本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 从本地网络连接到 RISE
<a name="rise-connection-on-premises"></a>

使用 AWS VPN 或 Di AWS rect Connect 或两者的组合支持在开启 SAP 的情况下 AWS 从本地连接到 RISE。

**Topics**
+ [使用 AWS VPN 连接到 RISE](rise-connection-vpc.md)
+ [使用 Di AWS rect Connect 连接 RISE](rise-connection-direct-connect.md)
+ [使用 SD-WAN 连接到 RISE](rise-connection-sd-wan.md)
+ [连接的实施步骤](rise-connection-implementation-steps.md)

# 使用 AWS VPN 连接到 RISE
<a name="rise-connection-vpc"></a>

允许使用 VP [AWS Site-to-Site N](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 通过 SAP VPC 从 RISE 访问您的远程网络。 AWS 云端和您的本地位置之间的流量通过 Internet 协议安全性 (IPsec) 进行加密，并通过互联网上的安全隧道进行传输。与 Di AWS rect Connect 相比，此选项效率高，实施速度更快。有关更多信息，请参阅[使用 AWS 虚拟专用网络将您的 VPC 连接到远程网络](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)。

每条 VPN 隧道的最大带宽可达 1.25 Gbps。有关更多信息，请参阅 [Site-to-Site VPN 配额](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html)。

要超越单个 VPN 隧道吞吐量 1.25 Gbps 的默认最大限制，请参阅[如何使用与传输网关关联的多个 Site-to-Site VPN 隧道实现 ECMP 路由](https://repost.aws/knowledge-center/transit-gateway-ecmp-multiple-tunnels)？ 

采用此方案时，SAP 需要以下详细信息：
+ BGP ASN
+ 您设备的 IP 地址

您可以从本地 AWS VPN 设备获取这些详细信息。

使用 AWS 站点到站点 AWS VPN 将远程网络直接连接到 RISE 时， AWS VPN 连接的费用和数据传输费用包含在 RISE 订阅中。

有关更多信息，请参阅：[AWS 站点到站点 AWS VPN](https://aws.amazon.com/vpn/pricing/) 定价。

注意：由于与 “客户网关设备”（ Site-to-Site AWS VPN 连接端的物理设备或软件应用程序）的生命周期和运行相关的成本各不相同，因此本文档不考虑这一点。

# 使用 Di AWS rect Connect 连接 RISE
<a name="rise-connection-direct-connect"></a>

如果您需要比基于互联网的连接更高的吞吐量或更稳定的网络体验，请使用 Di AWS rect Connect。 AWS Direct Connect 通过标准的以太网光纤电缆将您的内部网络连接到 AWS Direct Connect 位置。您可以创建不同类型的虚拟接口 (VIFs) 来连接各种 AWS 服务。例如，您可以创建一个公有 VIF 来与 Amazon S3 等公共服务或私有资源（如 Amazon Private/Transit VPC）的 VIF 进行通信，同时绕过网络路径中的互联网服务提供商。有关更多信息，请参阅 [AWS Direct Connect 连接](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithConnections.html)。

您可以选择 1 Gbps、10 Gbps、100 或 400 Gbps 的专用连接，也可以选择 Direc AWS t Connect 合作伙伴的托管连接，其中合作伙伴已与云建立了网络链接。 AWS 托管连接的可用带宽为 50 Mbps、100 Mbps、200 Mbps、300 Mbps、400 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps 和 25 Gbps。您可以从获准支持此模式的 AWS Direct Connect 交付合作伙伴处订购托管连接。有关更多信息，请参阅 [AWS Direct Connect 交付合作伙伴](https://aws.amazon.com/directconnect/partners/)。

要进行连接，请使用由 SAP 管理的 AWS 账户中的虚拟专用网关，或者在您的账户中使用与 SAP 管理的 AWS 账户中的虚拟专用网关关联的 Direct Connect 网关。 AWS 有关更多信息，请参阅 [Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)。Direct Connect 网关也可以连接到 T AWS ransit Gateway。有关更多信息，请参阅[使用您的单一 AWS 账户连接到 RISE](rise-connection-accounts.md)。

要在 SAP 管理*的 AWS 账户中设置 Di AWS rect Connect 专用连接，您必须获得 SAP 的授权书*。

使用 AWS Direct Connect 将远程网络直接连接到 RISE 时，数据传出（出口）的费用包含在 RISE 订阅中。RISE 订阅中不包括与容量（通过网络连接传输数据的最大速率）和端口时间（配置端口供您使用 AWS 或 Di [AWS rect Connect 交付合作伙伴](https://aws.amazon.com/directconnect/partners/)的时间）相关的费用。 AWS Direct Connect不收取安装费，您可以随时取消，但是，您的 [AWS Direct Connect交付合作伙伴](https://aws.amazon.com/directconnect/partners/)或其他本地服务提供商提供的服务可能适用其他条款和条件。

有关更多信息，请参阅：[AWS Direct Connect 定价](https://aws.amazon.com/directconnect/pricing/)。

# 使用 SD-WAN 连接到 RISE
<a name="rise-connection-sd-wan"></a>

 **什么是 SD-WAN** 

 [软件定义广域网 (SD-WAN)](https://en.wikipedia.org/wiki/SD-WAN) 是一种网络技术，它使用软件来管理和路由不同网络上的流量，例如多路径标签交换 (MPLS)、公共互联网或 AWS 主干网络，重点是改善连接和应用程序性能。SD-WAN 主要运行于网络 OSI 模型的第 3 层（网络层），它提供了集中式控制、路由、路径选择、基于 IP 的策略，并且能够设定 SAP 等特定的关键业务应用的优先级，这使其非常适用于基于云的 RISE with SAP 环境。

[尽管 SD-WAN 主要在第 3 层运行，但它使用宽带互联网等重叠网络，但它可以利用第 2 层（数据链路）技术，例如 Direc [AWS t Connect](https://aws.amazon.com/directconnect/) 作为传输的底层网络，以及 VPN 等第 3 层（网络）技术。AWS Site-to-Site ](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)

在 SD-WAN 架构中，SD-WAN 头端设备充当集线器或集中式网络组件，而部署在分支机构、远程站点或数据中心的 [SD-WAN 边缘设备](https://en.wikipedia.org/wiki/SD-WAN#SD-WAN_edge)则作为 WAN 流量的入口和出口点。

有关更多详细信息，请参阅 [Reference Architectures for Implementing SD-WAN Solutions on AWS](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/sd-wan-deployment-models-ra.pdf?did=wp_card&trk=wp_card)。

 **场景 A：本地部署的 SD-WAN 设备（边缘 and/or 前端/集线器）** 

AWS T@@ [ransit Gateway Connect](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html) 允许您将 SD-WAN 网络扩展到 AWS 使用 [GRE（通用路由封装）](https://en.wikipedia.org/wiki/Generic_routing_encapsulation)隧道，而无需额外的基础架构。 AWS 通过 Tr [ansit Gateway Connect Peer](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html#tgw-connect-peer)，你可以在 AWS 账户中的传输网关和本地 SD-WAN 设备之间建立 GRE 隧道，后者通过 Direc AWS t Connect 连接作为底层传输进行连接。

必须将该设备配置为使用 [Connect 附件](https://docs.aws.amazon.com/vpc/latest/tgw/create-tgw-connect-attachment.html)通过 GRE 隧道在中转网关之间发送和接收流量。必须将该设备配置为使用 [BGP（边界网关协议）](https://aws.amazon.com/what-is/border-gateway-protocol/)进行动态路由更新和运行状况检查。

每个连接均可配置独立的路由表和 BGP 对等，这使您能够通过[虚拟路由和转发（VRF）](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html)将本地网络分段扩展到 AWS。带有 SAP VPC 的 RISE 已连接到 Tr AWS ansit Gateway。

此设置提供了一种简化的方法，可以 AWS 使用 Direct Connect 将软件定义广域网环境与 RISE 与 SAP AWS 连接起来，在简化整体架构的同时保持网络分离。

在这种情况下，[重叠网络](https://en.wikipedia.org/wiki/Overlay_network)是 SD-WAN（使用 GRE 隧道）， headend/hub 或边缘设备部署在本地，底层传输为 Direct Connect AWS 

 **模式 A-1：SD-WAN 设备与 Transit Gateway 集成，Direc AWS t Connect 与你的着 AWS 陆区集成 AWS ** 

![\[SD-WAN 设备与 Transit Gateway 和 Direct Connect 集成（带登录区）\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-pattern-a-1-sd-wan-tgw-dx-lz.png)


上图说明了如何在 AWS 不添加额外基础设施的情况下扩展和分段软件定义广域网流量的模式。您可以使用 Di AWS rect Connect 连接作为 AWS 账户中的底层传输来创建 Transit Gateway 连接附件。

来自 RISE with SAP VPC 的出站流量：

1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。

1. Transit Gateway Connect 附件使用 Direct Connect 连接作为底层传输，并通过 GRE 隧道和 BGP 将 Transit Gateway 连接到企业数据中心 SD-WAN 设备。

流至 RISE with SAP VPC 的入站流量：

1. 从企业数据中心 SD-WAN 设备流向 RISE VPC 的流量借助中转网关连接的 GRE 隧道，通过 Direct Connect 链路转发到 Transit Gateway。

1. Transit Gateway 将流量转发到目标 RISE with SAP VPC。

 **模式 A-2：SD-WAN 设备与 Transit Gateway 和 Direc AWS t Connect 集成，没有着 AWS 陆区 AWS ** 

![\[SD-WAN 设备与 Transit Gateway 和 Direct Connect 集成（无登录区）\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-pattern-a-2-sd-wan-tgw-dx-no-lz.png)


上图说明了如何在 AWS 不添加额外基础设施的情况下扩展和分段软件定义广域网流量的模式。在 RISE with SAP 中，您可以请求 SAP 创建 Transit Gateway Connect 附件，并将 Direct Connect 连接用作底层传输载体。如果需要，客户可以利用由 SAP 管理的 [Direct Connect 网关（DXGW）](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)。

来自 RISE with SAP VPC 的出站流量：

1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。

1. Transit Gateway Connect 附件使用 Direct Connect 连接作为传输载体，并通过 GRE 隧道和 BGP 将 Transit Gateway 连接到企业数据中心 SD-WAN 设备。

流至 RISE with SAP VPC 的入站流量：

1. 从企业数据中心 SD-WAN 设备流向 RISE VPC 的流量借助中转网关连接的 GRE 隧道，通过 Direct Connect 链路转发到 Transit Gateway。

1. Transit Gateway 将流量转发到目标 RISE with SAP VPC。

 **场景 B：中的 SD-WAN 设备（边缘 and/or 前端/集线器设备） AWS ** 

在此场景中，SD-WAN 网络的虚拟设备部署在 AWS的 VPC 中。然后，您可以使用 VPC 附件作为 SD-WAN 虚拟设备与 AWS 账户中的 Transit Gateway 之间的 Transit Gateway 连接附件的底层传输。与场景 A 类似，Transit Gateway Connect 附件支持 GRE，与 VPN 连接相比，可提供更高的带宽性能。它支持 BGP 以实现动态路由，无需配置静态路由。此外，它与 [Transit Gateway Network Manager](https://docs.aws.amazon.com/vpc/latest/tgwnm/what-is-network-manager.html) 集成，可通过全局网络拓扑、附件级性能指标及遥测数据来实现高级可见性。

在本地和之间 AWS，[重叠网络](https://en.wikipedia.org/wiki/Overlay_network)是带有 GRE 的 SD-WAN 或内部 headend/hub 部署的 IPSec 隧道，底层传输可以是 Internet AWS、MLPS 或 Direct Connect。以下是此场景下的架构模式：

注意：以下各部分中介绍的各种网络模式仅适用于 AWS上现有的或新的登录区设置。有关 SD-WAN 设备部署和直接与 AWS 账户连接（由 SAP 管理），请参阅模式 A-2。

 **模式 B-1：SD-WAN 设备与 Transit Gate AWS way Connect AWS 集成到您的着陆区 AWS ** 

![\[SD-WAN 设备与 Transit Gateway 和 Direct Connect 集成（带登录区）\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-pattern-b-1-sd-wan-aws-tgw-dx-lz.png)


上图说明了一种模式，即借助[连接附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html)将 SD-WAN 网络与 Transit Gateway 集成，并将 SD-WAN 网络的（第三方）虚拟设备置于 AWS的设备 VPC 中。通常会在分支机构和本地数据中心部署 SD-WAN 边缘设备，以构建全网状拓扑。

来自 RISE with SAP 的出站流量：

1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。

1. Transit Gateway Connect 连接使用 VPC 附件作为传输载体，并使用 GRE 隧道和 BGP 将 Transit Gateway 连接到设备 VPC 中的第三方设备。

1. 第三方虚拟设备会对流量进行封装处理，这些流量通过部署在 Direct Connect 链路上的 SD-WAN 重叠网络传输至企业数据中心。

流至 RISE with SAP 的入站流量：

1. 从外部分支机构 AWS 到 RISE VPC 的流量通过互联网通过 SD-WAN 覆盖到达设备 VPC 的互联网网关。同样，从企业数据中心流向 RISE VPC 的流量通过 Direct Connect 链路上的 SD-WAN 重叠网络到达设备 VPC 的虚拟专用网关。

1. 设备 VPC 中的第三方虚拟设备通过连接附件将流量转发到 Transit Gateway。

1. Transit Gateway 将流量转发到目标 RISE VPC。

 **模式 B-2：与 VPN 集成的 SD-WAN 设备 AWS AWS Site-to-Site ** 

![\[软件定义广域网设备与 VPN 集成 Site-to-Site\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-pattern-b-2-sd-wan-s2svpn.png)


上图说明了一种使用 AWS 站点-站点 VPN 连接将您的 SD-WAN 网络与 Transit Gateway 集成，并将软件定义广域网网络的（第三方）虚拟设备置于其中的设备 VPC 中的模式。 AWS当您的第三方虚拟设备不支持 GRE 时，可以使用此方案。通常会在分支机构和本地数据中心部署 SD-WAN 边缘设备，以构建全网状拓扑。

来自 RISE with SAP 的出站流量：

1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway 弹性网络接口（TGW ENI）。

1. 流量使用 Site-to-Site VPN 连接在 Transit Gateway 和第三方虚拟设备之间路由。

1. 第三方虚拟设备会对流量进行封装处理，这些流量通过部署在 Direct Connect 链路上的 SD-WAN 重叠网络传输至企业数据中心。

流至 RISE with SAP 的入站流量：

1. 从外部分支机构 AWS 到 RISE VPC 的流量通过互联网通过 SD-WAN 覆盖到达设备 VPC 的互联网网关。同样，从公司数据中心到 RISE VPC 的流量通过 Direct C AWS onnect 链路通过 SD-WAN 叠加层到达设备 VPC 的虚拟专用网关。

1. 设备 VPC 中的第三方虚拟设备通过 VP Site-to-Site N 连接将流量转发到 Transit Gateway。

1. Transit Gateway 将流量转发到目标 RISE VPC 的 TGW ENI。

# 连接的实施步骤
<a name="rise-connection-implementation-steps"></a>

本节更深入地探讨了RISE与SAP和您的本地环境之间的连接的实施步骤（不使用任何客户托管 AWS 帐户）。我们将详细介绍以下两种方案：第一种方案，为关键工作负载创建高弹性部署；第二种方案，为非关键工作负载创建经济高效的替代方案。

对于每种方案，我们将明确说明 SAP 所需的详细信息以及您需要在本地环境中执行的步骤。

## 方案 1：面向关键工作负载的弹性部署
<a name="option-1-resilient-deployment-for-critical-workloads"></a>

![\[面向关键工作负载的弹性部署\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-option-1-resilience-connectivity.png)


 [AWS Direct Connect (DX)](https://aws.amazon.com/directconnect/?nc=sn&loc=0) 有两种连接类型，即[专用](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html)连接和[托管](https://docs.aws.amazon.com/directconnect/latest/UserGuide/hosted_connection.html)。专用 DX 是在客户的私有网络与 AWS之间建立的物理以太网连接，供单个客户专用。托管 DX 是由 [AWS Direct Connect 合作伙伴](https://aws.amazon.com/directconnect/partners/)代表客户预调配的物理以太网连接。参阅 [AWS Direct Connect](https://aws.amazon.com/directconnect/) 自行熟悉该服务。

要为 RISE with SAP 部署设置弹性 Direct Connect 解决方案，请按照以下实施步骤操作：

 **先决条件** 

配置 Direct Connect 连接前，请确保您的本地网络已准备就绪。这包括：
+ 有关路由器配置的详细指导，请查看有关[使用 AWS Direct Connect 的 BGP](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html) 的 AWS 文档。
+ 使用 MD5 身份验证在路由器上配置边界网关协议 (BGP)。BGP 是使用 Direct Connect 的必备条件。
+ 验证您的网络是否能支持多个 BGP 连接以实现冗余。

 **启动设置过程** 

首先联系你的 SAP ECS（企业云服务）代表，申请 RISE with SAP on Di AWS rect Connect 设置的 “AWS 连接问卷”。本调查问卷将帮助收集预调配 Direct Connect 连接所需的必要信息。

我们建议您为计划建立的每个 Direct Connect 连接分别填写调查问卷来设置冗余连接，从而实现高可用性。查看 [Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)以了解最佳实践。

 **填写 SAP 调查问卷** 

填写 AWS 连接调查问卷时，请指定要设置弹性的 Di AWS rect Connect 配置。

在调查问卷中，提供以下有关您的 Direct Connect 连接的详细信息：
+ 该连接是新连接还是专用 Direct Connect 连接
+ 您将使用的 Direct Connect 提供商或合作伙伴
+ 具体的 Direct Connect 区域/位置
+ 所需的 Direct Connect 链路的最小数量
+ 主要 Direct Connect 链路和次要 Direct Connect 链路的子网 CIDR 数据块（采用 /30 CIDR 格式）
+ VLAN ID
+ 本地路由器的自治系统编号（ASN）
+ 本地网络的 IP 地址范围（以便正确配置防火墙）

此外，还应包括有关您的本地路由器的信息，例如品牌、型号和接口详细信息。

将填写完的调查问卷提交给您的 SAP ECS 代表。然后，SAP 将使用这些信息在 AWS上的 RISE with SAP 环境中预调配必要的 Direct Connect 资源。

 **SAP 的责任** 

在您提交填写完的调查问卷后，SAP 将处理以下任务（以下列表为示例性说明，且仅适用于此场景）：
+ 创建虚拟接口（取决于您的 DX 类型：托管还是专用）
+ 创建 Direct Connect 网关
+ 如果您需要 SAP 在 RISE VPC 中预调配 Transit Gateway，请执行以下操作：
  + 设置 Transit Gateway（包括您提供的 ASN）
  + 为 VPC 创建中转网关连接
  + 更新路由表以允许 Transit Gateway 与 RISE with SAP 网络 VPC 进行通信
  + 将 Transit Gateway 与 Direct Connect 网关关联，包括将告知您的网络的 RISE with SAP 网络的 CIDR

 **完成设置过程** 

收到来自 SAP 的必要信息（例如 VLAN ID、BGP 对 IPs等体和可选的 BGP 身份验证密钥）后，请相应地配置本地路由器。这包括为 Direct Connect 连接设置 VLAN 接口和 BGP。有关详细说明，请参阅有关 Di [rect Connect 路由器配置](https://docs.aws.amazon.com/directconnect/latest/UserGuide/router-configuration.html)的 AWS 文档。

配置 active/active 拓扑：实施路由策略以平衡冗余的 Direct Connect 连接上的流量，利用 BGP 社区或更具体的子网通告来影响从本地网络 AWS 到您的本地网络的路径选择。

 **建立和测试连接** 

与 SAP 协调，同时为两个 Direct Connect 连接启用 BGP 会话。验证 BGP 路径，并通过模拟其中一个连接故障来测试失效转移场景，确保流量能正常失效转移至另一个连接。

确认两条路径都与 SAP 的 end-to-end连接。您还可以利用 [AWS Direct Connect Resiliency Toolkit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_toolkit.html) [执行计划的失效转移测试](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_failover.html)以验证连接的弹性。

 **维护连接** 

定期检查并根据需要更新 Direct Connect 配置。与 SAP 协同实施所有变更。监控两个连接的性能和可用性，有关最佳实践，请参阅有关[监控 Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/monitoring-overview.html) 的 AWS 文档。

通过执行这些步骤，您可以建立弹性的 Di AWS rect Connect 解决方案，在开启 SAP 环境的情况下将您的本地基础设施与 RISE 安全地连接 AWS，从而确保高可用性和可靠的网络性能。

## 方案 2：非关键工作负载的经济高效的替代方案
<a name="option-2-cost-effective-alternative-for-non-critical-workloads"></a>

![\[非关键工作负载的经济高效的替代方案\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-option-2-cost-effective-connectivity.png)


一些 AWS 客户更喜欢将一个或多个 Di AWS rect Connect 连接作为其主要连接 AWS，再加上成本较低的备份解决方案。此外，他们可能还需要一种灵活可变的连接，该连接可在全球各地的网络位置之间快速建立或停用。为了实现这些目标，他们可以通过 AWS Site-to-Site VPN 备份实现 AWS Direct Connect 连接。

 Site-to-SiteVPN 连接由三个关键组件组成：

1. 虚拟专用网关 (VGW)-旁边的路由器 AWS 

1. 客户网关（CGW）- 客户端的路由器

1. 在配置中通过两条安全隧道将 VGW 和 CGW 绑定在一起的 S2S VPN 连接 IPSec active/passive 

有关建立 AWS Site-to-Site VPN 连接的深入文档，请参阅 AWS 文档中的 [AWS Site-to-Site VPN 入门](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html)。

 **先决条件** 

此方法建立在前面的选项 1 中概述的设置弹性 AWS 直接连接解决方案的步骤之上。完成这些 Direct Connect 实施步骤后，您可以添加 Site-to-Site VPN 连接作为故障转移选项。

在配置 Direct Connect 连接时，您可以开始为 VPN 设置准备本地基础架构：
+ 查看有关 Site-to-Site VPN 的 AWS 文档，了解要求和最佳实践。
+ 确保您的防火墙允许 VPN 隧道所需的流量。
+ 确认您有两台客户网关设备或一台能够管理多个 VPN 隧道的设备。

添加 Site-to-Site VPN 连接可为您的主要 Direct Connect 链路提供更快、更灵活的备份。虽然此过程与设置 Direct Connect 的过程类似，但存在几项主要差异。

 **启动设置过程** 

首先，再次联系您的 SAP ECS 代表，并申请 “AWS 连接问卷”，以便在 AWS 设置时将 AWS Site-to-Site VPN 连接添加到 RISE。告知 SAP，您打算将 VPN 作为 Direct Connect 链路的失效转移方案实施。

 **填写 SAP 调查问卷** 

这次填写 AWS 连接调查问卷时，请指定除了 Direct Connect 连接之外还要设置 AWS Site-to-Site VPN。

在 AWS 连接调查问卷中，除了为 DX 填写的详细信息外，您还需要提供有关 VPN 连接的以下信息：
+ 客户 VPN 网关详细信息，例如您的客户网关设备的品牌和型号
+ 客户 VPN 网关面向互联网的公有 IP 地址
+ 路由类型（静态/动态）
+ 用于动态路由的 BGP ASN（用于 BGP 的客户网关 ASN。仅支持 16 位 ASN。）
+ BGP 会话 AWS 一侧的 ASN（16 位或 32 位 ASN）
+ 客户端 BGP 对等 IP 地址（如果与提供的 VPN 对等 IP 不同）
+ 第二个公有 IP 地址（可选：仅在使用主动-主动模式时）
+ 客户本地网络 IP 范围

将填好的问卷提交给 SAP。随后，他们将创建 VPN 连接并为您提供配置详细信息。

 **SAP 的责任** 

在您提交填写完的调查问卷后，SAP 将处理以下任务（以下列表为示例性说明，且仅适用于此场景）：
+ 创建客户网关（使用您提供的信息，例如 BGP ASN、IP 地址和可选的私有证书）
+ 创建 AWS Site-to-Site VPN 并使用 SAP Transit Gateway 和你的客户网关将其连接到 RISE
+ 提供 VPN 配置文件供您在本地路由器上设置
+ 如果你需要 SAP 在 RISE VPC 中配置 Transit Gateway，SAP 会将必要的路由添加到 Transit Gateway 路由表并更新安全组

使用从 SAP 处收到的信息，在本地路由器上配置 VPN 隧道。实施路由策略，优先将 Direct Connect 连接而不是 VPN 作为主要路径。

有关必要设置的指导，请参阅有关 Di [rect Connect 路由器配置](https://docs.aws.amazon.com/directconnect/latest/UserGuide/router-configuration.html)的 AWS 文档。

 **测试和验证连接** 

与 SAP 协调以启用 VPN 连接并验证 end-to-end连通性。通过模拟 Direct Connect 故障来测试失效转移场景，确保流量能正常失效转移至 VPN。

与 SAP 确认，Direct Connect 和 VPN 路径的失效转移都按预期运行。

 **维护连接** 

定期检查并更新 Direct Connect 和 VPN 连接的配置。与 SAP 协同实施所有变更。

监控两个连接的性能和可用性，有关[最佳实践，请参阅有关监控 Direct Connect 和 VPN 的 AWS](https://docs.aws.amazon.com/directconnect/latest/UserGuide/monitoring-overview.html)文档。

通过实施这款 Direct Connect with Site-to-Site VPN 故障转移解决方案，您可以在开启 SAP 部署的情况下为 RISE 实现高度弹性的连接设置 AWS，从而确保无缝故障转移和可靠的网络性能。