本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 AWS Transit Gateway 中連接附件和 Connect 對等
您可以建立 *Transit Gateway Connect 連接*,以在 VPC 中執行的傳輸閘道與第三方虛擬設備 (例如 SD-WAN 設備) 之間建立連線。Connect 連接支援 Generic Routing Encapsulation (GRE) 通道協定以實現高效能,以及支援邊界閘道協定 (BGP) 以進行動態路由。建立 Connect 連接後,可以在 Connect 連接上建立一個或多個 GRE 通道 (也稱為 *Transit Gateway Connect 對等*),以連線傳輸閘道和第三方設備。您可以透過 GRE 通道建立兩個 BGP 工作階段,以交換路由資訊。
**重要**
Transit Gateway Connect 對等由兩個終止受管基礎設施的 BGP AWS對等工作階段組成。兩個 BGP 對等工作階段提供路由平面備援,確保喪失一個 BGP 對等工作階段時不會影響您的路由運作。從兩個 BGP 工作階段收到關於指定 Connect 對等的路由資訊會逐漸累積。兩個 BGP 對等工作階段也會保護任何 AWS 基礎架構運作,例如例行維護、修補、硬體升級和更換。如果您的 Connect 對等端正在操作,但未將建議的雙 BGP 對等工作階段設定為備援,則可能會在 AWS 基礎設施操作期間遇到暫時性的連線中斷。我們強烈建議在 Connect 對等上同時設定這兩個 BGP 對等工作階段。如果您已設定多個 Connect 對等以支援設備端的高可用性,我們建議您在每個 Connect 對等上設定這兩個 BGP 對等工作階段。
Connect 連接使用現有 VPC 或 Direct Connect 連接作為基礎傳輸機制。這稱為*傳輸連接*。傳輸閘道會將來自第三方設備的相符 GRE 封包,識別為來自 Connect 連接的流量。這會將任何其他封包,包括含有不正確來源或目標資訊的 GRE 封包,視為傳輸連接的流量。
**注意**
若要使用 Direct Connect 連接做為傳輸機制,您必須先將 Direct Connect 與 AWS Transit Gateway 整合。如需建立此整合的步驟,請參閱[整合 SD-WAN 裝置與 AWS Transit Gateway 和 Direct Connect](https://aws.amazon.com/blogs/networking-and-content-delivery/integrate-sd-wan-devices-with-aws-transit-gateway-and-aws-direct-connect/) 。
## Connect 對等
Connect 對等 (GRE 通道) 包含以下元件。
**內部 CIDR 區塊 (BGP 地址)**
用於 BGP 對等的內部 IP 地址。您必須從 IPv4 的 `169.254.0.0/16` 範圍中指定 /29 CIDR 區塊。您可以選擇性地從 IPv6 的 `fd00::/8` 範圍中指定 /125 CIDR 區塊。以下為預留的 CIDR 區塊,無法使用:
+ 169.254.0.0/29
+ 169.254.1.0/29
+ 169.254.2.0/29
+ 169.254.3.0/29
+ 169.254.4.0/29
+ 169.254.5.0/29
+ 169.254.169.248/29
您必須將設備上的 IPv4 範圍的第一個地址設定為 BGP IP 地址。使用 IPv6 時,如果您的內部 CIDR 區塊是 fd00:: /125,則必須在設備的通道介面上設定此範圍 (fd00::1) 中的第一個地址。
BGP 地址在傳輸閘道的所有通道上必須是唯一的。
**對等 IP 地址**
Connect 對等端設備的對等 IP 地址 (GRE 外部 IP 地址)。這可以是任何 IP 地址。IP 地址可以是 IPv4 或 IPv6 地址,但必須是與傳輸閘道地址相同的 IP 地址系列。
**傳輸閘道地址**
Connect 對等端傳送閘道的對等 IP 地址 (GRE 外部 IP 地址)。IP 地址必須從傳輸閘道 CIDR 區塊指定,且在傳輸閘道上的 Connect 連接中必須是唯一的。如果您未指定 IP 地址,我們會使用傳輸閘道 CIDR 區塊中的第一個可用地址。
您可以在[建立](create-tgw.md)或[修改](tgw-modifying.md)傳輸閘道時,新增傳輸閘道 CIDR 區塊。
IP 地址可以是 IPv4 或 IPv6 地址,但必須是與對等 IP 地址相同的 IP 地址系列。
對等 IP 地址和傳輸閘道地址用於唯一識別 GRE 通道。您可以在多個通道中重複使用任一地址,但不能在同一通道中重複使用兩個地址。
BGP 互連的 Transit Gateway Connect 僅支援多重協定 BGP (MP-BGP),其中需要 IPv4 單播定址,才能同時為 IPv6 單播建立 BGP 工作階段。您可以使用 GRE 外部 IP 地址的 IPv4 和 IPv6 地址。
下列範例顯示了 VPC 中傳輸閘道與設備之間的 Connect 連接。
![\[Transit Gateway Connect 連接和 Connect 對等\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/transit-gateway-connect-peer.png)
| 圖表元件 | Description |
| --- | --- |
| ![\[顯示 VPC 連接在範例圖中的呈現方式。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/VPC-attachment.png) | VPC 連接 |
| ![\[顯示 Connect 連接在範例圖中的呈現方式。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/connect-attachment.png) | Connect 連接 |
| ![\[顯示 GRE 通道在範例圖中的呈現方式。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/GRE-tunnel.png) | GRE 通道 (Connect 對等) |
| ![\[顯示 BGP 對等工作階段在範例圖中的呈現方式。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/images/bgp-peering.png) | BGP 對等工作階段 |
在上述範例中,在現有 VPC 連接 (傳輸連接) 上建立了 Connect 連接。在 Connect 連接上建立了 Connect 對等,以在 VPC 中建立設備連線。傳輸閘道地址為 `192.0.2.1`,BGP 地址的範圍為 `169.254.6.0/29`。範圍 (`169.254.6.1`) 中的第一個 IP 地址在設備上會設定為對等 BGP IP 地址。
VPC C 的子網路路由表具有一個路由,其將目標為傳輸閘道 CIDR 區塊的流量指向傳輸閘道。
| 目標 | 目標 |
| --- | --- |
| 172.31.0.0/16 | 區域 |
| 192.0.2.0/24 | tgw-id |
## 需求和考量事項
下列是 Connect 連接的需求和考量事項:
+ 如需支援 Connect 連接區域的詳細資訊,請參閱 [AWS Transit Gateway 常見問答集](https://aws.amazon.com/transit-gateway/faqs/)。
+ 必須將第三方設備設定為,使用 Connect 連接透過 GRE 通道來傳送和接收往返傳輸閘道的流量。
+ 必須將第三方設備設定為,使用 BGP 進行動態路由更新和運作狀態檢查。
+ 支援下列類型的 BGP:
+ 外部 BGP (eBGP)︰用於連線至與傳輸閘道不同的自治系統中的路由器。如果您使用 eBGP,必須設定 ebgp-multihop 的存留時間 (TTL) 值為 2。
+ 內部 BGP (iBGP):用於連線至與傳輸閘道相同的自治系統中的路由器。傳輸閘道不會從 iBGP 對等 (第三方設備) 安裝路由,除非路由源自 eBGP 對等體,且應已自行設定下一個躍點。第三方設備透過 iBGP 對等通告的路由必須具有 ASN。
+ MP-BGP (BGP 的多重協定延伸):用於支援多種協定類型,例如 IPv4 和 IPv6 地址系列。
+ 預設的 BGP 保持連線逾時為 10 秒,預設的保留計時器為 30 秒。
+ 不支援 IPv6 BGP 互連;僅支援以 IPv4 為基礎的 BGP 互連。IPv6 字首透過 IPv4 BGP 互連使用 MP-BGP 交換。
+ 不支援雙向轉寄偵測 (BFD)。
+ 不支援 BGP 正常重新啟動。
+ 在您建立傳輸閘道對等時,如果未指定對等 ASN 編號,我們會選擇傳輸閘道 ASN 編號。這意味著您的設備和傳輸網關將位於執行 iBGP 的同一自治系統中。
+ 如果您有兩個 Connect 對等連線,使用 BGP AS-PATH 屬性的 Connect 對等連線將成為首選路由。
若要在多個設備之間使用等成本多重路徑 (ECMP) 路由,必須設定該設備以使用相同的 BGP AS PATH 屬性,向傳輸閘道通告相同的字首。若要讓傳輸閘道選擇所有可用的 ECMP 路徑,AS-PATH 和自治系統編號 (ASN) 必須相符。傳輸閘道可以在 Connect 對等之間使用 ECMP,用於相同的 Connect 連接,或在同一傳輸閘道的 Connect 連接附件間使用 ECMP。傳輸閘道無法在單個對等互連建立的兩個宂餘 BGP 對等互連之間使用 ECMP。
+ 使用 Connect 連接時,路由預設會傳播至傳輸閘道路由表。
+ 不支援靜態路由。
+ 透過減去 GRE 標頭 (24 位元組) 和外部 IP 標頭 (20 位元組) 額外負荷,將 GRE 通道 MTU 設定為小於外部介面 MTU。例如,如果您的外部界面 MTU 是 1500 位元組,請將 GRE 通道 MTU 設定為 1456 位元組 (1500 - 24 - 20 = 1456),以防止封包分段。
**Topics**
+ [Connect 對等](#tgw-connect-peer)
+ [需求和考量事項](#tgw-connect-requirements)
+ [建立 Connect 連接](create-tgw-connect-attachment.md)
+ [建立 Connect 對等](create-tgw-connect-peer.md)
+ [檢視 Connect 連接和 Connect 對等](view-tgw-connect-attachments.md)
+ [修改 Connect 連接和 Connect 對等標籤](modify-connect-attachment-tag.md)
+ [刪除 Connect 對等](delete-tgw-connect-peer.md)
+ [刪除 Connect 連接](delete-tgw-connect-attachment.md)
# 在 AWS Transit Gateway 中建立 Connect 連接
若要建立 Connect 連接,必須將現有連接指定為傳輸連接。您可以指定 VPC 連接或 Direct Connect 連接作為傳輸連接。
**使用主控台建立 Connect 連接**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**傳輸閘道連接**。
1. 選擇 **Create transit gateway attachment** (建立傳輸閘道連接)。
1. (選用) 在 **Name tag** (名稱標籤) 中,指定連接的名稱標籤。
1. 在 **Transit gateway ID** (傳輸閘道 ID) 中,選擇用於連接的傳輸閘道。
1. 在 **Attachment type (連接類型)** 中,選擇 **Connect (連線)**。
1. 在 **Transport attachment ID** (傳輸連接 ID) 中,選擇現有連接的 ID (傳輸連接)。
1. 選擇 **Create transit gateway attachment** (建立傳輸閘道連接)。
**使用 建立 Connect 連接 AWS CLI**
使用 [create-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect.html) 命令。
# 在 AWS Transit Gateway 中建立 Connect 對等
您可以為現有 Connect 連接建立 Connect 對等 (GRE 通道)。開始之前,確保您已設定傳輸閘道 CIDR 區塊。您可以在[建立](create-tgw.md)或[修改](tgw-modifying.md)傳輸閘道時,設定傳輸閘道 CIDR 區塊。
建立 Connect 對等時,必須在 Connect 對等的設備端指定 GRE 外部 IP 地址。
**使用主控台建立 Connect 對等**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**傳輸閘道連接**。
1. 選取 Connect 連接,然後選擇 **Actions** (動作)、**Create connect peer** (建立 Connect 對等互連)。
1. (選用) 在**名稱標籤**中,請指定 Connect 對等互連的名稱標籤。
1. (選用) 在 **Transit gateway GRE Address** (傳輸閘道 GRE 地址) 中,指定傳輸閘道的 GRE 外部 IP 地址。預設會使用傳輸閘道 CIDR 區塊的第一個可用地址。
1. 針對 **Peer GRE 地址**,指定 Connect 對等設備端的 GRE 外部 IP 地址。
1. 針對 **BGP 內部 CIDR 區塊 IPv4**,指定用於 BGP 對等的 IPv4 地址範圍。指定 `169.254.0.0/16` 範圍中大小為 /29 的 CIDR 區塊。
1. (選用) 針對 **BGP 內部 CIDR 區塊 IPv6**,指定用於 BGP 對等的 IPv6 地址範圍。指定 `fd00::/8` 範圍中大小為 /125 的 CIDR 區塊。
1. (選用) 針對**對等 ASN**,指定設備的邊界閘道協定 (BGP) 自治系統編號 (ASN)。您可以使用指派給您的網路的現有 ASN。如果不具備現有 ASN,您可以使用 64512–65534 (16 位元 ASN) 或 4200000000–4294967294 (32 位元 ASN) 範圍中的私有 ASN。
預設值與傳輸閘道的 ASN 相同。如果您設定的**對等 ASN** 與傳輸閘道 ASN (eBGP) 不同,則必須設定 ebgp-multihop 的存留時間 (TTL) 值為 2。
1. 選擇 **Create connect peer** (建立 Connect 對等互連)。
**使用 建立 Connect 對等 AWS CLI**
使用 [create-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect-peer.html) 命令。
# 在 AWS Transit Gateway 中檢視 Connect 連接和 Connect 對等
檢視您的 Connect 連接和 Connect 對等。
**使用主控台檢視您的 Connect 連接和 Connect 對等**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**傳輸閘道連接**。
1. 選取 Connect 連接。
1. 若要檢視連接的 Connect 對等,選擇 **Connect Peers (Connect 對等)** 標籤。
**使用 檢視 Connect 連接和 Connect 對等 AWS CLI**
使用 [describe-transit-gateway-connects](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connects.html) 和 [describe-transit-gateway-connect-peers](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connect-peers.html) 命令。
# 在 AWS Transit Gateway 中修改 Connect 連接和 Connect 對等標籤
您可以修改 Connect 連接的標籤。
**使用主控台修改您的 Connect 連接標籤**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Transit Gateway Attachments** (傳輸閘道連接)。
1. 選取 Connect attachment (Connect 連接),然後選擇 **Actions** (動作)、**Manage tags** (管理標籤)。
1. 若要新增標籤,選擇 **Add new tag** (新增標籤),然後指定鍵名稱和鍵值。
1. 若要移除標籤,請選擇 **Remove** (移除)。
1. 選擇**儲存**。
您可以修改 Connect 對等的標籤。
**使用主控台修改您的 Connect 對等標籤**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Transit Gateway Attachments** (傳輸閘道連接)。
1. 選取 Connect 連接,然後選擇 **Connect peers** (Connect 對等)。
1. 選取 Connect 對等,然後選擇**動作**、**管理標籤**。
1. 若要新增標籤,選擇 **Add new tag** (新增標籤),然後指定鍵名稱和鍵值。
1. 若要移除標籤,請選擇 **Remove** (移除)。
1. 選擇**儲存**。
**使用 修改 Connect 連接和 Connect 對等標籤 AWS CLI**
使用 [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) 和 [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) 命令。
# 在 AWS Transit Gateway 中刪除 Connect 對等
您可以刪除不再需要的 Connect 對等。
**使用主控台刪除 Connect 對等**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**傳輸閘道連接**。
1. 選取 Connect 連接。
1. 在 **Connect 對等**標籤中,選取 Connect 對等,然後選擇 **動作**、**刪除 Connect 對等**。
**使用 刪除 Connect 對等 AWS CLI**
使用 [delete-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect-peer.html) 命令。
# 在 AWS Transit Gateway 中刪除 Connect 連接
如果您不再需要 Connect 連接,可以將其刪除。您必須先刪除連接的任何 Connect 對等。
**使用主控台刪除 Connect 連接**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**傳輸閘道連接**。
1. 選取 Connect attachment (Connect 連接),然後選擇 **Actions** (動作)、**Delete transit gateway attachment** (刪除傳輸閘道連接)。
1. 輸入 **delete**,然後選擇 **Delete** (刪除)。
**使用 刪除 Connect 連接 AWS CLI**
使用 [delete-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect.html) 命令。