本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 SD-WAN 连接到 RISE **什么是 SD-WAN** [软件定义广域网 (SD-WAN)](https://en.wikipedia.org/wiki/SD-WAN) 是一种网络技术,它使用软件来管理和路由不同网络上的流量,例如多路径标签交换 (MPLS)、公共互联网或 AWS 主干网络,重点是改善连接和应用程序性能。SD-WAN 主要运行于网络 OSI 模型的第 3 层(网络层),它提供了集中式控制、路由、路径选择、基于 IP 的策略,并且能够设定 SAP 等特定的关键业务应用的优先级,这使其非常适用于基于云的 RISE with SAP 环境。 [尽管 SD-WAN 主要在第 3 层运行,但它使用宽带互联网等重叠网络,但它可以利用第 2 层(数据链路)技术,例如 Direc [AWS t Connect](https://aws.amazon.com/directconnect/) 作为传输的底层网络,以及 VPN 等第 3 层(网络)技术。AWS Site-to-Site ](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 在 SD-WAN 架构中,SD-WAN 头端设备充当集线器或集中式网络组件,而部署在分支机构、远程站点或数据中心的 [SD-WAN 边缘设备](https://en.wikipedia.org/wiki/SD-WAN#SD-WAN_edge)则作为 WAN 流量的入口和出口点。 有关更多详细信息,请参阅 [Reference Architectures for Implementing SD-WAN Solutions on AWS](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/sd-wan-deployment-models-ra.pdf?did=wp_card&trk=wp_card)。 **场景 A:本地部署的 SD-WAN 设备(边缘 and/or 前端/集线器)** AWS T@@ [ransit Gateway Connect](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html) 允许您将 SD-WAN 网络扩展到 AWS 使用 [GRE(通用路由封装)](https://en.wikipedia.org/wiki/Generic_routing_encapsulation)隧道,而无需额外的基础架构。 AWS 通过 Tr [ansit Gateway Connect Peer](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html#tgw-connect-peer),你可以在 AWS 账户中的传输网关和本地 SD-WAN 设备之间建立 GRE 隧道,后者通过 Direc AWS t Connect 连接作为底层传输进行连接。 必须将该设备配置为使用 [Connect 附件](https://docs.aws.amazon.com/vpc/latest/tgw/create-tgw-connect-attachment.html)通过 GRE 隧道在中转网关之间发送和接收流量。必须将该设备配置为使用 [BGP(边界网关协议)](https://aws.amazon.com/what-is/border-gateway-protocol/)进行动态路由更新和运行状况检查。 每个连接均可配置独立的路由表和 BGP 对等,这使您能够通过[虚拟路由和转发(VRF)](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html)将本地网络分段扩展到 AWS。带有 SAP VPC 的 RISE 已连接到 Tr AWS ansit Gateway。 此设置提供了一种简化的方法,可以 AWS 使用 Direct Connect 将软件定义广域网环境与 RISE 与 SAP AWS 连接起来,在简化整体架构的同时保持网络分离。 在这种情况下,[重叠网络](https://en.wikipedia.org/wiki/Overlay_network)是 SD-WAN(使用 GRE 隧道), headend/hub 或边缘设备部署在本地,底层传输为 Direct Connect AWS **模式 A-1:SD-WAN 设备与 Transit Gateway 集成,Direc AWS t Connect 与你的着 AWS 陆区集成 AWS ** ![\[SD-WAN 设备与 Transit Gateway 和 Direct Connect 集成(带登录区)\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-pattern-a-1-sd-wan-tgw-dx-lz.png) 上图说明了如何在 AWS 不添加额外基础设施的情况下扩展和分段软件定义广域网流量的模式。您可以使用 Di AWS rect Connect 连接作为 AWS 账户中的底层传输来创建 Transit Gateway 连接附件。 来自 RISE with SAP VPC 的出站流量: 1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。 1. Transit Gateway Connect 附件使用 Direct Connect 连接作为底层传输,并通过 GRE 隧道和 BGP 将 Transit Gateway 连接到企业数据中心 SD-WAN 设备。 流至 RISE with SAP VPC 的入站流量: 1. 从企业数据中心 SD-WAN 设备流向 RISE VPC 的流量借助中转网关连接的 GRE 隧道,通过 Direct Connect 链路转发到 Transit Gateway。 1. Transit Gateway 将流量转发到目标 RISE with SAP VPC。 **模式 A-2:SD-WAN 设备与 Transit Gateway 和 Direc AWS t Connect 集成,没有着 AWS 陆区 AWS ** ![\[SD-WAN 设备与 Transit Gateway 和 Direct Connect 集成(无登录区)\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-pattern-a-2-sd-wan-tgw-dx-no-lz.png) 上图说明了如何在 AWS 不添加额外基础设施的情况下扩展和分段软件定义广域网流量的模式。在 RISE with SAP 中,您可以请求 SAP 创建 Transit Gateway Connect 附件,并将 Direct Connect 连接用作底层传输载体。如果需要,客户可以利用由 SAP 管理的 [Direct Connect 网关(DXGW)](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)。 来自 RISE with SAP VPC 的出站流量: 1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。 1. Transit Gateway Connect 附件使用 Direct Connect 连接作为传输载体,并通过 GRE 隧道和 BGP 将 Transit Gateway 连接到企业数据中心 SD-WAN 设备。 流至 RISE with SAP VPC 的入站流量: 1. 从企业数据中心 SD-WAN 设备流向 RISE VPC 的流量借助中转网关连接的 GRE 隧道,通过 Direct Connect 链路转发到 Transit Gateway。 1. Transit Gateway 将流量转发到目标 RISE with SAP VPC。 **场景 B:中的 SD-WAN 设备(边缘 and/or 前端/集线器设备) AWS ** 在此场景中,SD-WAN 网络的虚拟设备部署在 AWS的 VPC 中。然后,您可以使用 VPC 附件作为 SD-WAN 虚拟设备与 AWS 账户中的 Transit Gateway 之间的 Transit Gateway 连接附件的底层传输。与场景 A 类似,Transit Gateway Connect 附件支持 GRE,与 VPN 连接相比,可提供更高的带宽性能。它支持 BGP 以实现动态路由,无需配置静态路由。此外,它与 [Transit Gateway Network Manager](https://docs.aws.amazon.com/vpc/latest/tgwnm/what-is-network-manager.html) 集成,可通过全局网络拓扑、附件级性能指标及遥测数据来实现高级可见性。 在本地和之间 AWS,[重叠网络](https://en.wikipedia.org/wiki/Overlay_network)是带有 GRE 的 SD-WAN 或内部 headend/hub 部署的 IPSec 隧道,底层传输可以是 Internet AWS、MLPS 或 Direct Connect。以下是此场景下的架构模式: 注意:以下各部分中介绍的各种网络模式仅适用于 AWS上现有的或新的登录区设置。有关 SD-WAN 设备部署和直接与 AWS 账户连接(由 SAP 管理),请参阅模式 A-2。 **模式 B-1:SD-WAN 设备与 Transit Gate AWS way Connect AWS 集成到您的着陆区 AWS ** ![\[SD-WAN 设备与 Transit Gateway 和 Direct Connect 集成(带登录区)\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-pattern-b-1-sd-wan-aws-tgw-dx-lz.png) 上图说明了一种模式,即借助[连接附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html)将 SD-WAN 网络与 Transit Gateway 集成,并将 SD-WAN 网络的(第三方)虚拟设备置于 AWS的设备 VPC 中。通常会在分支机构和本地数据中心部署 SD-WAN 边缘设备,以构建全网状拓扑。 来自 RISE with SAP 的出站流量: 1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。 1. Transit Gateway Connect 连接使用 VPC 附件作为传输载体,并使用 GRE 隧道和 BGP 将 Transit Gateway 连接到设备 VPC 中的第三方设备。 1. 第三方虚拟设备会对流量进行封装处理,这些流量通过部署在 Direct Connect 链路上的 SD-WAN 重叠网络传输至企业数据中心。 流至 RISE with SAP 的入站流量: 1. 从外部分支机构 AWS 到 RISE VPC 的流量通过互联网通过 SD-WAN 覆盖到达设备 VPC 的互联网网关。同样,从企业数据中心流向 RISE VPC 的流量通过 Direct Connect 链路上的 SD-WAN 重叠网络到达设备 VPC 的虚拟专用网关。 1. 设备 VPC 中的第三方虚拟设备通过连接附件将流量转发到 Transit Gateway。 1. Transit Gateway 将流量转发到目标 RISE VPC。 **模式 B-2:与 VPN 集成的 SD-WAN 设备 AWS AWS Site-to-Site ** ![\[软件定义广域网设备与 VPN 集成 Site-to-Site\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-pattern-b-2-sd-wan-s2svpn.png) 上图说明了一种使用 AWS 站点-站点 VPN 连接将您的 SD-WAN 网络与 Transit Gateway 集成,并将软件定义广域网网络的(第三方)虚拟设备置于其中的设备 VPC 中的模式。 AWS当您的第三方虚拟设备不支持 GRE 时,可以使用此方案。通常会在分支机构和本地数据中心部署 SD-WAN 边缘设备,以构建全网状拓扑。 来自 RISE with SAP 的出站流量: 1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway 弹性网络接口(TGW ENI)。 1. 流量使用 Site-to-Site VPN 连接在 Transit Gateway 和第三方虚拟设备之间路由。 1. 第三方虚拟设备会对流量进行封装处理,这些流量通过部署在 Direct Connect 链路上的 SD-WAN 重叠网络传输至企业数据中心。 流至 RISE with SAP 的入站流量: 1. 从外部分支机构 AWS 到 RISE VPC 的流量通过互联网通过 SD-WAN 覆盖到达设备 VPC 的互联网网关。同样,从公司数据中心到 RISE VPC 的流量通过 Direct C AWS onnect 链路通过 SD-WAN 叠加层到达设备 VPC 的虚拟专用网关。 1. 设备 VPC 中的第三方虚拟设备通过 VP Site-to-Site N 连接将流量转发到 Transit Gateway。 1. Transit Gateway 将流量转发到目标 RISE VPC 的 TGW ENI。