AWS Direct Connect 常见问题

AWS Direct Connect 网关是虚拟私有网关 (VGW) 和私有虚拟接口 (VIF) 的组合。AWS Direct Connect 网关是全球可用的资源。您可以在任何区域中创建 AWS Direct Connect 网关，并从所有其他区域进行访问。

虚拟接口 (VIF) 是访问 AWS 服务的必要条件，它可以是公有，也可以是私有。公有虚拟接口支持访问公有服务，如 Amazon S3。私有虚拟接口支持访问 VPC。有关更多信息，请参阅 AWS Direct Connect 虚拟接口。

虚拟私有网关 (VGW) 是 VPC 的一部分，可为 AWS 托管的 VPN 连接和 AWS Direct Connect 连接提供边缘路由。您可以将 AWS Direct Connect 网关与 VPC 的虚拟私有网关关联。有关更多详细信息，请参阅本文档。

链路汇聚组 (LAG) 是一种逻辑接口，使用链路汇聚控制协议 (LACP) 在单个 AWS Direct Connect 终端节点汇聚多个专用连接，允许您将其视为单个托管连接。LAG 之所以能够简化配置，原因在于 LAG 配置适用于组中的所有连接。有关创建、更新、关联/解除关联和删除 LAG 的详细信息，请参阅 AWS Direct Connect 文档：链路汇聚组 - AWS Direct Connect。

使用 LAG 无需额外付费。

支持动态 LACP 捆绑包；但不支持静态 LACP 捆绑包。

位于两个不同 LAG 上的 VIF 可以被连接到同一个 VGW。支持双向转发检测 (BFD)，以在使用多个 LAG 时缩短路径之间的故障转移时间。

AWS Direct Connect 弹性工具包提供了一种连接向导，可帮助您在多个弹性模式之间进行选择。这些模式可帮助您确定专用连接的数量，然后下订单，以实现 SLA 目标。选择一个弹性模式，然后 AWS Direct Connect 弹性工具包将引导您完成专用连接订购过程。弹性模式旨在确保您能够在多个站点拥有适当数量的专用连接。

AWS Direct Connect 故障转移测试功能让您可以通过禁用本地网络和 AWS 之间的边界网关协议会话来测试您的 AWS Direct Connect 连接的弹性。您可以使用 AWS 管理控制台或 AWS Direct Connect 应用程序编程接口 (API)。要详细了解此功能，请参阅本文档。所有商用 AWS 区域（GovCloud (US) 除外）都支持这一功能。

私有和中转虚拟接口的站点首选项社区提供了一项功能，可以让您影响源自 VPC 的流量的退回路径。

私有和中转虚拟接口的站点首选项社区为您提供了一项功能，可以让您影响源自 VPC 的流量的退回路径。

借助可配置的私有自治系统编号 (ASN)，您可以在边界网关协议 (BGP) 会话的 AWS 端为任何新创建的 AWS Direct Connect 网关上的私有或中转 VIF 设置 ASN。所有商用 AWS 区域（AWS 中国区域除外）和 AWS GovCloud（美国）区域都提供这一功能。

中转虚拟接口指的是可以通过任何 AWS Direct Connect 连接创建的一种虚拟接口。中转虚拟接口只能附加到 AWS Direct Connect 网关。您可以使用附加了一个或多个中转虚拟接口的 AWS Direct Connect 网关来在任何支持的 AWS 区域中最多与六个 AWS Transit Gateway 交互。与私有虚拟接口类似，您可以通过单个中转虚拟接口建立一个 IPv4 BGP 会话和一个 IPv6 BGP 会话。

提供 AWS Direct Connect 网关的多账户支持功能，您可以将来自多个 AWS 账户的最多 20 个 Amazon Virtual Private Cloud（Amazon VPC）或六个 AWS Transit Gateway 关联到一个 AWS Direct Connect 网关。

802.1AE MAC 安全性（MACsec）是一项 IEEE 标准，用于确保数据保密性、数据完整性和数据源真实性。您可以使用支持 MACsec 的 AWS Direct Connect 连接对从本地网络或托管设备到所选 AWS Direct Connect 存在点的数据进行加密。

当在两个或更多 AWS Direct Connect 站点启用 AWS Direct Connect SiteLink 功能时，您可以在这些站点之间发送数据，而绕过 AWS 区域。AWS Direct Connect SiteLink 兼容托管和专用连接。

不能，LAG 并不能提高您的 AWS 连接的弹性。如果您的 LAG 中包含多个链路，并将最少链路数设置为 1 时，您的 LAG 可使您不会发生单链路故障。但是，当 LAG 终止时，它不能防止在 AWS 中出现单一设备故障。

为确保 AWS 连接的高度可用，我们建议您在多个 AWS Direct Connect 站点上建立连接。您可以参阅 AWS Direct Connect 弹性建议，详细了解如何实现高度可用的网络连接。

我们建议按照 AWS Direct Connect 弹性建议页面详细介绍的弹性最佳实践，来确定适合您的使用场景的最佳弹性模式。选择弹性模型后，AWS Direct Connect 弹性工具包将指导您完成订购冗余连接的过程。AWS 还建议您使用弹性工具包故障转移测试功能，在上线前对您的配置进行测试。 

每个专用的 AWS Direct Connect 连接由您的路由器端口和 AWS Direct Connect 设备端口之间的一个专用连接组成。我们建议您建立第二个连接来实现冗余。如果您在同一个 AWS Direct Connect 站点请求多个端口，它们将被预置在冗余的 AWS 设备上。 

如果您配置了备用 IPsec VPN 连接，则所有的 VPC 流量将自动失效转移到该 VPN 连接。传入/传出 Amazon S3 等公有资源的流量将通过互联网路由。如果您没有备用的 AWS Direct Connect 链路或 IPsec VPN 链路，则出现故障时会丢失 Amazon VPC 流量。传入/传出公有资源的流量将通过互联网路由。

是，AWS Direct Connect 提供 SLA。详细信息请参阅此处。

是，您可以配置测试的持续时间。您可以将测试的最短和最长持续时间分别设为 1 分钟和 180 分钟。  您可以在运行测试过程中取消测试。取消测试时，我们将会恢复边界网关协议会话，并在您的测试历史记录中记录测试已取消。

可以，您可以通过 AWS 管理控制台或 AWS CloudTrail 查看测试历史记录。我们会将测试历史记录保留 365 天。如果删除虚拟接口，测试历史记录也将会删除。

在配置测试持续时间以后，我们将使用测试启动前协商的边界网关协议会话参数，恢复本地网络和 AWS 之间的边界网关协议会话。

只有包含虚拟接口的 AWS 账户的拥有者可以启动测试。

可以，您可以在虚拟接口测试进行过程中删除该虚拟接口。

可以，您可以对使用任何类型的虚拟接口建立的边界网关协议会话运行测试。

可以，您可以为其中一个边界网关协议会话或者同时为这两个会话启动测试。

您可以搭配使用 AWS Direct Connect SiteLink 和您的现有 AWS Direct Connect 连接。它与任何类型的 AWS Direct Connect 连接兼容（专用或托管）。

您要在配置虚拟接口 (VIF) 时启用和禁用 AWS Direct Connect SiteLink。要使用 AWS Direct Connect SiteLink 建立连接，您必须在两个或更多 AWS Direct Connect 站点的两个或更多 VIF 上启用 AWS Direct Connect SiteLink。您必须将全部站点附加到相同的 AWS Direct Connect 网关。您可以使用 AWS 管理控制台、AWS 命令行界面或 API 配置您的 VIF，以启用或禁用 AWS Direct Connect SiteLink。AWS Direct Connect SiteLink 与 AWS CloudWatch 集成，因此您可以监控通过此链路发送的流量。

符合。要使用 AWS Direct Connect SiteLink，您必须将启用 AWS Direct Connect SiteLink 的虚拟接口 (VIF) 连接到 AWS Direct Connect 网关。VIF 类型可以是私有或中转的。

在账单中，与 AWS Direct Connect SiteLink 有关的费用将在有别于其他 AWS Direct Connect 相关费用的独立行上显示。

要构建简单的网络，请配置私有虚拟接口 (VIF)，并在每个站点的该 VIF 上启用 AWS Direct Connect SiteLink。然后创建 AWS Direct Connect 网关，将其关联到每个已启用 AWS Direct Connect SiteLink 的 VIF，以便创建一个网络。

要创建辐射状架构，请创建 AWS Direct Connect 网关，并将其关联到全部已启用 AWS Direct Connect SiteLink 的私有 VIF。

启动多个 AWS Direct Connect 网关，将每个关联到已启用 AWS Direct Connect SiteLink 的私有接口 (VIF) 子集。某个 AWS Direct Connect 网关上已启用 AWS Direct Connect SiteLink 的 VIF 无法和另一个 AWS Direct Connect 上已启用 AWS Direct Connect SiteLink 的 VIF 通信，从而形成一个分段网络。

私有和中转 VIF 均支持 AWS Direct Connect SiteLink。不过，当 AWS Direct Connect 网关之前和虚拟私有网关关联，或者被附加到私有虚拟接口时，您无法附加 AWS Direct Connect 网关 (DXGW) 到 AWS Transit Gateway。

符合。AWS Direct Connect SiteLink 需要 BGP。

符合。AWS Direct Connect SiteLink 支持 IPv6。

符合。只要端口和 PoP 站点支持 MACsec 加密，那么 AWS Direct Connect SiteLink 就支持 MACsec。

AWS Direct Connect 不提供托管式 QoS 功能。当您在通过 AWS Direct Connect SiteLink 连接的设备上配置 QoS，DSCP 标记将在转发流量上保留。

符合。您可以搭配使用现有的 AWS Direct Connect 本地首选项标签和 AWS Direct Connect SiteLink。支持以下本地首选项 BGP 社区标签：

7224:7100 - 低首选项

7224:7200 - 中首选项

7224:7300 - 高首选项

根据使用场景，您可能会使用其中一种，或同时使用两种。Cloud WAN 可以跨多个区域创建与管理 VPC 网络。另一方面，AWS Direct Connect SiteLink 会将 DX 站点连接在一起，绕过 AWS 区域以提高性能。AWS Direct Connect 是未来您将可以与 Cloud WAN 网络搭配使用的多种连接选项之一。

可以，当使用 AWS Direct Connect 时，您可以连接到部署在 AWS Local Zones 中的 VPC。您的数据将通过 AWS Direct Connect 连接直接传送到 AWS Local Zones 以及从其中传出，而不会遍历整个 AWS 区域。这将会提高性能并且可以缩短延迟。

不管是链接到 AWS Local Zones 还是连接到某个区域的 AWS Direct Connect，它们都以相同的方式运行。

要连接到某个区域，首先您要创建新的子网并将其分配到 AWS 本地扩展区，以便将您的 VPC 从父级区域扩展到 AWS Local Zones。（有关此流程的详细信息，请见我们文档中的将 VPC 扩展到 Local Zone、Wavelength Zone 或 Outpost页面。） 然后，将您的 Virtual Gateway（VGW）关联到 AWS Direct Connect 私有虚拟接口，或 AWS Direct Connect 网关，以进行连接。（有关详细信息，请见我们的文档中的虚拟私有网关关联条目。）

您还可以通过互联网网关（IGW）连接到采用 AWS Direct Connect 公有虚拟接口的 AWS Local Zones。

是的，它们之间存在差异。AWS Local Zones 尚不支持 AWS Transit Gateway。如果通过 AWS Transit Gateway 连接到 AWS 本地扩展区子网，您的流量会传入父级区域，由您的 AWS Transit Gateway 进行处理并被发送到 AWS 本地扩展区，然后从该区域（或发夹弯道）返回。接着，入口路由目标位置不会直接路由到 AWS Local Zones。流量将首先传入父级区域，然后回连到您的 AWS Local Zones。再接下来，有别于最大 MTU 大小为 9001 的区域，连接到 Local Zones 的数据包的最大 MTU 大小是 1468。此时支持并建议使用路径 MTU 发现。最后，与区域的 5 Gbps 相比，连接到 AWS 本地扩展区的单个流的限制（5 个元组）在 MTU 达到最大时（1468）大约为 2.5 Gbps。注：MTU 大小和单个流的限制不适用于 AWS Direct Connect 连接到位于洛杉矶的 AWS 本地扩展区的情况。

不可以。与连接到某个区域不同，您不能使用 AWS Site-to-Site VPN 备份与 AWS 本地扩展区的 AWS Direct Connect 连接。对于冗余，您必须使用两个或更多 AWS Direct Connect 连接。

可以，只要当前的 AWS Direct Connect 网关未与 AWS Transit Gateway 关联。因为 AWS Local Zones 不支持 AWS Transit Gateway，而且与 AWS Transit Gateway 关联的 DXGW 无法与 VGW 关联，因此您不能将 DXGW 关联到 AWS Transit Gateway。您必须创建新的 DXGW 并将它和 VGW 关联。

符合。每个 AWS Direct Connect 连接都可以配置一个或多个虚拟接口。虚拟接口可以配置为访问 Amazon EC2 和 Amazon S3 等使用公有 IP 空间的 AWS 服务，或者使用私有 IP 空间的 VPC 中的资源。

符合。Amazon CloudFront 支持自定义源服务器，包括您在 AWS 外部运行的源服务器。对 CloudFront 边缘站点的访问将被限制在地理位置最接近的 AWS 区域，但位于北美的 AWS 区域除外，这些区域目前允许对所有北美区域的联网 CloudFront 源的访问。您可以在 AWS Direct Connect 连接上使用公有虚拟接口访问它。使用 AWS Direct Connect 时，您将按照 AWS Direct Connect 数据传输费率支付原始服务器数据传输费。

通过 Direct Connect 站点进入 AWS 全球网络后，您的流量仍然位于 Amazon 骨干网络内。属于不在 Amazon 骨干网络内的 CloudFront 站点的前缀将不会通过 Direct Connect 公布。 您可以在此处找到有关已公布的 IP 前缀和 Direct Connect 路由策略的更多详细信息。

要订购连接到 AWS GovCloud（美国）的端口，必须使用 AWS GovCloud（美国）管理控制台。

答：可以。Direct Connect 公有虚拟接口会公布 AGA 公共端点使用的 AnyCast 前缀。

一个 LAG 组中最多可以拥有 4 条链路。

它们处于主动/主动模式。换句话说，AWS 端口会持续发送链路汇聚控制协议数据单元 (LACPDU)。 

LAG 的最大传输单位可被变更。要了解详情，请参阅此处的巨型帧文档。

终端节点处的 LAG 可以配置为 LACP 主动或被动模式。AWS 侧始终配置为主动模式 LACP。

否，您可以使用同一类型的端口（1 G 或 10 G）创建 LAG。

它适用于 1 G、10 G 和 100 G 的专用连接端口。

否。此项功能仅适用于 1 G、10 G 和 100 G 的专用连接，而不适用于托管连接。

是，只要您的端口都在同一个 AWS Direct Connect 设备上。请注意，在您的端口重新配置为 LAG 的过程中，它们的运行速度将会下降。直到 LAG 在您所在的一端配置完毕后，它们的运行速度才会恢复正常。

LAG 将仅包含同一 AWS Direct Connect 设备上的端口。我们不支持多机架 LAG。

您必须为 LAG 请求其他端口。如果同一设备中没有可用的端口，则必须订购新的 LAG 并迁移连接。例如，假设您有 3 条 1 G 的链路，并且希望增加一条，而该设备上没有可用端口，那么您需要订购一个拥有 4 条 1 G 链路的新 LAG。

您可以一次性将多个 VIF 附加到某个 VGW，还可以在连接上配置 VIF，即使该连接出现故障也是如此。建议您在新 LAG 上创建新的 VIF，并在创建好所有 VIF 后将连接转移到新 LAG。请务必删除旧的连接，以使我们停止计费。

是，但前提是您设置的最少链路数必须低于剩余的端口数量。例如，假设您有 4 个端口，并将最少链路数设置为 4，那么您将不能删除该 LAG 中的端口。如果将最少链路数设置为 3，那么您就可以删除该 LAG 中的一个端口。我们将返回一条通知和一条提醒，前者将告知您已删除的特定面板/端口，后者将提醒您断开与 AWS 的交叉连接和线路。

可以，但与常规连接类似，如果您配置了 VIF，那么您就不能删除 LAG。

可以，LAG 中可以只有一个端口。

符合。但请注意，如果未来您需要增加端口，我们将无法承诺会在同一机架上提供端口。

符合。您可以通过 DisassociateConnectionWithLag API 调用来执行这一操作。 

您可以使用 AssociateVirtualInterface API 或控制台来执行这一操作。

它将显示为单个 dxlag，我们将列出其下的连接 ID。

最少链路数是 LACP 中的一项功能，您可以借助此功能设置捆绑包中需要处于活动状态的链路的最少数量，以使该捆绑包处于活动状态并能传输流量。例如，假设您有 4 个端口并将最少链路数设置为 3，但您只有 2 个处于活动状态的端口，那么您的捆绑包不会处于活动状态。如果您有 3 个或更多端口处于活动状态，并配置了 VIF，那么您的捆绑包将处于活动状态并能传输流量。

如果您没有勾选“最少链路数”，则系统会默认将其设置为零。在设置好捆绑包后，您可以通过 AWS 管理控制台或 API 更改最少链路数的值。

将具有现有虚拟接口 (VIF) 的 AWS Direct Connect 连接关联到 LAG 后，这些虚拟接口会迁移到该 LAG 中。请注意，与 VIF 关联的某些参数（例如要迁移到 LAG 的 VLAN 编号）也必须唯一。

我们对所有链路一视同仁，因此不会在任何链路上设置“链路优先级”。

要做到这一点，您的路由器上需要有 4 个 10 GE 接口用于连接到 AWS。我们不支持将单个 40 GE 接口连接到具有 4 个 10 GE 接口的 LACP。

使用此服务无需任何设置费用，且您可以随时取消此服务。AWS Direct Connect 合作伙伴提供的服务可能有其他适用的条款或限制。

AWS Direct Connect 有两项单独的费用：端口小时费和数据传输费。每个端口类型按所耗用的端口小时数收费。未满一小时的按一小时计费。拥有该端口的账户也会产生端口小时费。

通过 AWS Direct Connect 传输数据的费用将计入使用本服务传输数据当月的账单。请参阅下面的额外信息，以了解数据传输如何计费。

否，同一地区域不同可用区之间的数据传输将按照常规的区域数据转移费率计费，费用计入使用该服务的当月账单中。

端口小时数将从您接受托管连接之时起计算。只要预置了托管连接以供您使用，都将持续产生端口费。如果您不希望继续支付托管连接费，请联系 AWS Direct Connect 合作伙伴取消托管连接。

对于一个 AWS Direct Connect 站点的所有托管连接，端口小时费用均按容量分组。

例如，假设一个客户在某个 AWS Direct Connect 站点有两个独立的 200 Mbps 托管连接，并且在该站点无其他托管连接，则这两个独立 200 Mbps 托管连接的端口小时费将使用以 “HCPortUsage:200M” 结尾的标签，汇总为一个项目。假设一个月总运行时间为 720 小时，则此项目的端口小时数为 1,440，也就是该月的总小时数乘以该站点的 200Mbps 托管连接总数。

在您的账单中，可能显示如下托管连接容量标识符：

HCPortUsage:50M

HCPortUsage:100M

HCPortUsage:200M

HCPortUsage:300M

HCPortUsage:400M

HCPortUsage:500M

HCPortUsage:1G

HCPortUsage:2G

HCPortUsage:5G

HCPortUsage:10G

请注意，这些容量识别符将根据您在各个站点拥有的托管连接容量，按站点分别显示。

对于可公开寻址的 AWS 资源（例如，Amazon S3 存储桶、Classic EC2 实例或通过互联网网关的 EC2 流量），如果出站流量的目的地是同一 AWS 付款人账户拥有的公有前缀，并通过 AWS Direct Connect 公有虚拟接口主动发布给 AWS，那么将按照 AWS Direct Connect 数据传输速率向资源拥有者计量数据传出 (DTO) 使用量。

有关 AWS Direct Connect 定价的信息，请参阅 AWS Direct Connect 定价页面。如果使用 AWS Direct Connect 合作伙伴来协助建立 AWS Direct Connect 连接，请联系 AWS Direct Connect 合作伙伴了解相关费用。

随着精细数据传出分配功能的引入，负责数据传出的 AWS 账户将为通过中转/私有虚拟接口执行的数据传出付费。负责数据传出的 AWS 账户将根据客户对私有/中转虚拟接口的使用情况来确定，如下所示：

私有虚拟接口用于与具有或不具有 AWS Direct Connect 网关的 Amazon Virtual Private Cloud 交互。对于私有虚拟接口，将由拥有对数据传出负责的 AWS 资源的 AWS 账户付费。

中转虚拟接口用于与 AWS Transit Gateway 交互。对于中转虚拟接口，将由拥有与附加到该中转虚拟接口的 AWS Direct Connect 网关关联的 AWS Transit Gateway 附加的 Amazon Virtual Private Cloud 的 AWS 账户付费。请注意，所有适用的 AWS Transit Gateway 特定费用（数据处理和附件）都将在 Direct Connect 数据传出费用之外另行收取。

AWS Direct Connect 数据传输使用量将汇总到您的管理账户中。

您可以从 AWS 管理控制台删除端口，从而取消 AWS Direct Connect 服务。您还应取消通过第三方购买的所有服务。例如，您应联系主机托管提供商断开与 AWS Direct Connect 的所有交叉连接，以及/或者联系为您的远程站点与 AWS Direct Connect 站点之间提供网络连接的网络服务提供商。

除非另行说明，否则我们的价格不包含适用的税费和关税（包括增值税和适用销售税）。使用日本账单地址的客户若要使用 AWS，则需缴纳日本消费税。了解详情。

对于专用连接，可以使用 1 Gbps、10 Gbps 和 100 Gbps 端口。对于托管连接，可以向经批准的 AWS Direct Connect 合作伙伴订购 50 Mbps、100 Mbps、200 Mbps、300 Mbps、400 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps 和 10 Gbps 的连接速度。有关更多信息，请参阅 AWS Direct Connect 合作伙伴。 

否。您可以传输任意数量的数据，最大传输量为您选用的端口容量。

是，使用 AWS Direct Connect 时，每个边界网关协议会话最多可公布 100 个路由。了解 AWS Direct Connect 限制的更多信息。

如果针对一个边界网关协议会话，您公布了超过 100 个路由，则您的边界网关协议会话将关闭。如此一来，将会阻止所有网络流量流经虚拟接口，直至您将路由数量降至 100 以下。

AWS Direct Connect 支持在使用以太网传输的单模光纤上进行 1000BASE-LX、10GBASE-LR 或 100GBASE-LR4 连接。您的设备必须支持 802.1Q VLAN。有关详细的要求信息，请参阅 AWS Direct Connect 用户指南。

不能。在 AWS Direct Connect 中，VLAN 仅用于在虚拟接口之间分隔流量。

此连接要求使用带有自治系统编码 (ASN) 和 IP 前缀的边界网关协议 (BGP)。您需要以下信息才能完成连接：

公有或私有 ASN。如果使用公有 ASN，您必须具有其所有权。如果使用私有 ASN，它必须在 64512 至 65535 的范围内。

您所选择的未被使用的新 VLAN 标签。

分配给 BGP 会话的公有 IP（/31 或 /30）。 所有 Direct Connect 虚拟接口类型均支持 RFC 3021（在 IPv4 点对点链路上使用 31 位前缀）。

默认情况下，Amazon 将通过 BGP 公布全球公有 IP 前缀。您必须通过 BGP 公布您拥有的或由 AWS 提供的公有 IP 前缀（/31 或更小）。更多详细信息，请参阅 AWS Direct Connect 用户指南。

有关 AWS Direct Connect 自带 ASN 的更多详细信息，请详见下文。

如果要连接公有 AWS 云的虚拟接口，则必须从您所拥有的公有 IP 空间向该连接的两端分配 IP 地址。如果该虚拟接口将连接到某个 VPC，且您选择让 AWS 自动生成对等 IP CIDR，则该连接两端的 IP 地址空间将由 AWS 分配，其范围为 169.254.0.0/16。

您可以购买 AWS Direct Connect 站点所在场址中的机架空间，并在附近部署您的设备。但是，出于安全考虑，您的设备不能放置在 AWS Direct Connect 机架或机笼区域内。有关更多信息，请联系负责相关设施的运营方。部署后，您可以通过交叉连接将此设备连接到 AWS Direct Connect。

AWS 会为每个 AWS Direct Connect 虚拟接口自动启用异步 BFD，但要等到在您的路由器上对其进行配置之后才会生效。AWS 已将 BFD 连线检测最小间隔设置为 300，并将 BFD 连线检测乘数设置为 3。

有关如何设置 AWS Direct Connect 以在 AWS GovCloud（美国）区域使用的详细说明，请参阅 AWS GovCloud（美国）用户指南。 

AWS Direct Connect 需要使用边界网关协议 (BGP)。要完成连接，您需要具备下列信息：

• 公有或私有 ASN。如果使用公有 ASN，您必须具有其所有权。如果使用私有 ASN，它必须在 64512 至 65535 的范围内。

• 您所选用的未使用的新 VLAN 标签。

• VPC 虚拟私有网关 (VGW) ID

• AWS 将在 169.x.x.x 范围内为 BGP 会话分配私有 IP (/30)，并将通过 BGP 公布 VPC CIDR 数据块。您可以通过 BGP 公布默认路由。

不能。Layer 2 连接不受支持。

VPC VPN 连接通过公共互联网，利用 IPsec 在您的内网与 Amazon VPC 之间建立加密网络连接。VPN 连接可在几分钟内完成配置。如果您急需连接、带宽要求不高且可以承受互联网连接固有的易变性，则这种连接是不错的解决方案。相反，AWS Direct Connect 不涉及互联网；它在您的网络和 AWS 之间使用专用的私有网络连接。

是，但仅限用于故障转移。AWS Direct Connect 路径一旦建立，就始终是首选路径，且与追加的 AS 路径无关。请确保您的 VPN 连接能够处理来自 AWS Direct Connect 的故障转移流量。

VPN BGP 的运行方式与 AWS Direct Connect 相同。

所有商业 AWS 区域均为 AWS Transit Gateway 提供支持。

您可以通过 AWS 管理控制台或 API 操作来创建中转虚拟接口。

是，我可以将中转虚拟接口分配到任何 AWS 账户中。

不能，您不能将中转虚拟接口附加到您的虚拟私有网关。

不能，您不能将虚拟私有接口附加到您的 AWS Transit Gateway。

要详细了解与中转虚拟接口有关的限制，请参阅 AWS Direct Connect 配额页面。

不能，AWS Direct Connect 网关只能附加一种类型的虚拟接口。

不能，AWS Transit Gateway 只能与附加在中转虚拟接口上的 AWS Direct Connect 网关关联。

在 AWS Transit Gateway 和 AWS Direct Connect 网关之间建立关联最多需要 40 分钟。

对于每个 1Gbps、10Gbps 或 100Gbps 专用连接，您最多可以创建 51 个虚拟接口，包括中转虚拟接口。

符合。

您可以在 4x10G LAG 上创建一个中转虚拟接口。

是，中转虚拟接口将支持巨型帧。最大传输单位（MTU）大小限制为 8,500。

支持，您可以在中转虚拟接口上继续使用支持的 BGP 属性（AS_PATH、Local Pref、NO_EXPORT）。

AWS Direct Connect 网关具有多个功能：

AWS Direct Connect 网关使您能够连接任何 AWS 区域（AWS 中国区域除外）中的 VPC，因而能够使用 AWS Direct Connect 连接来连接多个 AWS 区域。

您可以共享一个私有虚拟接口以与最多 10 个 VPC 进行交互，以减少本地网络与 AWS 部署之间的边界网关协议会话数量。

将中转虚拟接口 (VIF) 附加到某个 AWS Direct Connect 网关，并将 AWS Transit Gateway 关联到该 Direct Connect 网关后，您可以共享这些中转虚拟接口，以连接到最多三个 AWS Transit Gateway，从而减少本地网络和 AWS 部署之间的边界网关协议会话数量。将中转 VIF 连接到 AWS Direct Connect 网关后，该网关将无法同时承载其他私有 VIF，因此将由该中转 VIF 专用。

一个 AWS Direct Connect 网关可以关联多个虚拟私有网关（VGW，与某个 VPC 关联），但前提是与虚拟私有网关关联的 Amazon VPC 的 IP CIDR 块不重叠。

一个 AWS Direct Connect 网关最多可以关联三个 Transit Gateway，但前提是 Transit Gateway 发布的 IP CIDR 块不重叠。

是，您可以将任何 AWS 账户拥有的 VPC 关联到任何 AWS 账户拥有的 AWS Direct Connect 网关。

是，您可以将任何 AWS 账户拥有的 Transit Gateway 关联到任何 AWS 账户拥有的 AWS Direct Connect 网关。

否，使用 AWS Direct Connect 网关时，无论您连接的 AWS Direct Connect 站点关联哪个主 AWS 区域，您的流量将通过最短路径从您的 AWS Direct Connect 站点到达目标 AWS 区域。

使用 AWS Direct Connect 网关不会产生任何费用。您需要根据源远程 AWS 区域支付适当的数据传出费，此外还需支付端口小时费。请参阅 AWS Direct Connect 定价页面，以了解详细信息。 

私有虚拟接口和 AWS Direct Connect 网关必须来自同一 AWS 账户。同样，中转虚拟接口和 AWS Direct Connect 网关也必须来自同一 AWS 账户。拥有虚拟私有网关和 AWS Transit Gateway 的账户可以与拥有 AWS Direct Connect 网关的 AWS 账户不同。

Elastic File System、Elastic Load Balancing、Application Load Balancer、安全组、访问控制列表和 AWS PrivateLink 等联网功能仍受 AWS Direct Connect 网关支持。AWS Direct Connect 网关不支持 AWS VPN CloudHub 功能。.但如果使用 AWS Site-to-Site VPN 来连接与您的 AWS Direct Connect 网关关联的虚拟网关 (VGW)，那么您将可以使用 VPN 连接进行故障转移。

目前 AWS Direct Connect 不支持的功能包括：AWS Classic VPN、AWS VPN（例如边缘到边缘路由）、VPC 对等连接和 VPC 端点。

是。当您在 AWS 账户中确认预置的私有虚拟接口（VIF）后，即可以将预置的私有虚拟接口关联到您的 AWS Direct Connect 网关。

您可以继续将虚拟接口 (VIF) 连接到虚拟私有网关 (VGW)。您仍将拥有区域内 VPC 连接，并将收取相关地理区域的出口费用。

要了解此主题的信息，请参阅 AWS Direct Connect 配额。

否，一个 VGW-VPC 对不能属于多个 AWS Direct Connect 网关。

否，一个私有虚拟接口只能附加到一个 AWS Direct Connect 网关或一个虚拟私有网关。我们建议您遵循 AWS Direct Connect 弹性建议并附加多个私有虚拟接口。 

否，AWS Direct Connect 网关不会破坏已有的 AWS VPN CloudHub。AWS Direct Connect 网关支持本地网络与任何 AWS 区域的 VPC 之间的连接。AWS VPN CloudHub 支持同一区域内使用 AWS Direct Connect 或 VPN 的本地网络之间的连接。VIF 与 VGW 直接关联。已有的 AWS VPN CloudHub 功能不受影响。您可以将 AWS Direct Connect 虚拟接口 (VIF) 直接附加到虚拟私有网关 (VGW)，以支持区域内的 AWS VPN CloudHub。

请参阅 AWS Direct Connect 用户指南，查看受支持和不受支持的流量模式。 

不能。您不能通过 AWS Direct Connect 网关来实现这一点，但可以选择将一个 VIF 直接附加到一个 VGW 以使用该 VPN <-> AWS Direct Connect AWS VPN CloudHub 使用场景。

否，与 VGW 关联的现有私有虚拟接口不能与 AWS Direct Connect 网关关联。要做到这一点，您必须创建一个新的私有虚拟接口，并在创建时将其关联到您的 AWS Direct Connect 网关。

是，但前提是 VPC 路由表中具有指向该 VPN 的虚拟私有网关（VGW）路由。

否，您不能将未附加到 VPC 的 VGW 关联到 AWS Direct Connect 网关。

从您的本地网络传输到分离的 VPC 的流量会停止，并且 VGW 与 AWS Direct Connect 网关之间的关联会被删除。

从您的本地网络传输到分离的 VGW（关联一个 VPC）的流量会停止。

否，AWS Direct Connect 网关仅支持从 AWS Direct Connect VIF 路由到 VGW（与 VPC 关联）的流量。要在 2 个 VPC 之间发送流量，您必须配置一个 VPC 对等连接。

否，AWS Direct Connect 网关不支持在 VPN 和 AWS Direct Connect VIF 之间路由流量。要支持这一使用场景，您需要在该 VIF 所在的 AWS 区域创建一个 VPN，并将该 VIF 和该 VPN 附加到同一 VGW。

是，您可以调整 VPC 的大小。如果您调整了 VPC 的大小，则必须将包含调整大小后 VPC 的 CIDR 的提案重新发送给 AWS Direct Connect 网关拥有者。AWS Direct Connect 网关拥有者批准新提案后，将向本地网络公开调整大小后的 VPC CIDR。

有，AWS Direct Connect 网关提供了有选择地向本地网络公布前缀的方法。对于从您的本地网络公布的前缀，关联到 AWS Direct Connect 网关的每个 VPC 都将收到您的本地网络公布的所有前缀。要限制进出任何特定 Amazon VPC 的流量，则应考虑为每个 VPC 使用访问控制列表 (ACL)。

可以，私有虚拟接口上的所有现有 BGP 会话都支持使用本地优先团体。

否，这一功能目前只适用于私有和中转虚拟接口。

是，此功能支持附加到 AWS Direct Connect 网关的私有虚拟接口。

不能，目前我们不提供此类监控功能。

私有虚拟接口支持以下社区，其优先级按从低到高的顺序排列。不同团体互相排斥。标有同一团体并且带有相同的 MED*, AS_PATH 属性的前缀适合多路径传输。

7224:7100 – 低优先级

7224:7200 – 中优先级

7224:7300 – 高优先级

如果您没有为私有 VIF 指定本地优先社区，则默认本地首选项将根据从本地区域到 AWS Direct Connect 站点的距离而定。在这种情况下，跨来自多个 AWS Direct Connect 站点的多个 VIF 的出口行为可能是随机的。

是的，您可以使用这一功能来影响同一物理连接上的两个 VIF 之间的出口流量行为。

符合。要实现这一目的，您可以通过使用具有更高本地优先级的社群的主要/主动虚拟接口来公布前缀，而非通过辅助/被动虚拟接口公布前缀；此项功能可向后兼容用于实现故障转移的既有方法；如果您的连接当前已配置为可用于故障转移，则不需要进行其他更改。

不需要，我们会继续支持 AS_PATH 属性。这一功能可以为您提供额外的帮助，让您更好地控制来自 AWS 的传入流量。AWS Direct Connect 采用标准方法进行路径选择。请注意，本地优先级先于 AS_PATH 属性接受评估。

每个前缀的多路径宽度最大为 16 个下一跳，而每个下一跳都是一个唯一的 AWS 终端节点。

目前，我们仅允许在具有 IPv4 地址的单个 VPN 隧道上运行 v4 BGP 会话。

目前，我们仅支持具有 IPv4 端点地址的 VPN。 

目前，我们仅允许在具有 IPv4 地址的单个 VPN 隧道上运行 v4 BGP 会话。

可配置的私有自治系统编号 (ASN)。利用这一功能，客户可以针对任何新创建的 AWS Direct Connect 网关上的私有 VIF，在 BGP 会话的 AWS 端设置 ASN。

所有商用 AWS 区域（AWS 中国区域除外）和 AWS GovCloud（美国）区域都支持这些功能。

您可以在创建新的 AWS Direct Connect 网关期间将某个要公布的 ASN 配置/分配为 AWS 端 ASN。您可以通过 AWS 管理控制台或 CreateDirectConnectGateway API 操作来创建 AWS Direct Connect 网关。

您可以将任何私有 ASN 分配到 AWS 端。您无法分配任何其他公有 ASN。

AWS 不会验证 ASN 的所有权，因此我们将 AWS 端 ASN 限定为私有 ASN。我们要保护客户免受欺诈。

您可以选择任何私有 ASN。16 位私有 ASN 的范围是从 64512 到 65534。您还可以提供介于 4200000000 与 4294967294 之间的 32 位 ASN。

我们会在您尝试创建 AWS Direct Connect 网关时要求您重新输入一个私有 ASN。

如果您没有提供 ASN，AWS 会为该 AWS Direct Connect 网关提供编号为 64512 的 ASN。

您可以在 AWS Direct Connect 控制台以及 DescribeDirectConnectGateways 或 DescribeVirtualInterfaces API 操作的响应中查看 AWS 端 ASN。

是，您可以为 BGP 会话的 AWS 端配置一个私有 ASN，并为您所在端配置一个公有 ASN。

您需要使用所需 ASN 创建一个新的 AWS Direct Connect 网关，然后使用新建的 AWS Direct Connect 网关创建一个新的 VIF。您的设备配置也必须相应更改。

不可以，您可以为每个 AWS Direct Connect 网关分配/配置单独的 AWS 端 ASN，但不能为每个 VIF 这样做。VIF 的 AWS 端 ASN 将会集成所附加的 AWS Direct Connect 网关的 AWS 端 ASN。

是，AWS Direct Connect 网关和虚拟私有网关可以使用不同的私有 ASN。您收到的 AWS 端 ASN 取决于您的私有虚拟接口关联。

可以，AWS Direct Connect 网关和虚拟私有网关可以使用相同的私有 ASN。您收到的 AWS 端 ASN 取决于您的私有虚拟接口关联。

对于您的网络与 AWS 之间的边界网关协议 (BGP) 会话，AWS 端 ASN 将会使用 AWS Direct Connect 网关的私有 ASN。

您可以在 AWS Direct Connect 网关控制台中选择自己的私有 ASN。为 AWS Direct Connect 网关配置好 AWS 端 ASN 之后，关联到该 AWS Direct Connect 网关的私有虚拟接口会将您配置的 ASN 用作 AWS 端 ASN。

您不需要进行任何更改。

我们支持从 4200000000 到 4294967294 的 32 位 ASN。

不可以，AWS 端 ASN 创建后将不能修改。但您可以删除该 AWS Direct Connect 网关，然后重新创建一个具有所需私有 ASN 的新 AWS Direct Connect 网关。

MACsec 并非旨在取代任何特定的加密技术。为了简单起见，也为了加深防御，您应该继续使用您已经使用的任何加密技术。除了您当前使用的其他加密技术之外，我们提供的 MACsec 作为一种加密选项，您也可以将其集成到您的网络中。

选定入网点的 10 Gbps 和 100 Gbps 专用 AWS Direct Connect 连接支持 MACsec。要使 MACsec 正常工作，您的专用连接必须对第 2 层流量透明，且终止第 2 层邻接的设备必须支持 MACsec。如果您使用的是最后一英里连接合作伙伴，请检查您的最后一英里连接是否支持 MACsec。1 Gbps 专用连接和所有托管连接都不支持 MACsec。

符合。对于到 AWS Direct Connect 站点的以太网连接，您所在一端的设备需要支持 MACsec。请参阅我们用户指南的 MAC 安全性部分，以确定支持的运行模式和需要的 MACsec 功能。

MACsec 要求您的连接在连接的 AWS Direct Connect 端上支持 MACsec 的设备上终止。您可以通过 AWS 管理控制台或 DescribeConnections AWS Direct Connect API 来检查现有的连接是否支持 MACsec。如果现有的 MACsec 连接未连接到支持 MACsec 的设备上，则可以使用 AWS 管理控制台或 CreateConnection API 来请求新的支持 MACsec 的连接。

对于 100Gbps 连接，我们支持 GCM-AES-XPN-256 密码套件。 对于 10Gbps 连接，我们支持 GCM-AES-256 和 GCM-AES-XPN-256。

我们仅支持 256 位 MACsec 密钥是为了提供最先进的数据保护。

我们要求使用 XPN 进行 100Gbps 连接。对于 10Gbps 连接，我们支持 GCM-AES-256 和 GCM-AES-XPN-256。高速连接（如 100Gbps 专用连接）会很快耗尽 MACsec 原来的 32 位数据包编号空间，这需要您每隔几分钟轮换一次加密密钥，以建立新的连接关联。为了避免这种情况，IEEE Std 802.1AEbw-2013 修正案引入了扩展数据包编号，将编号空间增加到 64 位，从而缓解了密钥轮换的及时性要求。

符合。我们要求 SCI 必须打开。此设置无法更改。

否，我们不支持将 VLAN 标签移到加密负载之外。

AWS Batch 不会产额外费用。

Direct Connect 维护

对于计划维护，我们发送 3 次通知，分别是提前 10 个工作日时，提前 5 个工作日时和提前 1 个工作日时。可以随时进行紧急维护，根据维护的性质，您最多可能在 60 分钟前收到通知。您可以在 AWS Direct Connect 控制台上订阅通知。有关更多详情，请参阅 Direct Connect 计划维护或事件的通知。   

为了帮助您管理事件，AWS Personal Health Dashboard 将显示相关信息，并提供活动通知。您还可以设置电子邮件通知，以接收有关计划维护或影响 Direct Connect 的事件的通知。

由于 Direct Connect 的全球规模，我们无法限定只在

周末进行维护。我们将计划维护工作分散到一周中的所有日子。维护通常按设备进行，例如 dxcon-xxxxxx，这是限制影响的最小单位，我们强烈建议您遵循 AWS Direct Connect 弹性建议，以可靠、可扩展且经济实惠的方式建立与 AWS 资源的弹性网络连接。

当 Direct Connect 连接断开以进行维护时，该连接的断开时间可以从几分钟到几小时不等。要为此停机时间做好准备，请采取以下任一操作：

请求一个冗余的 Direct Connect 连接。

将 AWS Site-to-Site VPN（虚拟专用网络）连接配置为备份。

最佳做法是在 Direct Connect 维护期间将流量转移到其他电路。为防止任何生产流量中断，请在计划的维护期之前使用上述选项之一。您也可以使用 AWS Direct Connect 弹性

工具包执行定期失效转移测试并验证连接的弹性。

AWS 会不时进行计划维护，以提高可用性并为我们的客户提供新功能。我们的正常非紧急/计划维护流程至少提前 10 个工作日向客户发送通知，让我们的客户能够通过测试冗余性来提前做好准备，以确保最大程度地降低影响。有关更多信息，请参阅如何取消 Direct Connect 维护事件？

合作伙伴包含在 AWS 的计划维护通知中，以便他们可以做出相应的计划。AWS 无法查看合作伙伴的维护活动。您需要向您的合作伙伴/提供商查询他们的计划维护时间表。客户可能需要考虑在不同的 Direct Connect 地点使用两个不同的合作伙伴，以最大限度地减少合作伙伴维护时段重叠的风险。