面,負責資料傳出且擁有 AWS 資源的 AWS 帳戶將支付費用。

傳輸虛擬界面用於連線 AWS Transit Gateway。如為傳輸虛擬界面,擁有連線 AWS Transit Gateway (與連線傳輸虛擬界面的 Direct Connect 閘道關聯) 的 Amazon Virtual Private Cloud 的 AWS 帳戶將支付費用。請注意,除了 AWS Direct Connect 資料傳出費,還會另外加上所有適用的 AWS Transit Gateway 特定費用 (資料處理和附件)。

問:AWS Direct Connect 如何使用合併帳單?

AWS Direct Connect 資料傳輸使用量將彙總到您的主帳戶。

問: 如何取消 AWS Direct Connect 服務?

從 AWS 管理主控台刪除您的連接埠就可以取消 AWS Direct Connect 服務。您也必須取消由第三方提供的任何服務。例如,您必須聯絡主機託管供應商以中斷與 AWS Direct Connect 的任何交叉連線,和/或聯絡可能為您提供從遠端位置到 AWS Direct Connect 位置之間網路連線的網路服務供應商。

問:價格含稅嗎?

除非另有說明,否則我們的價格不包括適用的稅金和稅收 (包括加值稅和適用的營業稅)。帳單地址在日本的客戶若使用 AWS 服務,則需負擔日本消費稅。進一步了解。

規格

問:提供哪些連線速度?

專用連線支援 1Gbps、10Gbps 和 100Gbps 連接埠。至於 Hosted Connections,則可透過核准的 AWS Direct Connect 合作夥伴訂購 50Mbps、100Mbps、200Mbps、300Mbps、400Mbps、500Mbps、1Gbps、2Gbps、5Gbps 和 10Gbps 容量。如需詳細資訊,請參閱 AWS Direct Connect 合作夥伴 

問:使用 AWS Direct Connect 時,可傳輸的資料量是否有限制?

沒有。您可以傳輸任意數量的資料,最大傳輸速度為您選用的連接埠容量。

問:我可以使用 AWS Direct Connect 向 AWS 公告的路由數是否有限制?

是,您可以使用 AWS Direct Connect 對每個邊界閘道協定工作階段公告最多 100 個路由。進一步了解 Direct Connect 限制

問:如果我對邊界閘道協定工作階段公告超過 100 個路由,會發生什麼情況?

如果您對邊界閘道協定工作階段公告超過 100 個路由,您的邊界閘道協定工作階段將中斷。這會阻止所有網路流量流經該虛擬界面,直到您將路由數減少到少於 100。

問:連線有什麼技術要求?

AWS Direct Connect 支援在使用乙太網路傳輸的單模式光纖上進行 1000BASE-LX、10GBASE-LR 或 100GBASE-LR4 連線。您的裝置必須支援 802.1Q VLAN。有關更多詳細的要求資訊,請參閱 AWS Direct Connect User Guide

問:是否可以使用 AWS Direct Connect 將我的其中一個 VLAN 擴展到 AWS 雲端?

否。AWS Direct Connect 中只會利用 VLAN 來分隔虛擬界面之間的流量。

問:透過虛擬界面連線 Amazon EC2 和 Amazon S3 等公有 AWS 服務有什麼技術要求?

  • 這個連線需要使用邊界閘道協定 (BGP),以及自主系統編號 (ASN) 和 IP 前綴。您將需要下列資訊才能完成連接:
  • 公有或私有 ASN。如果使用公有 ASN,您必須具有其所有權。如果使用私有 ASN,則其必須在 64512 到 65535 範圍內。
  • 您所選取的全新未使用 VLAN 標籤
  • 由您為 BGP 工作階段分配的公有 IP (/30)
  • Amazon 按照預設會透過 BGP 公告全球公有 IP 前綴。您必須透過 BGP 公告您所擁有的公有 IP 前綴 (/30 或更小)。如需更多詳細資訊,請參閱 AWS Direct Connect User Guide
  • 如需 Direct Connect、自有 ASN 的更多詳細資訊,請參閱下文。

問:虛擬界面的兩端需指派什麼 IP 地址?

如果您正在設定與公有 AWS 雲端連線的虛擬界面,必須從您擁有的公有 IP 空間中分配該連線兩端的 IP 地址。如果虛擬界面是連線至 VPC,且您選擇讓 AWS 自動產生對等 IP CIDR,則將由 AWS 在 169.254.0.0/16 範圍內分配該連線兩端的 IP 地址空間。

問:是否可以將我的硬體部署在提供 AWS Direct Connect 支援的裝置附近?

您可以在部署 AWS Direct Connect 位置的設施中購買機架空間,然後在附近部署您的裝置。但是,基於安全理由,AWS 客戶設備不能放置在 AWS Direct Connect 機架空間或機籠區域內。如需詳細資訊,請聯絡個別設備的操作人員。部署此裝置之後,您就可以透過交叉連線的方式將裝置連線至 AWS Direct Connect。

問:如何在 Direct Connect 連線上啟用 BFD?

每個 Direct Connect 虛擬界面會自動啟用非同步 BFD,但要等到在路由器上設定它之後才會生效。AWS 已設定 BFD 連線偵測最小間隔為 300,而 BFD 連線偵測乘數為 3。

問:如何為 AWS GovCloud (US) 區域設定 Direct Connect?

有關如何為 AWS GovCloud (US) 區域設定 Direct Connect 連線的詳細說明,請參閱《AWS GovCloud (US) 使用者指南》。 

問:虛擬界面 (VIF) 連線 VPC 有什麼技術要求?

這種連線需要使用邊界閘道協定 (BGP)。若要完成連線,您將需要:

• 公有或私有 ASN。如果使用公有 ASN,您必須具有其所有權。如果使用私有 ASN,則其必須在 64512 到 65535 範圍內。
• 您所選取的全新未使用 VLAN 標籤。
• VPC 虛擬私有閘道 (VGW) ID
• AWS 將在 169.x.x.x 範圍內為 BGP 工作階段配置私有 IP (/30),並透過 BGP 公告 VPC CIDR 區塊。您可以透過 BGP 公告預設的路由。

問:是否可以在 VPC 和我的網路之間建立 Layer 2 連線?

否。不支援 Layer 2 連線。

VPN 連線

問:AWS Direct Connect 與 IPSec VPN 連線有什麼區別?

VPC VPN 連線利用 IPSec 在您的內部網路和網際網路上的 Amazon VPC 之間建立加密的網路連線。VPN 連接可在幾分鐘內完成設定,而在您急需連接、對頻寬要求不高,且可以容忍網際網路連接原有的多變性時,這是良好的解決方案。AWS Direct Connect 並未納入網際網路;它改為在內部網路和 Amazon VPC 之間使用專門的私有網路連線。

問:是否可以同時使用 AWS Direct Connect 和 VPN 連線來連線至相同的 VPC?

是,但這只用在容錯移轉的情況下。一旦建立 Direct Connect 路徑,它就會是偏好的路徑,而與追加的 AS 路徑無關。 請確保您的 VPN 連線可以處理來自 Direct Connect 的容錯移轉流量。

問:針對 Direct Connect 概述的 BGP 組態/設定詳細資訊是否有任何不同?

Direct Connect 的運作方式與 DX 相同。

AWS Transit Gateway 支援

問:哪些 AWS 區域提供 AWS Transit Gateway 的 AWS Direct Connect 支援?

所有商業 AWS 區域均提供對 Transit Gateway 的支援 (AWS 中國和亞太區域 (大阪) 區域除外)。

問:如何建立傳輸虛擬界面?

您可以使用 AWS 管理主控台或 API 建立傳輸虛擬界面。

問:可分配傳輸虛擬界面至另一個 AWS 帳戶嗎?

是,您可分配傳輸虛擬界面至任何 AWS 帳戶。

問:可連接傳輸虛擬界面至我的虛擬私有閘道嗎?

否,您不可以連接傳輸虛擬界面至您的虛擬私有閘道

問:可以連接私有虛擬界面至我的 AWS Transit Gateway 嗎?

否,您不可以連接私有虛擬界面至您的 AWS Transit Gateway。

問:傳輸虛擬界面有哪些相關限制?

請參考 AWS Direct Connect 限制頁面,了解和傳輸虛擬界面相關的限制。 

問:我可以在連線上新增更多傳輸虛擬界面嗎?

否,您只可在任何容量大於或等於 1 Gbps 的 AWS Direct Connect 連線上建立一個傳輸虛擬界面。

問:我目前已有連線至私有虛擬界面的 Direct Connect 閘道,我可連線傳輸虛擬界面至這個 Direct Connect 閘道嗎?

否,Direct Connect 閘道只可以連線一種虛擬界面。

問:我可以連線我的 AWS Transit Gateway 至連線至私有虛擬界面上的 Direct Connect 閘道嗎?

否,AWS Transit Gateway 只可連線至已連線傳輸虛擬界面的 Direct Connect 閘道。

問:建立 AWS Transit Gateway 和 AWS Direct Connect 閘道的關聯需要多久時間?

建立 AWS Transit Gateway 和 AWS Direct Connect 閘道的關聯最長需時 40 分鐘。

問:每 1 Gbps、10 Gbps 或 100 Gbps 專用連線總共可建立多少個虛擬界面?

每 1 Gbps、10 Gbps 或 100 Gbps 專用連線最多可建立 51 個虛擬界面,其中包括傳輸虛擬界面。

問:我可在 1/2/5/10/100 Gbps 託管連線上建立傳輸虛擬界面嗎?

是的,您可以在任何容量為1 Gbps 或更高 (1、2、5、10、100 Gbps) 的連線上,建立一個傳輸虛擬界面。

問:我有 4 個 10 Gbps LAG,在此連線彙總群組 (LAG) 上,我可以建立多少傳輸虛擬界面?

您可以在 4x10G LAG 上建立一個傳輸虛擬界面。

問:問:傳輸虛擬界面支援 Jumbo Frames 嗎?

是,傳輸虛擬界面將支援 Jumbo Frames。傳輸單元最大值 (MTU) 將限於 8,500。

問:您支援所有邊界閘道協定 (BGP) 屬性,如同您在私有虛擬界面上為傳輸虛擬界面所支援的一樣嗎?

是,您可在傳輸虛擬界面上繼續使用受支援的 BGP 屬性 (AS_PATH, Local Pref, NO_EXPORT)。

Direct Connect 閘道

問:為什麼需要 Direct Connect 閘道?

Direct Connect 閘道執行以下多項功能:

  • Direct Connect 閘道讓您能夠與任何 AWS 區域 (AWS 中國區域除外) 的 VPC 連線,以便您使用 AWS Direct Connect 連線與多個 AWS 區域連線。
  • 您可以共享私有虛擬界面以連線最多十個 Virtual Private Cloud (VPC),以減少內部部署網路與 AWS 部署之間的邊界閘道協定工作階段數量。
  • 透過將傳輸虛擬界面 (VIF) 連接至 Direct Connect 閘道並將 AWS Transit Gateway 與 Direct Connect 閘道關聯,您可以共享傳輸虛擬界面,以最多三個傳輸閘道進行連線。這可減少內部部署網路與 AWS 部署之間的邊界閘道協定工作階段數目。將傳輸 VIF 連線至 Direct Connect 閘道後,該閘道也無法託管另一個私有 VIF - 其專用於傳輸 VIF。
  • 您可以將多個虛擬私有閘道 (VGW,與 VPC 關聯) 關聯至 Direct Connect 閘道,只要與虛擬私有閘道關聯的 Amazon VPC 的 IP CIDR 區塊不重疊即可。

問:我可以把多個 AWS Transit Gateway 關聯至一個 Direct Connect 閘道嗎?

是,只要從您 AWS Transit Gateways 發佈的 IP CIDR 區塊沒有重複,您可將最多三個 AWS Transit Gateway 關聯至一個 Direct Connect 閘道。

問:能否將任何 AWS 帳戶所擁有的 Amazon Virtual Private Cloud (Amazon VPC) 與任何 AWS 帳戶所擁有的 Direct Connect 閘道建立關聯?

是,您可將任何 AWS 帳戶所擁有的 Amazon Virtual Private Cloud (Amazon VPC) 與任何 AWS 帳戶所擁有的 Direct Connect 閘道建立關聯。

問:能否將任何 AWS 帳戶所擁有的 AWS Transit Gateway 與任何 AWS 帳戶所擁有的 Direct Connect 閘道建立關聯?

是,您可將任何 AWS 帳戶所擁有的 AWS Transit Gateway 與任何 AWS 帳戶所擁有的 Direct Connect 閘道建立關聯。

問:如果我使用 Direct Connect 閘道,我的流向所需 AWS 區域的流量是否會通過關聯的本地 AWS 區域?

不會。使用 Direct Connect 閘道時,您的流量將會採用從 Direct Connect 位置到目標 AWS 區域最近的路徑,反之亦然,而不論您所連線的 Direct Connect 位置的關聯本地 AWS 區域為何。

問:使用 Direct Connect 閘道和搭配遠端區域使用時是否需要額外費用?

使用 Direct Connect 閘道不會收取費用。您需要根據來源遠端 AWS 區域支付適用的輸出資料費用和每小時連接埠費用。請參閱 AWS Lambda 定價頁面了解詳細資訊 

問:私有/傳輸虛擬界面、Direct Connect 閘道和虛擬私有閘道或 AWS Transit Gateways 是否需要在同一帳戶內才能使用 Direct Connect 閘道的功能?

是的,私有虛擬界面和 Direct Connect 閘道必須為同一個 AWS 帳戶。同樣,傳輸虛擬界面和 Direct Connect 閘道也必須為同一個 AWS 帳戶。虛擬私有閘道或 AWS Transit Gateway 可在與擁有 Direct Connect 閘道的帳戶不同的 AWS 帳戶內。

問:如果將虛擬私有閘道 (VGW - 已和 Amazon VPC 建立關聯) 與 Direct Connect 閘道建立關聯,是否可繼續使用所有 VPC 功能?

是,Elastic File System、Elastic Load Balancer、Application Load Balancer、安全群組、存取控制清單、AWS PrivateLink 等聯網功能將可繼續與 Direct Connect 閘道搭配使用。
Direct Connect 閘道不支援 CloudHub 功能,但如果您使用的 AWS VPN 連線至與 Direct Connect 閘道相關的虛擬閘道 (VGW),就可以使用 VPN 連線進行容錯移轉。

Direct Connect、AWS Classic VPN、AWS VPN (例如節點到節點路由) VPC 對等、VPC 端點目前不支援的一些功能。

問:我目前和 AWS Direct Connect 合作夥伴共同為我的帳戶佈建私有虛擬界面 (VIF),是否可使用 Direct Connect 閘道?

可以,在 AWS 帳戶確認佈建的私有虛擬界面 (VIF) 時,您可以將佈建的私有虛擬界面與 Direct Connect 閘道建立關聯。

問:如果我只想在本地區域連線 VPC,會發生什麼情況?

您可以繼續將虛擬界面 (VIF) 連接至虛擬私有閘道 (VGW)。您仍將具有區域內 VPC 連線,並按相關地理區域付費。

問:Direct Connect 閘道用量有哪些相關的限制?

請參閱 AWS Direct Connect 限制,了解與 Direct Connect 閘道功能相關的限制。

問:虛擬私有閘道 (VGW,與 VPC 關聯) 是否可以是多個 Direct Connect 閘道的一部分?

否,VGW-VPC 對不能是多個 Direct Connect 閘道的一部分。

問:私有虛擬界面 (VIF) 是否可以連線至多個 Direct Connect 閘道?

否,一個私有虛擬界面只能連線至一個 Direct Connect 閘道或一個虛擬私有閘道。建議您遵照 AWS Direct Connect 彈性建議,並連線一個以上的私有虛擬界面。 

問:Direct Connect 閘道是否會中斷現有的 CloudHub 功能?

否,Direct Connect 閘道不會中斷 CloudHub。Direct Connect 閘道可啟用內部部署網路和任何 AWS 區域的 VPC 間的連線。CloudHub 使用 Direct Connect 或相同區域內的 VPN,以啟用內部部署網路之間的連線。VIF 與 VGW 直接關聯。現有 CloudHub 功能將會繼續受到支援。您可以將 Direct Connect 虛擬界面 (VIF) 直接連線至虛擬私有閘道 (VGW),以支援區域內 CloudHub。

問:Direct Connect 閘道支援和不支援哪種流量類型?

請參閱 AWS Direct Connect 使用者指南以檢閱支援和不支援的流量模式。 

問:我目前在 us-east-1 有一個 VPN 連線至虛擬私有閘道 (VGW)。我想在 us-east-1 的 VPN 和新 VIF 之間啟用 CloudHub。是否可透過 Direct Connect 閘道執行?

否,您無法透過 Direct Connect 閘道執行,但可選擇直接將 VIF 連接到 VGW,以啟用 VPN <-> Direct Connect CloudHub 使用案例。

問:我現有的私有虛擬界面已與 VGW 關聯,是否可將現有的私有虛擬界面與 Direct Connect 閘道建立關聯?

否,與 VGW 關聯的現有私有虛擬界面無法與 Direct Connect 閘道建立關聯。請建立新的私有虛擬界面,並在建立時與 Direct Connect 閘道建立關聯。

問:如果我的 VGW 連線至 VPN 和 Direct Connect 閘道,萬一 Direct Connect 線路發生故障時,VPC 流量是否會路由出 VPN?

是,只要 VPC 路由表仍然有朝向 VPN 的虛擬私有閘道 (VGW) 路由。

問:是否可將未連線至 VPC 的虛擬私有閘道 (VGW) 連線至 Direct Connect 閘道?

否,您不能將未連線的 VGW 與 Direct Connect 閘道建立關聯。

問:我建立了包含一個 Direct Connect 私有虛擬界面的 Direct Connect 閘道和三個不重疊的虛擬私有閘道 (VGW,分別與 VPC 關聯)。如果我將其中一個 VGW 與 VPC 分離,會發生什麼情況?

從內部部署網路到分離的 VPC 的流量將會停止,而 VGW 與 Direct Connect 閘道的關聯將會刪除。

問:我建立了包含一個 Direct Connect VIF 的 Direct Connect 閘道和三個不重疊的 VGW-VPC 對,如果我將其中一個虛擬私有閘道 (VGW) 與 Direct Connect 閘道分離,會發生什麼情況?

從內部部署網路到分離的 VGW (與 VPC 關聯) 的流量將會停止。

問:是否可將流量從與 Direct Connect 閘道關聯的 VPC 傳送到相同 Direct Connect 閘道的另一個關聯 VPC?

否,Direct Connect 閘道只支援從 Direct Connect VIF 到 VGW (與 VPC 關聯) 的路由流量。如果要在 2 個 VPC 間傳送流量,您必須設定 VPC 對等連線。

問:我目前在 us-east-1 有一個 VPN 連線至 VGW。如果我將這個 VGW 與 Direct Connect 閘道建立關聯,是否可將流量從該 VPN 傳送到在不同區域中連線至 Direct Connect 閘道的 VIF?

否,Direct Connect 閘道不會在 VPN 和 Direct Connect VIF 之間路由流量。若要啟用這個使用案例,您要在 VIF 的區域中建立 VPN,再將 VIF 和 VPN 連接到相同的 VGW。

問:否可以調整與 Direct Connect 閘道相關聯的 Amazon VPC 大小?

是,您可以調整 Amazon VPC 的大小。如果您要調整 Amazon VPC 的大小,則必須將調整過大小的 VPC CIDR 的提案重新傳送給 Direct Connect 閘道擁有者。Direct Connect 閘道擁有者核准新提案後,就會向您的內部部署網路公告已調整大小的 VPC CIDR。

問:是否有方法將 Direct Connect 閘道設定成選擇性向 Amazon VPC 來回傳播前綴?

是,Direct Connect 閘道可讓您選擇性地向內部部署網路宣告前綴。對於從內部部署網路公告的前綴,與 Direct Connect 閘道關聯的每個 VPC 會接收從內部部署網路宣告的所有前綴。如果要限制進出任何特定 Amazon VPC 的流量,請考慮對每個 VPC 使用存取控制清單 (ACL)。

本機偏好社群

問:是否可在現有的 EBGP 工作階段使用此功能?

是,私有虛擬界面上的所有現有 BGP 工作階段都支援使用本機偏好社群。

問:是否公有和私有虛擬界面都會提供此功能?

否,此功能目前僅適用於私有和傳輸虛擬界面。

問:這個功能是否可與 Direct Connect 閘道搭配使用?

是,此功能可在連接 Direct Connect 閘道的私有虛擬界面使用。

問:是否可驗證 AWS 接收的社群?

否,我們目前不提供這類監控功能。

問:支援哪些 Direct Connect 私有虛擬界面的本機偏好社群?

私有虛擬界面支援以下社群,以最低到最高偏好進行評估。社群彼此互斥。標示為相同社群且有相同 MED*、AS_PATH 屬性的前綴是多路徑的候選項。

  • 7224:7100 – 低偏好
  • 7224:7200 – 中偏好
  • 7224:7300 – 高偏好

問:如果沒有使用支援的社群,會有哪些預設行為?

如果沒有指定私有 VIF 的本機偏好社群,會依據本機區域到 Direct Connect 位置的距離選擇預設本機偏好。在這種情況下,從多個 Direct Connect 位置到多個 VIF 的輸出行為將無法預測。

問:我在 Direct Connect 位置的實體連線上有兩個私有 VIF,是否可使用支援的社群影響這兩個私有 VIF 的輸出行為?

是,您可以使用此功能影響相同實體連線上兩個 VIF 之間的輸出流量行為。

問:本機偏好社群功能是否支援容錯移轉?

是。透過主要/主動虛擬界面公告前綴的社群本機偏好高於透過備份/被動虛擬界面公告的前綴,即可完成此操作。這個功能可與之前已存在的容錯移轉方法回溯相容;如果您的 Direct Connect 目前設定為可容錯移轉,則不需要支付額外的費用。

問:我已經在路由器設定 AS_PATH,是否需要變更組態以使用社群標籤和中斷網路?

否,我們會持續採用 AS_PATH 屬性。這個功能是額外的工具,可讓您更好地控制來自 AWS 的傳入流量。Direct Connect 遵守標準的路徑選擇方法。請注意,本機偏好會較 AS_PATH 屬性優先評估。

問:我有兩個 Direct Connect 連線,一個 1 G 而另一個 10 G,而且兩個都公告相同的前綴。我想要使用 10 G 的 Direct Connect 連線接收此目標的所有流量,但仍然可以容錯移轉到 1 G 的連線。是否可以使用本機偏好社群平衡此案例的流量?

是。將透過 10 G Direct 連線公告的前綴標示為較高本機偏好的社群,則會成為偏好的路徑。在 10 G 故障或前綴撤銷的情況下,1 G 界面將成為傳回路徑。

問:AWS 多路徑傳輸流量到網路的寬度為何?

每個前綴的多路徑傳輸最高為 16 個下一躍點寬,每個下一躍點都是唯一的 AWS 端點。

問:是否可在單一 VPN 通道執行 v4 和 v6 BGP 工作階段?

我們目前只允許在含 IPv4 地址的單一 VPN 通道執行 v4 BGP 工作階段。未來,我們將允許透過含 IPv4 端點地址的單一 VPN 通道來執行 v6 BGP 工作階段。

問:針對 Direct Connect 概述的 BGP 組態/設定詳細資訊是否有任何不同?

Direct Connect 的運作方式與 DX 相同。

問:是否可以將我的通道終止到含 IPv6 地址的端點?

我們目前只支援 VPN 的 IPv4 端點地址。 

問:是否可以將我的通道終止到 IPv4 地址,並透過通道執行 IPv6 BGP 工作階段?

我們目前只允許在含 IPv4 地址的單一 VPN 通道執行 v4 BGP 工作階段。

Direct Connect 閘道 - 私有 ASN

問:這個功能是什麼?

可設定的私有自發系統編號 (ASN)。這可讓客戶在任何新建立的 Direct Connect 閘道上,針對私有 VIF 在 BGP 工作階段的 Amazon 端設定 ASN。

問:哪些區域提供這些功能?

所有商業 AWS 區域 (AWS 中國區域除外) 和 GovCloud (US)。

問:如何設定/指派我的 ASN 將其公告為 Amazon 端 ASN?

在建立新的 Direct Connect 閘道時,您可以設定/指派要公告為 Amazon 端 ASN 的 ASN。您可以使用 AWS Direct Connect 主控台或 CreateDirectConnectGateway API 呼叫,建立 Direct Connect 閘道。

問:是否可使用任何 ASN – 公有和私有?

您可以將任何私有 ASN 指派到 Amazon 端。您不能指派任何其他公有 ASN。

問:為什麼不能在 BGP 工作階段的 Amazon 端指派公有 ASN?

Amazon 不會驗證 ASN 的擁有權,所以我們將 Amazon 端的 ASN 限制為私有 ASN。我們希望保護客戶不受 BGP 詐騙的危害。

問:我可以選擇哪一種 ASN?

您可以選擇任何私有 ASN。16 位元私有 ASN 的範圍包含 64512 到 65534。您也可以提供 32 位元的 ASN,範圍介於 4200000000 和 4294967294 之間。

問:如果我嘗試指派公有 ASN 到 BGP 工作階段的 Amazon 端,會發生什麼情況?

當您嘗試建立 Direct Connect 閘道時,我們會要求您重新輸入私有 ASN。

問:如果我沒有為 BGP 工作階段的 Amazon 端提供 ASN,Amazon 會為我指派哪一個 ASN?

如果您沒有選擇 ASN,Amazon 會為 Direct Connect 閘道提供 64512。

問:我可以在哪裡檢視 Amazon 端 ASN?

您可以在 AWS Direct Connect 主控台和 DescribeDirectConnectGateways 的回應,或使用 DescribeVirtualInterfaces API 來檢視 Amazon 端 ASN。

問:如果我有公有 ASN,是否可以在 AWS 端搭配私有 ASN 使用?

是,您可以在 BGP 工作階段的 Amazon 端設定私有 ASN,並在您這一端設定公有 ASN。

問:我已經設定了私有 VIF,希望在現有 VIF 上為 BGP 工作階段設定不同的 Amazon 端 ASN。要如何執行這項變更?

您必須以所需的 ASN 建立新的 Direct Connect 閘道,再以新建立的 Direct Connect 閘道建立新的 VIF。您的裝置組態也需要進行適當的變更。

問:我正將多個私有 VIF 連接到單一 Direct Connect 閘道。每個 VIF 是否可有個別的 Amazon 端 ASN?

否,您可以為每個 Direct Connect 閘道指派/設定個別的 Amazon 端 ASN,而非每個 VIF。VIF 的 Amazon 端 ASN 是繼承自連接的 Direct Connect 閘道的 Amazon 端 ASN。

問:是否可為 Direct Connect 閘道和虛擬私有閘道使用不同的私有 ASN?

是,您可以為 Direct Connect 閘道和虛擬私有閘道使用不同的私有 ASN。請注意,您收到的 Amazon 端 ASN 取決於您的私有虛擬界面關聯。

問:是否可為 Direct Connect 閘道和虛擬私有閘道使用相同的私有 ASN?

是,您可以為 Direct Connect 閘道和虛擬私有閘道使用相同的私有 ASN。請注意,您收到的 Amazon 端 ASN 取決於您的私有虛擬界面關聯。

問:我正將擁有自己私有 ASN 的多個虛擬私有閘道連接到以其私有 ASN 設定的單一 Direct Connect 閘道。哪一個私有 ASN 的優先順序較高?VGW 還是 Direct Connect 閘道?

Direct Connect 閘道私有 ASN 將做為您的網路和 AWS 之間邊界閘道協定 (BGP) 工作階段的 Amazon 端 ASN。

問:我可以在哪裡選取自己的私有 ASN?

在 AWS Direct Connect 閘道主控台建立 Direct Connect 閘道時。以 Amazon 端 ASN 設定 Direct Connect 閘道後,與 Direct Connect 閘道關聯的私有虛擬界面就會使用您設定的 ASN 做為 Amazon 端 ASN。

問:我目前使用 CloudHub。未來是否需要調整組態?

您不需要做任何變更。

問:我想選取 32 位元 ASN。32 位元私有 ASN 的範圍為何?

我們支援從 4200000000 到 4294967294 的 32 位元 ASN。

問:Direct Connect 閘道建立之後,是否可變更或修改 Amazon 端 ASN?

否,建立之後就不能修改 Amazon 端 ASN。您可以刪除 Direct Connect 閘道,然後以所需的私有 ASN 重新建立新的 Direct Connect 閘道。

MACsec

問:什麼是 MACsec?

802.1AE MAC 安全性 (MACsec) 是一項 IEEE 標準,可提供資料機密性、資料完整性和資料來源真實性。您可以使用支援 MACsec 的 AWS Direct Connect 連線,來加密從內部部署網路或共置裝置到您所選 AWS Direct Connect 接入點的資料。

問:MACsec 是否可以取代我目前在網路中使用的其他加密技術?

MACsec 並非取代任何特定的加密技術。為簡單起見,以及進行深入的防禦,您應繼續使用已使用的所有加密技術。除了目前使用的其他加密技術外,我們還提供 MACsec 作為加密選項,您可以將其整合至您的網路中。

問:哪種類型的 Direct Connect 連線支援 MACsec?

在選定連接點的 10Gbps 和 100Gbps 專用 Direct Connect 連線上支援 MACsec。為了使 MACsec 正常工作,您的專用連線對於第 2 層流量而言必須是透明的。如果您使用的是最後一英里的連線合作夥伴,請檢查您的最後一英里連線是否支援 MACsec。1Gbps 專用連線或託管連線不支援 MACsec。

問:使用 MACsec 是否需要任何特殊的硬體?

是。在與 Direct Connect 位置的以太網路連線的末端,您需要具有 MACsec 功能的裝置。請參考我們的文件,以驗證支援的操作模式和必要的 MACsec 功能。

問:是否需要新的 Direct Connect 才能在支援 MACsec 的裝置上使用 MACsec?

MACsec 要求您在連線 AWS Direct Connect 端具有 MACsec 功能的裝置上終止連線。您可以透過 AWS 管理主控台或 DescribeConnections Direct Connect API,檢查現有連線是否支援 MACsec。如果現有 MACsec 連線沒有在支援 MACsec 的裝置上終止,可以使用 AWS 管理主控台或 CreateConnection API 請求支援 MACsec 的新連線。

問:支援哪些 MACsec 密碼套件?

我們目前支援 GCM-AES-XPN-256 密碼套件。

問:為什麼只支援 256 位元金鑰?

我們僅支援 256 位元 MACsec 金鑰,以提供最新的資料保護。

問:是否需要使用擴展封包編號 (XPN)?

是,我們要求使用 XPN。100Gbps 專用連線等超高速連線會迅速耗盡 MACsec 原始 32 位元封包編號空間,這將需要您每隔幾分鐘輪換一次加密金鑰來建立新的連線協會。為避免這種情況,IEEE Std 802.1AEbw-2013 修訂版引入了擴展的封包編號,將編號空間增加至 64 位元,從而緩解金鑰輪換的及時性要求。

問:是否支援使用安全通道識別符 (SCI)?

是。我們要求啟用 SCI。此設定無法變更。

問:是否支援 IEEE 802.1Q (Dot1q/VLAN) 標籤偏移/dot1q-in-clear?

否,我們不支援將 VLAN 標籤移至加密的有效負載之外。

進一步了解 AWS Direct Connect 定價

瀏覽定價頁面
準備好開始建立?
開始使用 AWS Direct Connect
還有其他問題嗎?
聯絡我們