AWS 常见问题 (FAQs)

单击右侧导航中的任意常见问题以获取建议和解决方案。

如何将 VPN 配置为 Direct Connect 连接的备份？

我想为我的 AWS Direct Connect 连接配置一个用于故障切换的备份 VPN 连接。有什么建议和最佳实践？

解决方法

要将硬件 VPN 配置为 Direct Connect 连接的备份：

确保 Direct Connect 与到 VPC 的 VPN 连接使用相同的虚拟私有网关。
如果你配置的是边界网关协议 (BGP) VPN，请为 Direct Connect 和 VPN 公告相同的前缀。
如果你配置的是静态 VPN，请在 VPN 连接上添加与你通过 Direct Connect 虚拟接口公告的前缀相同的静态前缀。
如果你向 AWS VPC 公告相同的路由，则无论是否进行 AS Path 预置，Direct Connect 路径始终会被优先选择。

重要

请确保当 Direct Connect 虚拟接口处于 up 状态时，从你这端首选 Direct Connect 路由，而不是通过 VPN，以避免非对称路由；否则可能导致丢包。我们始终优先使用 Direct Connect 连接而不是 VPN 路由。有关路由优先级和路由选项的更多信息，请参阅 AWS 主题 Route Priority。

注意

如果你需要短期或更低成本的方案，可考虑将硬件 VPN 配置为 Direct Connect 连接的故障切换选项。VPN 连接并非旨在提供与大多数 Direct Connect 连接相同水平的带宽。若将 VPN 配置为 Direct Connect 连接的备份，请确保你的用例或应用可以容忍较低的带宽。

如何为 Direct Connect 启用 BFD？

双向转发检测 (BFD) 是一种网络故障检测协议，用于检测直接相连的 BGP 邻居之间的任何路径故障。它提供快速的故障检测时间，从而加快动态 BGP 路由协议的重新收敛时间。它与介质、路由协议和数据无关。

当你配置多个 AWS Direct Connect 连接，或将单个 AWS Direct Connect 连接与 VPN 连接组合为备份时，我们建议启用 BFD，以确保快速检测并进行故障切换。BFD 能检测链路或路径故障，并在 Direct Connect 快速终止 BGP 对等关系时更新动态路由，从而使备用路由能够接管。这样可以确保 BGP 邻居关系被迅速拆除，而无需在 90 秒保持时间内等待 3 个保活报文失败。

解决方法

BFD interval 指定我们发送 BFD 报文的频率，min_rx 表示路由器期望接收报文的频率，multiplier 表示在判定 BGP 邻居关系为 down 之前允许丢失的报文数量。

在 AWS 端，每个 Direct Connect 虚拟接口都会自动启用异步 BFD，但在你的路由器上完成配置之前不会生效。Direct Connect 的默认设置将 BFD 存活检测最小间隔设为 300 毫秒，将 BFD 存活检测倍数设为 3。

在你的网络设备上使用 BFD 回显模式之前，必须通过 no ip redirect 命令禁用 Internet Control Message Protocol (ICMP) 重定向报文的发送，以避免高 CPU 占用。

如何设置 Active/Passive 的 Direct Connect 连接？

当使用 AWS Direct Connect 在你的环境与 AWS 之间承载生产工作负载时，建议使用双路 Direct Connect 虚拟电路：可以来自单个 Port、单个 DC 中一对物理 Port 连接（离散或 LAG/LACP），或跨多个 DC 位置分布。

你可以配置以下内容：

使用两台路由器分别终止主、备 DX 连接，以避免单点设备故障。
在每台 DX 路由器上配置一个私有虚拟接口，终止到同一个 VPC。在两台路由器上运行 HA 路由协议（例如 HSRP、VRRF、GLBP 等），使本地服务器可以使用作为单个虚拟路由器运行的多台路由器；即使主路由器发生故障，也能保持连接性，因为次要路由器将接管并变为活动状态；或者运行诸如 iBGP 之类的内部路由协议，从 Direct Connect EBGP 学习路由并将前缀分发到内部 iBGP 网关。
Active/Passive（故障切换）。一条连接承载流量，另一条处于待机状态。若活动连接不可用，所有流量将通过被动连接转发。你需要在其中一条链路上对路由进行 AS Path 预置，使其成为被动链路。更多信息，请参阅 Configure Redundant Connections with AWS Direct Connect。

local preference 属性用于标识从本地自治系统 (AS) 的首选出口点。如果 AS 存在多个出口点，local preference 属性会为特定路由选择出口点。

使用 AS Path 预置影响 AWS 出站流量

BGP 最优路径算法决定如何选择到达某个自治系统的最佳路径。用于确定最佳路径的一个常见因素是 AS Path 长度。当存在两条或更多到达某个前缀的路由时，BGP 默认优先选择 AS Path 最短的路由。

次要路由器将通告更长的 AS Path，因此从 VPC 到你网络的流量将始终经过主路由器。

我的公共虚拟接口卡在 “verifying” 状态。我该怎么办？

当你创建公共虚拟接口并指定公共对等 IP 地址时，需要获得 AWS Direct Connect 团队的批准（private VIFs/VXCs 无需此授权，通常在几分钟内即可可用）。在批准公共 IP 前缀或公共 ASN 之前，AWS Direct Connect 团队需要验证公共 IP 前缀和 BGP ASN 的归属。AWS Direct Connect 团队通过确认区域注册局记录的所有者是否与你的 AWS 账户中列出的组织名称一致来验证归属。

解决方法

如果公共虚拟接口的状态在 verifying 状态持续超过 72 小时，请检查与你的 AWS 账户关联的电子邮箱地址。若 BGP ASN 的所有者或你公告的某条路由与账户信息不匹配，你可能会收到来自 AWS Direct Connect 团队的电子邮件。

如果 BGP ASN 或公告的某条路由与你的账户不匹配，你可以：

请让该 IP 地址的所有者发送电子邮件至 directconnect-requests@amazon.com，声明其授权批准将公共 IP 前缀用于公共虚拟接口 dxvif-xxx。

–或–
请让该 IP 地址的所有者提交一封使用公司抬头纸撰写的授权书，或请其发送电子邮件，授权在与你的 AWS 账户关联的公共虚拟接口 dxvif-xxx 上使用该公共 IP 前缀。然后登录拥有该 Direct Connect 公共虚拟接口的账户，打开工单，并将授权书附加到你的工单中。

虚拟接口的 BGP 状态在 AWS 控制台中为 down。我该怎么办？

你的虚拟接口状态可能因 OSI 第 2 层或边界网关协议 (BGP) 的配置问题而处于 down。

OSI 第 2 层配置

首先，验证你的 OSI 第 2 层配置是否正确。请检查以下细节：

你已在设备（如路由器或交换机）上使用 dot1Q 封装配置了正确的 VLAN ID。该 VLAN ID 会在 Portal 的 Information 选项卡中显示为你的 VXC 的 A-End 服务。
对等 IP 地址配置在你的设备上、通过 Portal，以及在 AWS Direct Connect 控制台中完全一致。
任何中间设备均已使用相应的 VLAN ID 配置了 VLAN 标记，并且在 AWS Direct Connect 端点上保留了带 VLAN 标记的流量。
你的设备可从地址解析协议 (ARP) 表中学习到为已配置 VLAN ID 的 AWS Direct Connect 端点的媒体访问控制 (MAC) 地址。
你的设备能够以你的对等 IP 作为源地址 ping Amazon 对等 IP。

BGP 配置

如果 OSI 第 2 层测试结果正常，请确认你设备上的 BGP 配置。请检查以下内容：

本地 ASN 与远端 ASN，应与 Portal 的 Information 选项卡中为你的 VXC 提供的 A-End 服务信息保持一致。
邻居 IP 地址与 BGP MD5 密码，应与 Portal 的 Information 选项卡中为你的 VXC 提供的 A-End 服务信息保持一致。
你的设备未阻止来自或发往 TCP 端口 179（BGP）以及其他相应临时端口的入站或出站通信。
你的设备未通过 BGP 向 AWS 通告超过 100 条前缀。默认情况下，AWS 仅在 AWS Direct Connect 的 BGP 会话中接受最多 100 条前缀。

确认这些配置后，你的虚拟接口 BGP 状态应变为 up。