Direct Connect — VIF 類型、LAG、MACsec 與 BGP 設計

Direct Connect 在 ANS-C01 考試中是第 1 網域（Domain 1）中最沉重、最深入且投資報酬率最高的主題。Network Engineer Specialty 考試中充滿了這類情境題：「你在一個地點有一個 100 Gbps 的專用 Direct Connect 連線，在第二個地點有一個 10 Gbps 的專用連線，稽核要求使用 MACsec，需要存取三個區域，每個區域有 5 個 VPC，使用 ECMP 的 BGP 主動/主動模式，SiteLink 用於直接的內部部署對內部部署流量，以及一個 Site-to-Site VPN 作為三級備援 —— 請在 60 秒內設計出從第 1 層到第 4 層的詳細細節」。這是網路工程師的核心問題，ANS-C01 會定期測試其中的每一層：專用（dedicated）與託管（hosted）連線的經濟效益、三種 VIF 類型（私有、公用、傳輸）及其涵蓋範圍、Direct Connect Gateway 的 10-VGW 限制、具有 LACP 的 LAG 及其最小活動鏈路（minimum-active-links）、使用 CAK/CKN 金鑰的第 2 層 MACsec、具有 MD5 的 eBGP、用於 AWS 端偏好的 BGP 社群（BGP communities）7224:7100/7200/7300、BFD 次秒級容錯移轉，以及用於跨內部部署傳輸的 SiteLink。

這個主題完全屬於第 1 網域（網路設計，佔考試的 30%）任務聲明 1.5。官方 ANS-C01 考試指南逐字列出了知識點：「路由基礎（動態與靜態、BGP）」、「物理互連的第 1 層和第 2 層概念（VLAN、LAG、光學、巨型框架）」、「封裝和加密技術（GRE、IPsec）」、「跨 AWS 帳戶的資源共享」以及「覆蓋網路（Overlay networks）」。這些技能要求你設計具備備援能力的混合連線、使用屬性設計 BGP 路由，以及設計 SD-WAN 整合。在 65 題考題中，大約有 8 到 12 題會觸及這個領域 —— 這是第 1 網域中最重的主題。

為什麼 Direct Connect 是 Specialty 考試中測試最多的服務

Direct Connect 是第 1 層和第 2 層的分水嶺，這正是網路工程師 Specialty 認證的價值所在。一般的架構師可以將 VPN 作為混合選項來討論，但 Direct Connect 要求理解光學元件（10 GBASE-LR 與 100 GBASE-LR4）、鏈路聚合的 LACP、第 2 層加密的 MACsec、區域偏好的 BGP 社群、次秒級容錯移轉的 BFD，以及公用（Public）、私有（Private）和傳輸（Transit）VIF 之間的區別，其深度是架構師認證無法企及的。考試測試這些內容是因為在受監管行業（銀行、電信、醫療）工作的現實網路工程師擁有這些決策權，而 AWS Specialty 認證旨在驗證這些能力。

考試獎勵的心理模型是 「Direct Connect 連線是物理高速公路；VIF 是車道；BGP 是 GPS；MACsec 是裝甲車」。選擇正確的物理層（連接埠速度、位置）、正確的 VIF 對應目的地（公用 VIF 用於 AWS 公用服務，私有 VIF 用於單一 VPC，傳輸 VIF 用於透過 TGW 的多個 VPC）、正確的 BGP 屬性進行流量工程，以及正確的加密層（如果可用，則在第 2 層使用 MACsec；否則，在公用 VIF 上使用 IPsec）。ANS-C01 會為這種層次化思考提供滿分答案；而將 Direct Connect 僅視為「快速 VPN」的考生將在每個干擾項上受到懲罰。

白話文解釋 Direct Connect — VIFs, LAG, MACsec, and BGP

Direct Connect 結合了物理連線（專用或託管）、虛擬介面（三種類型）、用於多區域/多 VPC 展開的 Direct Connect Gateway、用於頻寬聚合的 LAG、用於第 2 層加密的 MACsec，以及用於動態路由的 BGP。三個類比可以幫助理解這些移動組件。

類比 1：私人鐵路專線

將 Direct Connect 想像成你的倉庫（資料中心）與 Amazon 配送中心之間的 私人鐵路專線。

專用連線（dedicated connection） 是 你自己的私人鐵路 —— 你擁有鐵軌、擁有火車頭，並控制運行哪些火車。提供 1 Gbps、10 Gbps 和 100 Gbps 的速度。託管連線（hosted connection） 是 具有保留車廂的共享鐵路 —— Direct Connect 合作夥伴擁有底層基礎設施，並為你分配一個切片（50 Mbps 到 10 Gbps），成本較低但控制權較少。

虛擬介面（VIF） 是 在線路上運行的火車類型：

• 私有 VIF (Private VIF) 是 開往特定 Amazon 倉庫的特快車（透過 VGW 存取一個 VPC，或透過 DXGW 存取多個 VPC）。
• 公用 VIF (Public VIF) 是 運送信件到所有 Amazon 公用地址的郵件火車（S3、DynamoDB、公用服務 IP），無需進入倉庫。
• 傳輸 VIF (Transit VIF) 是 多倉庫貨運火車，它將貨物運送到傳輸樞紐（DXGW + TGW），然後展開到跨多個區域的數十個倉庫。

LAG (Link Aggregation Group) 是 兩條並行的鐵軌捆綁在一起 —— 如果一條鐵軌正在維護，另一條則承擔負載；兩條鐵軌加起來可以運送雙倍的火車。

MACsec 是 裝甲鐵路車廂，配有鋼鐵封裝的鐵軌 —— 每一節車廂在鐵軌層級都進行了貨物加密（第 2 層的 AES-256-GCM），因此即使破壞者竊聽鐵軌，他們也只能讀到密文。

BGP 是 鐵路切換系統 —— 根據鐵軌可用性、擁塞情況和信號通訊（BGP UPDATE 訊息）動態路由火車。

BGP 社群 (BGP communities) 是 噴塗在每節車廂上的火車路由標籤 —— 社群 7224:7100 表示「區域優先級」，7224:7200 表示「大陸優先級」，7224:7300 表示「全球優先級」。

BFD (Bidirectional Forwarding Detection) 是 每公里的鐵軌狀況感測器 —— 在次秒級時間內偵測鐵軌斷裂，立即發出火車改道信號。

SiteLink 是 跨倉庫配送服務 —— 利用 AWS 鐵路網絡直接在你的兩個倉庫（內部部署對內部部署）之間運送貨物，完全不進入 Amazon 倉庫（VPC）。

類比 2：擁有多條電話幹線的辦公大樓

Direct Connect 連線 是從你的辦公室到電話公司中心局的 專用電話幹線。專用連線 是你自己的線路；託管連線 是合作夥伴線路上的租賃擴展。

VIF 是 分配給幹線的電話號碼/分機：

• 私有 VIF 是 直通特定 Amazon 辦公室（VPC）的分機。
• 公用 VIF 是 由接線生路由的線路，可以撥打任何公用 Amazon 服務（S3、DynamoDB）。
• 傳輸 VIF 是 電話會議樞紐線路，可以連接跨城市的多個 Amazon 辦公室。

LAG 是 綁定在一起的兩條幹線 —— 頻寬翻倍，單一鏈路故障可恢復。

MACsec 是幹線兩端的 加密電話擾碼器 —— 第 2 層的 AES-256-GCM。

BGP 是學習哪些分機可達的 電話路由協定。

SiteLink 是透過電話公司骨幹網進行的 辦公室對辦公室直接撥號，無需經過 Amazon 辦公室。

類比 3：電力網

Direct Connect 是從你的設施到 AWS 變電站的 專用高壓輸電線路。

連線 是物理線路（1/10/100 Gbps = 伏安容量）。專用 是擁有自己的輸電線路；託管 是租用合作夥伴的一小部分。

VIF 是線路上的 電力迴路 —— 私有 VIF 供電給一個變電站（VPC），公用 VIF 供電給公用電網（AWS 公用服務），傳輸 VIF 供電給區域電力路由器（DXGW + TGW）。

LAG 是為了容量和容錯而設置的 冗餘並行線路。

MACsec 是線路上的 加密訊號耦合 —— AES-256-GCM，線速加密。

BGP 是學習哪些變電站可達的 電網管理協定。

SiteLink 是透過 AWS 電網骨幹網在你的兩個設施之間進行的 設施間電力傳輸。

Direct Connect 基礎知識 — 專用與託管

Direct Connect 連線是你在 Direct Connect 地點（託管設施，例如 Equinix DC1、Telehouse North）的設備與同一建築物內 AWS 擁有的路由器之間的 物理光纖交叉連接。有兩種形式：專用和託管。

專用連線 (Dedicated connection)

你擁有 Direct Connect 地點的 AWS 端連接埠。頻寬：1 Gbps、10 Gbps、100 Gbps。你透過 AWS 主控台訂購，AWS 提供授權書 (LOA)，託管服務商（Equinix 等）從 AWS 的機櫃向你的機櫃鋪設光纖跳線。

優點：完全控制你的連接埠、支援 MACsec（僅限 10/100 Gbps）、支援多個 VIF（每個連接埠最多 50 個）、支援 LAG 聚合。缺點：成本較高（連接埠小時費）、客戶需負責 DX 地點的託管空間和光纖跳線。

託管連線 (Hosted connection)

Direct Connect 合作夥伴 擁有 AWS 端連接埠，並為客戶配置虛擬子通道。頻寬：50 Mbps、100 Mbps、200 Mbps、300 Mbps、400 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps。合作夥伴包括 Megaport、Equinix Cloud Exchange Fabric、Verizon、AT&T、NTT 等。

優點：成本較低、無需託管空間、配置速度更快（合作夥伴處理物理層）。缺點：每個託管連線僅限一個 VIF、託管連線不支援 MACsec（硬性規定）、容量與其他合作夥伴客戶共享（儘管在虛擬上是隔離的）。

何時選擇哪種

• 託管連線：適用於頻寬低於 10 Gbps、無 MACsec 需求、需快速部署或無託管地點存在的情況。
• 專用連線：適用於 10/100 Gbps 容量、MACsec 合規性、LAG 捆綁或多 VIF 需求的情況。

三種虛擬介面 — 私有、公用、傳輸

Direct Connect 連線承載一個或多個 虛擬介面 (VIF)。每個 VIF 都是一個具有自己 BGP 工作階段的 VLAN 標記子通道。ANS-C01 要求你詳細了解所有這三種類型。

私有 VIF (Private VIF)

私有 VIF 透過 虛擬私有閘道 (VGW) 將流量引導至 單個 VPC，或透過 Direct Connect Gateway (DXGW) 引導至 多個 VPC。內部部署的 IP 空間透過 BGP 通告給 AWS；AWS 則將 VPC 的 CIDR 通告回來。

• VGW 附件：舊有的單 VPC 模式。每個 VPC 一個 VGW。
• DXGW 附件：現代的多 VPC 模式。一個 DXGW 可以連接多達 10 個跨多個區域和帳戶的 VGW。

使用私有 VIF 的場景：從內部部署存取私有 VPC 資源（EC2、RDS、內部 ALB）。

公用 VIF (Public VIF)

公用 VIF 將流量引導至 AWS 公用服務 IP —— S3、DynamoDB、公用 ALB IP、EC2 公用 IP、公用 Lambda 函數 URL。內部部署路由器透過 BGP 學習 AWS 的公用 IP 字首，並透過交叉連接（私有路徑）而不是網際網路進行路由。

使用公用 VIF 的場景：需要保證頻寬的大量 S3 傳輸、禁止網際網路傳輸（即使是 AWS 擁有的 IP）的監管要求，或是在不使用 VPC 端點的情況下存取公用服務。

公用 VIF 會將所有 AWS 公用 IP 範圍通告給你的路由器 —— 這意味著你的路由器會學習涵蓋每個 AWS 區域公用 IP 的數千條路由。如果需要，請在你的端點進行過濾。

傳輸 VIF (Transit VIF)

傳輸 VIF 將流量引導至 Direct Connect Gateway，然後連接到一個或多個區域的 Transit Gateways (TGW)。這是現代的多 VPC、多區域、多帳戶模式。

• 一個 DXGW 支援 3 個傳輸 VIF（從內部部署到 DXGW 的 3 個活動連線）。
• 一個 DXGW 最多可連接 6 個 TGW（跨區域和帳戶）。
• 每個 TGW 隨後展開至 數十個 VPC。

使用傳輸 VIF 的場景：從一兩個內部部署地點進行多區域、多 VPC 的混合連線。

比較

Direct Connect Gateway — 多區域展開

Direct Connect Gateway (DXGW) 是一個全域資源（非區域性），它聚合私有和傳輸 VIF，並將其連接到 VGW（每個 VPC 一個 VGW）或 TGW（每個區域一個 TGW）。

具有 VGW 的 DXGW（私有 VIF）

單個 DXGW 可以連接多達 10 個 VGW，跨區域和帳戶。每個 VGW 與一個 VPC 關聯。因此，透過一個私有 VIF，你可以透過 DXGW 存取多達 10 個 VPC。這對於擁有少量區域 VPC 的組織非常有用。

具有 TGW 的 DXGW（傳輸 VIF）

單個 DXGW 可以連接多達 6 個 TGW。每個 TGW 展開至許多 VPC。因此，透過一個傳輸 VIF，你可以存取 6 × N 個 VPC（其中 N 是每個 TGW 的 VPC 數量）。這是大型企業網路的標準模式。

DXGW 的限制

• DXGW 不會在連接的 VGW 或 TGW 之間進行路由（它在閘道層級是非傳遞性的）。
• DXGW 不支援連接的 VGW 之間存在重疊的 CIDR（它們必須是唯一的）。
• DXGW 不支援 TGW 對等互連 —— 要跨區域連接 TGW，請使用 TGW 跨區域對等互連。
• 公用 VIF 無法連接到 DXGW；僅限私有和傳輸 VIF。

多帳戶 DXGW

透過 AWS RAM（共享 DXGW 或 DXGW 關聯提案），帳戶 A 中的 DXGW 可以與帳戶 B 中的 VGW/TGW 關聯。內部部署連線會向擁有 DX 連線的帳戶計費。

鏈路聚合組 (LAG)

鏈路聚合組 (Link Aggregation Group) 使用 IEEE 802.3ad LACP (鏈路聚合控制協定) 將多個 Direct Connect 連線捆綁成一個邏輯連線。

LAG 的優點

• 頻寬聚合：2× 10 Gbps = 20 Gbps 邏輯頻寬。
• 彈性：單個連線故障不會導致整個 LAG 崩潰；LACP 會切換到剩餘鏈路。
• 單一管理端點：VIF 駐留在 LAG 上，而不是單個連線上。

LAG 的要求

• LAG 中的所有連線必須具有 相同的速度（全部為 10 Gbps 或全部為 100 Gbps；不能混用）。
• 所有連線必須位於 同一個 Direct Connect 地點（同一個託管設施）。
• 專用連線每個 LAG 最多 4 個連線；託管 LAG（合作夥伴提供的產品）最多 2 個連線。
• 所有連線由同一個 AWS 帳戶擁有。

LACP 最小鏈路 (Minimum links)

LAG 有一個 最小活動鏈路 (minimum-active-links) 參數（1 到 4）。如果 LAG 的運作鏈路少於最小活動鏈路，則整個 LAG 被聲明為關閉。這可以防止退化的 LAG 在承載負載時發出錯誤的信心訊號 —— 最好是乾淨地切換到備援 LAG。典型設定：1（任何單個鏈路保持 LAG 開啟）以獲得最大可用性；或者 2（至少需要 2 個鏈路），如果 1 個鏈路的頻寬不足。

LAG 和 MACsec

MACsec 在 LAG 內的物理連線 上運行，而不是在 LAG 層級運行。每個成員連線獨立協商 MACsec。所有成員必須配置 MACsec，以便 LAG 強制執行端到端加密。

MACsec — 線速下的第 2 層加密

MACsec (IEEE 802.1AE) 使用 AES-256-GCM 在第 2 層以線速加密乙太網路影格（線路上無 CPU 開銷）。在 Direct Connect 上，MACsec 加密從客戶路由器到 AWS DX 路由器的整個物理鏈路。

為什麼選擇 MACsec 而不是 IPsec

• 線速：硬體中的 AES-256-GCM，在 10/100 Gbps 時無效能損失。
• 第 2 層：加密每個影格，包括 ARP、BPDU、LACP 和 BGP 流量。IPsec（第 3 層）僅加密 IP 負載。
• 線路上無狀態：無 IPsec 隧道建立，無重新金鑰風暴（rekey storms）。
• 操作更簡單：只需在兩端配置 CAK/CKN。

要求

• 專用連線，速度為 10 Gbps 或 100 Gbps。託管連線不支援。
• 具備 MACsec 能力的 Direct Connect 地點（大多數地點都具備；請查閱 AWS 文件列表）。
• 具備 MACsec 能力的客戶路由器，支援 IEEE 802.1AE-2006 與 GCM-AES-256 加密套件。
• 在兩端配置 預先共享 CAK (Connectivity Association Key) 和 CKN (Connectivity Association Key Name)。
• 客戶路由器上使用 靜態 MAC 地址（推薦）。

金鑰管理

CAK/CKN 可以是：

• 由操作員 預先共享（在兩個路由器上手動配置）。
• 透過 KMS 進行 AWS 受管 —— AWS 產生 CAK 並儲存在 KMS 中；客戶端路由器透過 API 獲取。

MACsec 的保護範圍

MACsec 僅加密從客戶路由器到 AWS DX 路由器的專用交叉連接。在 AWS DX 路由器之外，流量位於 AWS 骨幹網上（私有的但未經過 MACsec 加密）。從客戶到特定 VPC 執行個體的端到端加密仍需要應用程式層 TLS 或分層 IPsec。

何時需要 MACsec

• 要求第 2 層鏈路加密的 監管合規性（HIPAA、某些金融體制）。
• 「加密專用鏈路」的 稽核要求。
• 指定線速加密的 保險 / 合約義務。

對於大多數企業混合場景，MACsec 是大材小用 —— 公用 VIF 上的 IPsec 或 VPN-over-DX 提供了足夠的機密性，而無需 10/100 Gbps 專用連線的要求。

Direct Connect 上的 BGP — 強制性的路由協定

Direct Connect 上的 BGP 是 強制性 的 —— 沒有靜態路由選項。Network Engineer Specialty 考試期望考生對 BGP 有深入的了解。

BGP 設定

每個 VIF 都有自己的 BGP 工作階段，參數如下：

• 客戶 ASN：你的私有 (64512–65534) 或公用 ASN。
• AWS ASN：由 AWS 分配（例如，某些 VIF 類型為 64512 或 7224）。
• BGP MD5 認證密碼：兩端的共享密鑰。
• 客戶路由器對等 IP：內部部署路由器在交叉連接鏈路上的 IP。
• AWS 對等 IP：AWS 在交叉連接鏈路上的 IP。
• VLAN 標記：1 到 4094，標識 VIF。

BGP 對等 IP

• 對於私有/傳輸 VIF：由客戶從 /30 或 /29 範圍提供的 IP（由你選擇）。
• 對於公用 VIF：由客戶提供的 具備公用路由能力 的 IP（你必須擁有它們）。

BGP 計時器

預設 Direct Connect BGP 計時器：keepalive 30 秒，hold-time 90 秒。業界預設值是 keepalive 60 / hold-time 180 —— AWS 為了更快的收斂而更加主動。可調但通常不更改。

用於次秒級容錯移轉的 BFD

雙向轉送偵測 (Bidirectional Forwarding Detection, BFD) 是一種次秒級故障偵測協定，與 BGP 並行運行。啟用 BFD 後，連結故障會在 預設 300 毫秒 內被偵測到（可配置更低）。如果沒有 BFD，BGP holdtime (90 秒) 會控制容錯移轉 —— 對於生產環境來說太慢了。

Direct Connect 支援 BFD，並且是「改善 BGP 工作階段容錯移轉時間」的標準答案。兩端都必須配置 BFD；AWS 根據要求在每個 VIF 上啟用 BFD。

Direct Connect 的 BGP 社群

AWS 發佈 BGP 社群值 (BGP community values)，客戶可以將其附加到通告中，以影響 AWS 端的路由決策。

範圍社群 (7224:7100/7200/7300)

當客戶將這些社群之一附加到通告的字首時：

• 7224:7100 — 區域偏好：AWS 偏好 同一區域 內的路徑來到達此字首。
• 7224:7200 — 大陸偏好：AWS 偏好 同一大陸 內的路徑。
• 7224:7300 — 全球偏好：AWS 在全球範圍內偏好路徑（預設值）。

使用場景：一個客戶擁有兩個 Direct Connect，一個在 us-east-1，另一個在 eu-west-1。他們用 7224:7100（區域）標記 eu-west-1 字首，以便 AWS 到歐盟的流量偏好歐盟連線而不是美國連線。

NO_EXPORT 和 NO_ADVERTISE

標準 BGP 社群：

• NO_EXPORT：AWS 不會將此字首通告給直接 eBGP 對等點（你的路由器）之外 —— 用於限制字首範圍。
• NO_ADVERTISE：限制性更強，此字首完全不會通告給接收路由器之外。

這些讓客戶可以防止 AWS 透過其他 AWS 擁有的 BGP 關係重新通告其字首。

AWS 通告的字首（公用 VIF）

在公用 VIF 上，AWS 向客戶通告其公用 IP 字首，並帶有以下由 AWS 設定的社群：

• 7224:9100：字首在同一個 DX 區域內。
• 7224:9200：字首在同一大陸的不同區域。
• 7224:9300：字首在不同的大陸上。

客戶的 BGP 路由器可以按社群過濾通告，以僅接收相關的通告（例如，僅接受 7224:9100 以限制 RIB 大小）。

備援模型 — 雙地點、LAG + 備援、DX + VPN

第一級最大彈性：雙 DX 地點

在 兩個完全不同的 DX 地點設有兩個完全獨立的 Direct Connect 連線，具有獨立的光纖路徑、獨立的物理建築以及到你內部部署的獨立 ISP / 載波路徑。在它們之間使用 BGP 主動/主動或主動/被動模式，並透過 AS-PATH prepending 和 LOCAL_PREF 進行控制。這是 AWS 針對第一級生產環境混合連線推薦的模式。

第二級高彈性：LAG + 冗餘 LAG

在兩個 DX 地點設有兩個 LAG。每個 LAG 本身是 2-4 個連線的捆綁。這在每個地點內提供了頻寬聚合，並在不同地點之間提供了地理備援。

第三級標準彈性：DX + Site-to-Site VPN 備援

一個 Direct Connect 連線（物理層的單點故障）加上一個透過公用網際網路的 Site-to-Site VPN 作為備援。Site-to-Site VPN 比第二個 DX 連線便宜得多，但引入了網際網路路徑的不確定性。BGP 路徑選擇確保在 DX 開啟時優先使用 DX；在 DX 故障時，VPN 接管。

主動/主動與主動/被動

• 具有 ECMP 的主動/主動 (Equal-Cost Multi-Path)：兩個 DX 連線同時承載流量；BGP 通告權重相等；負載透過 5 元組雜湊進行平衡。
• 在備援路徑上具有 AS-PATH prepend 的主動/被動：優先選用一個 DX（較短的 AS-PATH）；另一個僅在主要連線故障時承載流量。

ECMP 要求兩條路徑上的通告完全相同，是吞吐量最大化的模式。主動/被動模式更容易理解，也是「主要 DX 搭配 VPN 備援」的典型考試答案。

容錯移轉測試

ANS-C01 常考問題：如何在不中斷生產的情況下測試 DX 容錯移轉？答案：關閉主要 DX 上的 BGP 工作階段（或在 DX 路由器上阻斷）。流量應切換到備援路徑。如果可能，請在維護窗口期間使用流量鏡像進行測試。

SiteLink — 透過 AWS 骨幹網實現內部部署對內部部署

AWS Direct Connect SiteLink 允許透過 Direct Connect 連接到 AWS 的兩個內部部署地點直接透過 AWS 骨幹網互相發送流量，而 無需 流量進入 VPC。

為什麼需要 SiteLink

在 SiteLink 出現之前，透過 AWS 進行內部部署對內部部署的流量需要：站點 A → DX VIF → DXGW → VPC 中的 TGW 或 VGW → TGW 或 VGW 返回 → DXGW → 站點 B。這是一個「VPC 髮夾彎（hairpin）」，浪費了數據傳輸成本並增加了延遲。

SiteLink 消除了 VPC：站點 A → 啟用 SiteLink 的 DX VIF → AWS 骨幹網 → 站點 B 的 DX VIF。直接通訊。

要求

• 兩個 DX 連線都必須在 SiteLink 網路中。
• 兩個 VIF 都必須啟用 SiteLink（每個 VIF 一個旗標）。
• 僅限符合 SiteLink 資格的區域。
• 適用按 GB 計費的 SiteLink 傳輸費。

使用案例

• 多資料中心企業，在不同區域擁有兩個資料中心，且都連接到 AWS —— SiteLink 允許它們透過 AWS 骨幹網而不是自己的 WAN 進行直接的資料中心對資料中心傳輸。
• 多雲連線，從內部部署到另一個雲端（在 AWS DX 地點透過合作夥伴對等互連連接的 Azure ExpressRoute）。

限制

• SiteLink 僅用於內部部署地點之間的流量；不影響 VPC 對內部部署的流量。
• SiteLink 使用 BGP 進行路由傳播；不支援靜態路由。
• 頻寬受限於兩個 DX 連線中較慢的那一個。

常見陷阱回顧 — ANS-C01 考試中的 Direct Connect

陷阱 1：MACsec 可在託管連線上工作

錯誤。MACsec 僅限 10/100 Gbps 專用連線。

陷阱 2：LAG 成員可以位於不同的 DX 地點

錯誤。LAG 成員必須位於 同一個 DX 地點。

陷阱 3：公用 VIF 僅通告你的 VPC 的 CIDR

錯誤。公用 VIF 向客戶通告 所有 AWS 公用 IP 字首。

陷阱 4：傳輸 VIF 可與 VGW 配合使用

錯誤。傳輸 VIF 需要 DXGW，然後連接到 TGW。VGW 僅用於私有 VIF。

陷阱 5：BGP 在 Direct Connect 上是可選的

錯誤。BGP 是 強制性 的；不支援靜態路由。

陷阱 6：BGP 社群影響客戶端路由

錯誤。7224:* 社群 僅影響 AWS 端路由。

陷阱 7：DXGW 支援重疊的 VPC CIDR

錯誤。在連接到 DXGW 的 VGW/TGW 之間 不允許有重疊的 CIDR。

陷阱 8：TGW 對等互連可透過 DXGW 運作

錯誤。TGW 對等互連使用 TGW 跨區域對等互連，而不是 DXGW。

陷阱 9：Direct Connect BGP 預設啟用 BFD

錯誤。BFD 需要在兩端進行顯式配置，並進行每個 VIF 的 AWS 配置。

陷阱 10：SiteLink 需要路徑中有一個 VPC

錯誤。SiteLink 完全消除了 VPC 髮夾彎。

陷阱 11：單個地點的單個 DX 連線具備高可用性

錯誤。一個 DX = 單點故障。AWS 建議針對第一級環境使用雙地點部署。

陷阱 12：MACsec 透過 AWS 提供端到端加密

錯誤。MACsec 僅加密 專用交叉連接。

FAQ — ANS-C01 考試中的 Direct Connect

Q1: 我應該在什麼時候選擇託管連線 vs 專用連線？

在以下情況下選擇 託管連線：(a) 頻寬需求低於 10 Gbps 且沒有 MACsec 要求，(b) 你在 Direct Connect 地點沒有或不想要託管空間，(c) 部署時間至關重要（合作夥伴可以在幾天內配置，而專用連線則需要數週），(d) 資本成本是考量因素。在以下情況下選擇 專用連線：(a) 你需要 10 或 100 Gbps，(b) 需要 MACsec 第 2 層加密，(c) 需要 LAG 捆綁，(d) 需要多個 VIF（每個專用連接埠 50 個），(e) 監管合規性要求使用私有連接埠。ANS-C01 通常會設定具有 MACsec 或 LAG 的 10+ Gbps 場景 —— 這會迫使你選擇專用連線。

Q2: 我該如何架構具有區域偏好的雙區域 Direct Connect？

配置兩個 Direct Connect 連線，一個靠近 us-east-1（例如 DC2-Ashburn），另一個靠近 eu-west-1（例如 DC1-Dublin）。使用傳輸 VIF 進入一個連接到這兩個區域 TGW 的單個 DXGW。對通告給 AWS 的字首標記 BGP 社群 7224:7100（區域） —— 這告訴 AWS 優先選用同一區域內的路徑。結果：AWS 到 eu-west-1 偏好都柏林連線；AWS 到 us-east-1 偏好阿什本連線。在客戶端，在內部部署路由器上使用 LOCAL_PREF 來優先選用適當的出口路徑。ANS-C01 將測試此確切模式作為「具有全域 DXGW 的區域偏好」答案。

Q3: 私有 VIF、公用 VIF 和傳輸 VIF 之間有什麼區別？

私有 VIF 透過 VGW 承載到單個 VPC 的流量，或透過 DXGW + VGW 承載到多達 10 個 VPC 的流量。公用 VIF 透過私有交叉連接承載到 AWS 公用服務（S3、DynamoDB、公用 ALB IP）的流量，繞過網際網路。傳輸 VIF 將流量承載到 Direct Connect Gateway，後者展開至跨多個區域和帳戶的多達 6 個 TGW。涵蓋範圍：私有 VIF = 單個 VPC 或透過 DXGW 的小規模展開；公用 VIF = 全球 AWS 公用 IP；傳輸 VIF = 透過 TGW 存取跨區域的許多 VPC。ANS-C01 期望你為任何現代多 VPC、多區域架構選擇傳輸 VIF；為舊有的單區域單 VPC 選擇私有 VIF；為利基場景（到 S3 的監管非網際網路路由）選擇公用 VIF。

Q4: 與 BGP 預設值相比，BFD 如何改善容錯移轉？

Direct Connect 上的預設 BGP 使用 keepalive 30 秒，hold-time 90 秒。如果沒有 BFD，只有在累積 3 次遺漏 keepalive 時才會偵測到鏈路故障 —— 長達 90 秒。啟用 BFD 後，故障偵測時間縮短至次秒級（預設 300 毫秒，可配置更低）。當 BFD 偵測到故障時，會立即通知 BGP 並重新收斂。淨效果：容錯移轉時間從約 90 秒降至小於 1 秒。BFD 要求在客戶路由器和 AWS 端（每個 VIF）進行顯式配置。針對「最小化 Direct Connect 上的 BGP 容錯移轉時間」的 Specialty 答案是：在兩端啟用 BFD，並使用預設的 300 毫秒偵測時間。

Q5: 什麼是 MACsec，我什麼時候需要它？

MACsec (IEEE 802.1AE) 是一種 第 2 層加密協定，它使用 AES-256-GCM 以線速加密乙太網路影格，且沒有 CPU 開銷。在 Direct Connect 上，MACsec 加密從客戶路由器到 AWS DX 路由器的專用交叉連接。你在以下情況下需要它：(a) 監管合規性強制要求第 2 層鏈路加密（HIPAA、某些金融體制），(b) 稽核要求「加密專用鏈路」而無 IPsec 效能開銷，(c) 你的數據非常敏感，甚至不能容忍對光纖的物理篡改。對於大多數企業場景，MACsec 是大材小用 —— 公用 VIF 上的 IPsec 或 Site-to-Site VPN 提供了等效的機密性。MACsec 要求使用專用 10/100 Gbps 連線（非託管）、具備 MACsec 能力的路由器以及 CAK/CKN 金鑰配置。ANS-C01 會針對「受管行業、強制第 2 層加密」給予 MACsec 獎勵，而針對沒有這些關鍵字的「傳輸中加密」給予 IPsec/TLS 獎勵。

Q6: 我該如何從一個內部部署地點架構到多個 AWS 區域的 Direct Connect？

在終止於 Direct Connect Gateway 的 Direct Connect 連線上使用 傳輸 VIF。將 DXGW 連接到 每個目標區域的 TGW（最多 6 個 TGW）。每個區域 TGW 展開至其自己的 VPC。結果：一個物理 DX 連線 + 一個 DXGW = 存取 6 個區域 × 數十個 VPC。在客戶端，內部部署路由器透過 BGP 學習所有區域 CIDR。在 AWS 端，可以用 BGP 社群 7224:7100 標記字首以實現區域偏好。或者，為了彈性，在兩個 DX 地點設有兩個 DX 連線，每個連線都有自己的傳輸 VIF 進入同一個 DXGW，以實現主動/主動備援。

Q7: 在什麼時候將 Site-to-Site VPN 作為 Direct Connect 的備援是有意義的？

在以下情況下，透過網際網路的 VPN 作為 DX 備援是 標準的具成本效益的彈性模式：(a) 工作負載層級不值得支付第二個 DX 連線的費用（每月數百美元的連接埠小時費），(b) 可以接受短暫的容錯移轉引發的延遲增加（透過公用網際網路的 VPN 可能比 DX 增加 30–80 毫秒的延遲），(c) 組織希望在不加倍 DX 成本的情況下提供雙重保險。架構：主要 DX 使用 eBGP 連接到 AWS，次要 VPN 使用 eBGP 連接到同一個 AWS 端點（TGW 或 VGW）。AWS 自然偏好 DX 而非 VPN，因為 DX 的 AS-PATH 較短（或者在 VPN 上使用 AS-PATH prepend 來明確指定）。在 DX 故障時，AWS 會在幾秒鐘內切換到 VPN（快速 BGP 收斂）。與雙 DX 相比，成本節省顯著；權衡點是容錯移轉期間網際網路延遲的波動性。

Q8: 什麼是 SiteLink？為什麼要使用它而不是透過 VPC 進行路由？

SiteLink 允許透過 Direct Connect 連接到 AWS 的兩個內部部署地點直接透過 AWS 骨幹網互相發送流量，而無需進入任何 VPC。在 SiteLink 之前，透過 AWS 進行內部部署對內部部署需要「VPC 髮夾彎」 —— 流量進入 VPC A，離開到 TGW，從 VPC A 退出返回到另一個內部部署。這浪費了數據傳輸成本（在 VPC 的入站和出站均計費）。SiteLink 完全繞過了 VPC。使用案例：(a) 位於不同區域且都連接到 AWS 的兩個企業資料中心，你希望它們透過 AWS 而不是你的私有 WAN 進行通訊，(b) 透過 AWS 骨幹網擴展 MPLS 覆蓋。適用按 GB 計費的 SiteLink 傳輸費。ANS-C01 會針對「兩個內部部署站點在不經過 VPC 的情況下透過 AWS 通訊」給予 SiteLink 獎勵。

Q9: 我該如何使用 BGP 屬性在多 DX 設定中進行流量工程？

對於 入站 AWS（從內部部署的角度來看是出站）：在較不偏好的路徑上使用 AS-PATH prepending。AWS 看到較長的 AS-PATH 並偏好較短的路徑。範例：優先選用 DX A，在 DX B 對 AWS 的 BGP 通告中將你的 ASN 預加兩次 —— AWS 會優先選用 DX A。

對於 出站 AWS（內部部署的入站）：對你想要透過區域 DX 接收的字首使用 BGP 社群 7224:7100（區域）。AWS 偏好與此社群匹配的同一區域內的路徑。

對於 主動/主動 ECMP：確保兩個 DX 連線通告相同的 AS-PATH 和相同的字首；AWS 將透過 5 元組雜湊在兩條路徑之間平衡負載。在客戶端，在內部部署路由器上配置 ECMP 以實現對稱的出站平衡。

這些是 Specialty 考試中標準的 BGP 流量工程旋鈕：AS-PATH prepend（入站）、BGP 社群（出站）、ECMP（主動/主動）。

Q10: 如果我在 Direct Connect VIF 上超過了 BGP 字首限制會發生什麼事？

Direct Connect VIF 接受從內部部署路由器通告的最多 100 個字首（除非透過支援提高限制）。如果你超過此限制，BGP 工作階段會 中斷（或者 AWS 會發送 NOTIFICATION 錯誤訊息並終止工作階段）。恢復需要減少字首（在內部部署端進行路由匯總）並重新建立 BGP 工作階段。預防措施：透過 CloudWatch（自定義指標或 show ip bgp neighbor 摘要）監控通告的字首計數，使用超網（supernetting）在內部部署路由器上聚合路由（例如，將 10 個 /24 匯總為 1 個 /20）。AWS 不會自動從你端對通告的路由進行匯總。ANS-C01 經常設定這個陷阱：考生從內部部署有數百條 /24 路由，當計數超過 100 時，BGP 工作階段發生抖動。答案是：在內部部署路由器上聚合路由。

進階閱讀與相關運作模式

• AWS Direct Connect 使用者指南
• 使用虛擬介面
• Direct Connect 閘道
• 鏈路聚合組 (LAG)
• Direct Connect MACsec
• Direct Connect 路由與 BGP
• AWS Direct Connect SiteLink
• AWS Direct Connect 連線選項白皮書

一旦建立了 Direct Connect 架構，ANS-C01 考試中自然的下一個運作層級是：BGP 配置 — AS-Path Prepending、MED、社群與 BFD，用於對 DX 路徑進行流量工程的路由屬性深入探討；VPN — Site-to-Site、Client VPN 與 ECMP，用於 IPsec 備援與補充 VPN 選項；Transit Gateway — 路由表、附件與連線，這是傳輸 VIF 的 AWS 端展開目標；以及 網路加密 — TLS、ACM、IPsec 與 MACsec，用於協定棧中每一層的密碼學深入探討。

• BGP 配置 — AS-Path Prepending、MED、社群與 BFD — ANS-C01 學習筆記
• VPN — Site-to-Site、Client VPN 與 ECMP — ANS-C01 學習筆記
• Transit Gateway — 路由表、附件與連線 — ANS-C01 學習筆記
• 網路加密 — TLS、ACM、IPsec 與 MACsec — ANS-C01 學習筆記