AWS 常見問題（FAQs）

按一下右側導覽中的任一常見問題，以取得建議與解決方法。

如何將 VPN 設定為 Direct Connect 連線的備援？

我想為 AWS Direct Connect 連線設定備援的 VPN 連線以進行容錯移轉。有何建議與最佳實務？

解決方法

若要將硬體 VPN 設定為 Direct Connect 連線的備援：

請確保 Direct Connect 與連線到 VPC 的 VPN 使用相同的虛擬私有閘道。
若您正在設定 BGP VPN，請為 Direct Connect 與 VPN 通告相同的前綴。
若您正在設定靜態 VPN，請在 VPN 連線中加入與 Direct Connect 虛擬介面所公告相同的靜態前綴。
如果您朝向 AWS VPC 通告相同的路由，Direct Connect 路徑將一律被優先選用，與是否進行 AS path prepending 無關。

重要

請確保從您端首選 Direct Connect 路由，而非在 Direct Connect 虛擬介面為 up 時經由 VPN，以避免非對稱路由；這可能導致流量遭捨棄。我們一律偏好 Direct Connect 連線高於 VPN 路由。關於路由優先順序與路由選項，請參閱 AWS 主題 Route Priority。

備註

若您需要短期或較低成本的解決方案，請考慮將硬體 VPN 設定為 Direct Connect 連線的容錯移轉備援選項。VPN 連線的設計並非要提供與多數 Direct Connect 連線相同等級的頻寬。若您將 VPN 設為 Direct Connect 連線的備援，請確保您的使用情境或應用程式能容忍較低的頻寬。

如何啟用 BFD 以搭配 Direct Connect 使用？

雙向轉送偵測（BFD）是一種網路故障偵測協定，用於偵測直接相連的 BGP 鄰居之間的任何路徑故障。它提供快速的故障偵測時間，從而讓動態 BGP 路由協定的重新收斂時間更短。它獨立於傳輸媒體、路由協定與資料。

當您設定多條 AWS Direct Connect 連線，或同時設定單一 AWS Direct Connect 連線與一條作為備援的 VPN 連線時，建議啟用 BFD，以確保快速偵測與容錯移轉。BFD 會偵測連結或路徑故障並更新動態路由，因為 Direct Connect 會快速終止 BGP peering，讓備援路由能立即生效。如此可確保能迅速拆除 BGP 鄰居關係，而不需在 90 秒的 hold-down 時間內等待 3 個 keepalive 失敗。

解決方法

BFD interval 指定我們傳送 BFD 封包的頻率，min_rx 為路由器預期接收封包的頻率，而 multiplier 則是可容許遺漏的次數上限，超過後即視為 BGP 鄰居關係為 down。

在 AWS 端，每個 Direct Connect 虛擬介面都會自動啟用非同步 BFD，但在您路由器上完成設定前不會生效。Direct Connect 的預設值將 BFD 存活偵測的最小間隔設為 300 毫秒，BFD 存活偵測的 multiplier 設為 3。

在您的網路裝置上使用 BFD echo 模式之前，您必須使用 no ip redirect 指令停用傳送 Internet Control Message Protocol（ICMP）與重新導向訊息，以避免高 CPU 使用率。

我要如何設定 Active/Passive 的 Direct Connect 連線？

當使用 AWS Direct Connect 在 AWS 與內部之間傳輸生產工作負載時，建議使用雙條 Direct Connect 虛擬電路，可來自單一 Port、位於單一 DC 內的一對實體 Port 連線（可為離散或 LAG/LACP），或分散於多個 DC 位置。

您可以設定以下項目：

使用兩台路由器終止主要與次要 DX 連線，以避免裝置單一故障點。
在每台 DX 路由器上建立一個終止至同一個 VPC 的私有虛擬介面。 HA 路由協定（例如 HSRP、VRRF、GLBP 等）部署於兩台路由器上，讓本地伺服器可使用多台路由器作為單一虛擬路由器運作；即使主要路由器故障，也能維持連線，因為次要路由器會接手並成為 active；或者，執行像 iBGP 這類內部路由協定，從 Direct Connect EBGP 學習路由，並將前綴散佈至內部 iBGP 閘道。
Active/Passive（容錯移轉）。一條連線處理流量，另一條處於待命。當主動連線不可用時，所有流量將經由被動連線路由。您需要在其中一條鏈路的路由上執行 AS path prepend，使其成為被動鏈路。如需詳細資訊，請參閱 Configure Redundant Connections with AWS Direct Connect。

local preference 屬性用於識別從本地自主系統（AS）離開的偏好出口點。若 AS 有多個出口點，local preference 屬性會為特定路由選擇出口。

使用 AS Path prepending 影響 AWS 對外流量

BGP 最佳路徑演算法決定了到達某自主系統的最佳路徑。常見的判斷依據為 AS path 長度。當存在兩條以上路由可達某個前綴時，BGP 預設偏好較短的 AS path。

次要路由器會通告較長的 AS path，因此從 VPC 到您網路的流量將一律經由主要路由器。

我的 public 虛擬介面卡在「verifying」狀態。我可以怎麼做？

當您建立 public 虛擬介面並指定 public 對等 IP 位址時，該介面需要 AWS Direct Connect 團隊的核准（私有 VIFs/VXCs 不需要此授權，通常可在幾分鐘內就緒）。在核准 public IP 前綴或 public ASN 之前，AWS Direct Connect 團隊需要驗證 public IP 前綴與 BGP ASN 的擁有權。AWS Direct Connect 團隊會藉由確認區域註冊機構所登記的擁有者是否為您 AWS 帳戶中列示的組織名稱來驗證擁有權。

解決方法

若 public 虛擬介面的狀態在 verifying 狀態超過 72 小時，請檢查註冊於您 AWS 帳戶的電子郵件地址。若 BGP ASN 的擁有者或您所通告的某個路由與您的帳戶詳細資料不相符，您可能會收到 AWS Direct Connect 團隊的電子郵件。

若 BGP ASN 或通告的路由與您的帳戶不相符，您可以：

請 IP 位址的擁有者寄送電子郵件至 directconnect-requests@amazon.com，聲明其授權核准 public 虛擬介面 dxvif-xxx 的 public IP 前綴。

–或–
請 IP 位址的擁有者提交一封以公司抬頭寫成的授權信，或請其寄送一封授權電子郵件，允許在您的 AWS 帳戶中將該 public IP 前綴用於 public 虛擬介面 dxvif-xxx。接著，登入擁有該 Direct Connect public 虛擬介面的帳戶，開立個案，並將授權信附件加入該個案。

AWS 主控台中的虛擬介面 BGP 狀態為 down。我該怎麼辦？

您的虛擬介面狀態可能因 OSI開放式系統互連（OSI）是一種用於描述並標準化電信或運算系統通訊功能的模型。大多數 Megaport 產品屬於 Layer 2（或 L2），其中部分 OSI 結構延伸至 Layer 3（L3），在該層交換 IP 位址資訊，稱為 L2/L3 服務。
第 2 層或 Border Gateway Protocol（BGP）Border Gateway Protocol (BGP) 是一種標準化的路由協定，用於在網際網路上的自治系統 (AS) 之間交換路由與可達性資訊。
設定問題而為 down。

OSI 第 2 層設定

首先，請確認您的 OSI 第 2 層設定正確。請核對以下細節：

您已在裝置（例如路由器或交換器）上以 dot1Q 封裝設定正確的 VLAN ID。VLAN ID 會在 Megaport Portal 的 Information 分頁中，作為您 VXC 的 A-End 服務顯示。
對等 IP 位址的設定在您的裝置上、透過 Portal，以及在 AWS Direct Connect 主控台中皆相同。
任一中繼裝置均已以適當的 VLAN ID 設定 VLAN 標記，且在 AWS Direct Connect 端點會保留帶有 VLAN 標記的流量。
您的裝置會從 ARP（Address Resolution Protocol）表中，針對已設定的 VLAN ID，學習 AWS Direct Connect 端點的 MAC（Media Access Control）位址。
您的裝置可以以您的對等 IP 作為來源，ping Amazon 的對等 IP。

BGP 設定

若 OSI 第 2 層測試結果正常，請再確認您裝置上的 BGP 設定。請核對以下項目：

在 Megaport Portal 的 Information 分頁中，作為您 VXC 的 A-End 服務所提供的本端 ASN 與遠端 ASN。
在 Megaport Portal 的 Information 分頁中，作為您 VXC 的 A-End 服務所提供的鄰居 IP 位址與 BGP MD5 密碼。
您的裝置未封鎖進出 TCP 連接埠 179（BGP）及其他適當的暫時性連接埠的流量。
您的裝置透過 BGP 對 AWS 通告的前綴未超過 100 個。預設情況下，AWS 僅接受在 AWS Direct Connect 上使用 BGP 工作階段的最多 100 個前綴。

在確認這些設定後，您的虛擬介面 BGP 狀態應會變為 up。