本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 AWS Direct Connect Classic 連線
當您有現有的 Direct Connect 連線時,請設定 Classic 連線。
步驟 1:註冊 AWS
若要使用 AWS Direct Connect,如果您還沒有 帳戶,則需要 帳戶。
註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟以建立 。
若要註冊 AWS 帳戶
開啟https://portal.aws.amazon.com/billing/註冊
。 請遵循線上指示進行。
部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,AWS 帳戶根使用者會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時前往 https://aws.amazon.com/
建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護您的 AWS 帳戶根使用者、啟用 AWS IAM Identity Center並建立管理使用者,這樣您就不會將根使用者用於日常任務。
保護您的 AWS 帳戶根使用者
-
選擇根使用者並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者AWS Management Console
身分登入 。在下一頁中,輸入您的密碼。 如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入。
-
為您的根使用者開啟多重要素驗證 (MFA)。
如需指示,請參閱 IAM 使用者指南 中的為 AWS 帳戶 根使用者 (主控台) 啟用虛擬MFA裝置。
建立具有管理存取權的使用者
-
啟用IAM身分中心。
如需指示,請參閱 AWS IAM Identity Center 使用者指南中的啟用 AWS IAM Identity Center。
-
在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 作為身分來源的教學課程,請參閱 AWS IAM Identity Center 使用者指南 中的使用 設定使用者存取權 IAM Identity Center 目錄。
以具有管理存取權的使用者身分登入
-
若要使用 IAM Identity Center 使用者登入,請使用您建立 IAM Identity Center 使用者時URL傳送到您電子郵件地址的登入。
如需使用 IAM Identity Center 使用者登入的協助,請參閱 AWS 登入 使用者指南 中的登入 AWS 存取入口網站。
指派存取權給其他使用者
步驟 2:請求 AWS Direct Connect 專用連線
對於專用連線,您可以使用 AWS Direct Connect 主控台提交連線請求。對於託管連線,請與 AWS Direct Connect 合作夥伴合作請求託管連線。請務必備妥下列資訊:
-
您需要的連接埠速度。在您建立連線要求之後,就無法變更連接埠速度。
-
要終止連線 AWS Direct Connect 的位置。
注意
您不能使用 AWS Direct Connect 主控台請求託管連線。相反地,請聯絡 AWS Direct Connect 合作夥伴,他們可以為您建立託管連線,然後您接受。略過以下程序並前往 接受託管連線。
若要建立新的 AWS Direct Connect 連線
在 https://console.aws.amazon.com/directconnect/v2/home
開啟AWS Direct Connect主控台。 -
在導覽窗格中,選擇連線,然後選擇建立連線。
-
選擇 Classic (傳統)。
-
在 Create Connection (建立連線) 窗格的 Connection settings (連線設定) 之下,執行下列動作:
-
對於 Name (連線),輸入連線的名稱。
-
對於 Location (據點),選取合適的 AWS Direct Connect 據點。
-
如適用,將 Sub Location (子據點) 選為最靠近您本身或網路供應商的樓層。只有在 位置在建築物的多個樓層有會議室 (MMRs) 時,才能使用此選項。
-
對於 Port Speed (連接埠速度),選擇連線頻寬。
-
對於內部部署 ,當您使用此連線連線到資料中心時,請選取透過 AWS Direct Connect 合作夥伴連線。
-
對於服務提供者 ,選取 AWS Direct Connect 合作夥伴。如果您使用不在清單中的合作夥伴,請選取 Other (其他)。
-
如果您對服務供應商選取其他,則對其他供應商的名稱,請輸入您使用的合作夥伴名稱。
-
(選用) 新增或移除標籤。
[新增標籤] 選擇 Add tag (新增標籤),並執行下列動作:
對於 Key (金鑰),輸入金鑰名稱。
在值中,進入索引鍵值。
[移除標籤] 在標籤旁邊,選擇 移除標籤。
-
-
選擇建立連線。
最多可能需要 72 小時 AWS 才能檢閱您的請求,並為連線佈建連接埠。在此期間,您可能會收到一封電子郵件,要求您就自身使用案例或指定的據點補齊更多資訊。電子郵件會傳送至您在註冊 時使用的電子郵件地址 AWS。您必須在 7 日內回覆,否則將刪除連線。
如需詳細資訊,請參閱AWS Direct Connect 專用和託管連線。
接受託管連線
您必須先接受 AWS Direct Connect 主控台中的託管連線,才能建立虛擬介面。此步驟僅適用於託管連線。
接受託管虛擬介面
在 https://console.aws.amazon.com/directconnect/v2/home
開啟AWS Direct Connect主控台。 -
在導覽窗格中,選擇 Connections (連線)。
-
選取託管連線,然後選擇「接受」。
選擇 Accept (接受)。
(專用連線) 步驟 3:下載 LOA-CFA
在您請求連線後,我們會提供授權書和連線設施指派 (LOA-CFA) 供您下載,或透過電子郵件向您傳送請求以取得詳細資訊。LOA-CFA 是連線至 的授權 AWS,且主機託管提供者或您的網路提供者需要 才能建立跨網路連線 (跨連線)。
若要下載 LOA-CFA
在 https://console.aws.amazon.com/directconnect/v2/home
開啟AWS Direct Connect主控台。 -
在導覽窗格中,選擇 Connections (連線)。
-
選取連線,然後選擇 View Details (檢視詳細資訊)。
-
選擇下載 LOA-CFA。
LOA-CFA 會以PDF檔案形式下載至您的電腦。
注意
如果未啟用連結,則 LOA-CFA 尚無法下載。請檢查您是否收到要求補齊更多資訊的電子郵件。若仍然無法使用,或是您在 72 小時之後還未收到電子郵件,請聯絡 AWS Support
。 -
下載 LOA- 之後CFA,請執行下列其中一項操作:
-
如果您與 AWS Direct Connect 合作夥伴或網路提供者合作,請將 LOA- CFA傳送給他們,讓他們可以在 AWS Direct Connect 位置為您訂購交叉連線。若對方無法為您訂購交叉連接,您可以直接聯繫主機代管服務供應商。
-
如果您在該 AWS Direct Connect 位置有設備,請聯絡託管提供者請求跨網路連線。您必須是主機代管供應商的客戶。您還必須向他們提供 LOA-CFA 授權路由器的連線 AWS ,以及連線到網路的必要資訊。
-
AWS Direct Connect 列為多個站台的位置 (例如 Equinix DC1-DC6 和 DC10-DC11) 會設定為校園。若您的設備或網路供應商的設備位於任一個這類站點,您便能夠申請交叉連接至您指派的連接埠,即使該連接埠位不同園區建築物。
重要
校園會被視為單一 AWS Direct Connect 位置。為了實現高可用性,請設定連線到不同的 AWS Direct Connect 位置。
如果您本身或網路供應商在建立實體連線時遭遇問題,請參閱 診斷排解第 1 層 (實體) 問題。
步驟 4:建立虛擬介面
若要開始使用 AWS Direct Connect 連線,您必須建立虛擬介面。您可以建立私有虛擬介面以連線至您的 VPC。或者,您可以建立公有虛擬介面,以連線至不在 中的公有 AWS 服務VPC。當您建立私有虛擬介面至 時VPC,您需要每個要連線VPC的 私有虛擬介面。例如,您需要三個私有虛擬介面才能連線至三個 VPCs。
開始之前,請務必備妥下列資訊:
資源 | 必要資訊 |
---|---|
Connection (連線) | 您要為其建立虛擬介面的 AWS Direct Connect 連線或連結彙總群組 (LAG)。 |
虛擬介面名稱 | 虛擬介面的名稱。 |
虛擬介面擁有者 | 如果您要為另一個帳戶建立虛擬介面,則需要另一個帳戶的 AWS 帳戶 ID。 |
(僅限私有虛擬介面) 連線 | 若要連線到相同 AWS 區域中VPC的 ,您需要 的虛擬私有閘道VPC。BGP 工作階段 ASN Amazon 端的 會從虛擬私有閘道繼承。建立虛擬私有閘道時,您可以指定自己的私有 ASN。否則,Amazon 會提供預設 ASN。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的建立虛擬私有閘道。若要VPC透過 Direct Connect 閘道連線至 ,您需要 Direct Connect 閘道。如需詳細資訊,請參閱 Direct Connect 閘道。 |
VLAN | 尚未用於連線的唯一虛擬區域網路 (VLAN) 標籤。此值必須介於 1 到 4094 之間,且必須符合乙太網路 802.1Q 標準。任何周遊 AWS Direct Connect 連線的流量都需使用此標籤。 如果您有託管連線,您的 AWS Direct Connect 合作夥伴會提供此值。建立虛擬介面後,就無法修改該值。 |
對等 IP 地址 | 虛擬介面可以支援 IPv4、 IPv6或其中一個 (雙堆疊) 的BGP對等工作階段。請勿使用 Elastic IPs(EIPs) 或從 Amazon 集區攜帶您自己的 IP 地址 (BYOIP) 來建立公有虛擬介面。您無法為相同虛擬介面上的相同 IP 定址系列建立多個BGP工作階段。IP 地址範圍會指派給對BGP等工作階段的虛擬介面每一端。
|
地址系列 | BGP 對等工作階段是否將結束 IPv4或 IPv6。 |
BGP 資訊 |
|
(僅限公有虛擬介面) 您要公告的字首 | 透過 公告的公IPv4有路由或IPv6路由BGP。您必須使用 公告至少一個字首BGP,最多 1,000 個字首。
|
(僅限私有虛擬介面) 巨型訊框 | 透過 的封包傳輸單位上限 (MTU) AWS Direct Connect。預設值為 1500。如果虛擬介面MTU的 未更新為支援巨型訊框,則將虛擬介面的 設定為 9001 (巨型訊框) 可能會導致基礎實體連線的更新。更新連線會干擾所有連線相關聯的虛擬介面的網路連線能力達 30 秒。巨型訊框僅適用於從 傳播的路由 AWS Direct Connect。如果您將靜態路由新增至指向虛擬私有閘道的路由表,則透過靜態路由路由路由的流量會使用 1500 傳送MTU。若要檢查連線或虛擬介面是否支援巨型訊框,請在 AWS Direct Connect 主控台中選取它,然後在虛擬介面一般組態頁面上尋找支援巨型訊框。 |
(僅限傳輸虛擬介面) 巨型訊框 | 透過 的封包傳輸單位上限 (MTU) AWS Direct Connect。預設值為 1500。如果虛擬介面MTU的 未更新為支援巨型訊框,則將虛擬介面的 設定為 8500 (巨型訊框),可能會導致基礎實體連線的更新。更新連線會干擾所有連線相關聯的虛擬介面的網路連線能力達 30 秒。Direct Connect 最多支援 8500 MTU 個巨型訊框。在 Transit Gateway Route Table 中設定的靜態路由和傳播路由將支援 Jumbo 框架,包括從具有VPC靜態路由表項目的EC2執行個體到 Transit Gateway Attachment。若要檢查連線或虛擬介面是否支援巨型訊框,請在 AWS Direct Connect 主控台中選取它,然後在虛擬介面一般組態頁面上尋找支援巨型訊框。 |
如果您的公有字首ASNs或屬於 或 ISP 網路電信業者,我們會向您請求其他資訊。這可以是使用官方公司信頭的文件,或來自公司網域名稱的電子郵件,以驗證網路字首/ASN 可能由您使用。
對於私有虛擬介面和公有虛擬介面,網路連線的最大傳輸單位 (MTU) 是可透過連線傳遞的最大允許封包的大小,以位元組為單位。虛擬私有介面MTU的 可以是 1500 或 9001 (巨型訊框)。傳輸虛擬介面MTU的 可以是 1500 或 8500 (巨型訊框)。您可以在建立介面MTU時指定 ,或在建立介面後對其進行更新。將虛擬介面MTU的 設定為 8500 (巨型訊框) 或 9001 (巨型訊框),如果其未更新以支援巨型訊框,可能會導致基礎實體連線的更新。更新連線會干擾所有連線相關聯的虛擬介面的網路連線能力達 30 秒。若要檢查連線或虛擬介面是否支援巨型訊框,請在 AWS Direct Connect 主控台中選取它,然後在摘要索引標籤上尋找巨型訊框功能。
當您建立公有虛擬介面時,可能需要最多 72 小時 AWS 的時間才能檢閱和核准您的請求。
將公有虛擬介面佈建至非VPC 服務
在 https://console.aws.amazon.com/directconnect/v2/home
開啟AWS Direct Connect主控台。 -
在導覽窗格中,選擇 Virtual Interfaces (虛擬介面)。
-
選擇建立虛擬介面。
-
在虛擬介面類型之下,針對類型選擇公有。
-
在公有虛擬介面設定 之下,執行下列動作:
-
針對虛擬介面名稱,輸入虛擬介面的名稱。
-
針對連線,選擇要用於此介面的 Direct Connect 連線。
-
針對 VLAN,輸入虛擬區域網路的 ID 號碼 (VLAN)。
-
對於 BGP ASN,輸入新虛擬介面內部部署對等路由器的邊界閘道通訊協定自治系統編號。
有效值為 1-2147483647。
-
-
在 Additional settings (其他設定) 之下,執行下列動作:
-
若要設定 IPv4BGP或 IPv6對等,請執行下列動作:
【IPv4】 若要設定IPv4BGP對等,請選擇 IPv4並執行下列其中一項操作:
-
若要自行指定這些 IP 地址,請針對您的路由器對等 ip 輸入 Amazon 應傳送流量的目的地IPv4CIDR地址。
-
針對 Amazon 路由器對等 IP ,輸入要用來傳送流量至 IPv4CIDR的地址 AWS。
【IPv6】 若要設定IPv6BGP對等,請選擇 IPv6。對等IPv6地址會自動從 Amazon IPv6的地址集區指派。您無法指定自訂IPv6地址。
-
-
若要提供您自己的BGP金鑰,請輸入您的BGPMD5金鑰。
如果您未輸入值,我們會產生BGP金鑰。
-
若要將字首公告至 Amazon,針對您要公告的字首,請輸入目的地地址 (以逗號分隔),流量應透過虛擬介面路由至該IPv4CIDR地址。
-
(選用) 新增或移除標籤。
[新增標籤] 選擇 Add tag (新增標籤),並執行下列動作:
-
對於 Key (金鑰),輸入金鑰名稱。
-
在值中,進入索引鍵值。
[移除標籤] 在標籤旁邊,選擇 移除標籤。
-
-
-
選擇建立虛擬介面。
將私有虛擬介面佈建至 VPC
在 https://console.aws.amazon.com/directconnect/v2/home
開啟AWS Direct Connect主控台。 -
在導覽窗格中,選擇 Virtual Interfaces (虛擬介面)。
-
選擇建立虛擬介面。
-
在虛擬介面類型之下,對於類型,請選擇私有。
-
在公有虛擬介面設定之下,執行下列動作:
-
針對虛擬介面名稱,輸入虛擬介面的名稱。
-
針對連線,選擇要用於此介面的 Direct Connect 連線。
-
對於閘道類型,選擇「虛擬私有閘道」或「Direct Connect 閘道」。
-
對於虛擬介面擁有者 ,選擇另一個 AWS 帳戶 ,然後輸入 AWS 帳戶。
-
對於虛擬私有閘道,請選擇您用於此介面的虛擬私有閘道。
-
針對 VLAN,輸入虛擬區域網路的 ID 號碼 (VLAN)。
-
針對 BGP ASN,輸入新虛擬介面內部部署對等路由器的邊界閘道通訊協定自治系統編號。
有效值為 1 至 2147483647。
-
-
在 Additional settings (其他設定) 之下,執行下列動作:
-
若要設定 IPv4BGP或 IPv6對等,請執行下列動作:
【IPv4】 若要設定IPv4BGP對等,請選擇 IPv4並執行下列其中一項操作:
-
若要自行指定這些 IP 地址,請針對您的路由器對等 IP 輸入 Amazon 應傳送流量的目的地IPv4CIDR地址。
-
針對 Amazon 路由器對等 ip,輸入用來將流量傳送至 IPv4CIDR的地址 AWS。
重要
如果您允許 AWS 自動指派IPv4地址,則 /29 CIDR將根據 3927 從 169.254.0.0/16 IPv4 Link-Local RFC 開始配置以供 point-to-point連線。如果您打算使用客戶路由器對等 IP 地址作為VPC流量的來源和/或目的地, AWS 則 不會建議此選項。反之,您應該使用 RFC 1918 或其他地址,並自行指定地址。
-
如需 RFC 1918 年的詳細資訊,請參閱私有網際網路的地址分配。
-
如需 RFC 3927 的詳細資訊,請參閱IPv4連結本機地址的動態組態。
-
【IPv6】 若要設定IPv6BGP對等,請選擇 IPv6。對等IPv6地址會自動從 Amazon IPv6的地址集區指派。您無法指定自訂IPv6地址。
-
-
若要將最大傳輸單位 (MTU) 從 1500 (預設) 變更為 9001 (巨型影格),請選取巨型 MTU(MTU 大小 9001)。
(選用) 在啟用 SiteLink下,選擇已啟用以啟用存在的 Direct Connect 點之間的直接連線。
-
(選用) 新增或移除標籤。
[新增標籤] 選擇 Add tag (新增標籤),並執行下列動作:
對於 Key (金鑰),輸入金鑰名稱。
在值中,進入索引鍵值。
[移除標籤] 在標籤旁邊,選擇 移除標籤。
-
-
選擇建立虛擬介面。
-
您需要使用BGP裝置來公告您用於公有VIF連線的網路。
步驟 5:下載路由器組態
建立 AWS Direct Connect 連線的虛擬介面後,您可以下載路由器組態檔案。該檔案包含將您的路由器設定成搭配私有或公有虛擬介面使用所需的命令。
若要下載路由器組態
在 https://console.aws.amazon.com/directconnect/v2/home
開啟AWS Direct Connect主控台。 -
在導覽窗格中,選擇 Virtual Interfaces (虛擬介面)。
-
選取連線,然後選擇 View Details (檢視詳細資訊)。
-
選擇 Download router configuration (下載路由器組態)。
-
對於 Download Router Configuration (下載路由器組態),請執行以下動作:
-
針對 Vendor (廠商),選取路由器的製造商。
-
針對 Platform (平台),選取路由器的型號。
-
針對 Software (軟體),選取路由器的軟體版本。
-
-
選擇 Download (下載),接著使用路由器的適當組態來確保您可以連接至 AWS Direct Connect。
如需組態檔案的範例,請參閱路由器組態檔案範例。
您的路由器設定妥之後,虛擬介面的狀態會變成 UP
。如果虛擬介面保持關閉,且您無法 ping AWS Direct Connect 裝置的對等 IP 地址,請參閱 診斷排解第 2 層 (資料鏈路) 問題。若您能夠 ping 到對等 IP 地址,請參閱診斷排解第 3/4 層 (網路/傳輸) 問題。如果已建立BGP對等工作階段,但您無法路由流量,請參閱 疑難排解路由問題。
步驟 6:驗證您的虛擬介面
建立 AWS Cloud 或 Amazon 的虛擬介面後VPC,您可以使用下列程序驗證 AWS Direct Connect 連線。
驗證與 AWS Cloud 的虛擬介面連線
-
執行
traceroute
並確認 AWS Direct Connect 識別碼位於網路追蹤中。
驗證與 Amazon 的虛擬介面連線 VPC
-
使用 pingable AMI,例如 Amazon Linux AMI,在連接至您虛擬私有閘道VPC的 中啟動EC2執行個體。當您使用 Amazon EC2主控台AMIs中的執行個體啟動精靈時,Amazon Linux 可在快速入門索引標籤中使用。如需詳細資訊,請參閱 Amazon 使用者指南中的啟動執行個體。 EC2 確保與執行個體相關聯的安全群組包含允許傳入ICMP流量的規則 (適用於 ping 請求)。
-
執行個體執行後,請取得其私有IPv4地址 (例如 10.0.0.4)。Amazon EC2主控台會將地址顯示為執行個體詳細資訊的一部分。
-
Ping 私有IPv4地址並取得回應。
(建議) 步驟 7:設定備援連線
若要提供容錯移轉,建議您請求並設定兩個專用連線至 AWS,如下圖所示。這些連線的終端處可能是您網路上的一部或兩部路由器。
佈建兩個專屬連線的情況下,有不同的組態可供選擇:
-
主動/主動 (BGP 多路徑)。這是預設組態,其中兩個連線都處於作用中狀態。 AWS Direct Connect 支援對相同位置內的多個虛擬介面進行多路徑,且流量會根據流程在介面之間進行負載共用。若其中一個連線無法使用,所有流量都將轉往另一連線。
-
主動/被動 (容錯移轉)。由其中一個連線處理流量,另一連線處於待命狀態。若主動連線無法使用,所有流量都將轉往被動連線。您需要就其中一條鏈路在路由前面加上 AS 路徑,使其成為被動鏈路。
您的連線採用哪種組態並不會影響備援,但將影響兩個連線間決定資料路由方式的政策。建議您將兩個連線都設定成主動連線。
如果您使用VPN連線進行備援,請務必實作運作狀態檢查和容錯移轉機制。如果使用下列任一組態,則需檢查您的路由表路由,以路由至新的網路介面。
-
您可以將自己的執行個體用於路由,例如執行個體是防火牆。
-
您可以使用自己的執行個體來終止VPN連線。
為了實現高可用性,強烈建議您設定不同 AWS Direct Connect 位置的連線。
如需 AWS Direct Connect 恢復力的詳細資訊,請參閱AWS Direct Connect 恢復力建議