本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用连接到 RISE SD-WAN
什么是 SD-WAN
Software-Defined 广域网 (SD-WAN)
尽管它 SD-WAN 主要在第 3 层运行,但使用宽带互联网等重叠网络,但它可以利用第 2 层(数据链路)技术作为传输的底层网络,以及 AWS Site-to-Site VPN 等第 3 层(网络)技术。AWS
在 SD-WAN 架构中, SD-WAN 前端充当集线器或集中式网络组件,而SD-WAN 边缘设备
您可以在上的 “实施 SD-WAN 解决方案的参考架构” 中参
场景 A:本地 SD-WAN 设备(边缘 and/or headend/hub)
AWS T@@ ransit Gateway Connect 允许您将 SD-WAN 网络扩展到 AWS 使用 GRE(通用路由封装)
必须将该设备配置为使用 Connect 附件通过 GRE 隧道在中转网关之间发送和接收流量。必须将该设备配置为使用 BGP(边界网关协议)
每个连接均可配置独立的路由表和 BGP 对等,这使您能够通过虚拟路由和转发(VRF)将本地网络分段扩展到 AWS。带有 SAP VPC 的 RISE 已连接到 Tr AWS ansit Gateway。
此设置提供了一种简化的方式,可以 AWS 使用 Di AWS rect Connect 将您的 SD-WAN 环境与 RISE 与 SAP 连接起来,在简化整体架构的同时保持网络分离。
在这种情况下,重叠网络
模式 A-1: SD-WAN 设备与 T AWS ransit Gateway 集成, AWS Direct Connect 与你的 AWS 着陆区集成
上图说明了如何在 AWS 不添加额外基础设施的情况下将 SD-WAN 流量扩展和分段到的模式。您可以使用 Di AWS rect Connect 连接作为 AWS 账户中的底层传输来创建 Transit Gateway 连接附件。
来自 RISE with SAP VPC 的出站流量:
-
从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。
-
Transit Gateway 连接连接使用 Direct Connect 连接作为底层传输,并通过 GRE 隧道和 BGP 将 Transit Gateway 连接到企业数据中心 SD-WAN 设备。
流至 RISE with SAP VPC 的入站流量:
-
从企业数据中心 SD-WAN 设备到 RISE VPC 的流量通过 Direct Connect 链路通过 Transit Gateway 连接的 GRE 隧道转发到 Transit Gateway。
-
Transit Gateway 将流量转发到目标 RISE with SAP VPC。
模式 A-2: SD-WAN 设备与 T AWS ransit Gateway 和 AWS Direct Connect 集成,没有着 AWS 陆区
上图说明了如何在 AWS 不添加额外基础设施的情况下将 SD-WAN 流量扩展和分段到的模式。在 RISE with SAP 中,您可以请求 SAP 创建 Transit Gateway Connect 附件,并将 Direct Connect 连接用作底层传输载体。如果需要,客户可以利用 D SAP-managed irect Connect 网关 (DXGW)。
来自 RISE with SAP VPC 的出站流量:
-
从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。
-
Transit Gateway 连接连接使用 Direct Connect 连接作为传输,并使用 GRE 隧道和 BGP 将 Transit Gateway 连接到企业数据中心 SD-WAN 设备。
流至 RISE with SAP VPC 的入站流量:
-
从企业数据中心 SD-WAN 设备到 RISE VPC 的流量通过 Direct Connect 链路通过 Transit Gateway 连接的 GRE 隧道转发到 Transit Gateway。
-
Transit Gateway 将流量转发到目标 RISE with SAP VPC。
场景 B:中的 SD-WAN 设备(边缘 and/or headend/hub 设备) AWS
在这种情况下, SD-WAN 网络的虚拟设备部署在其中的 VPC 中 AWS。然后,您可以使用 VPC 附件作为 SD-WAN 虚拟设备和 AWS 账户中 Transit Gateway 之间的 Transit Gateway 连接附件的底层传输。与场景 A 类似,Transit Gateway Connect 附件支持 GRE,与 VPN 连接相比,可提供更高的带宽性能。它支持 BGP 以实现动态路由,无需配置静态路由。此外,它与 Transit Gateway Network Manager 集成,可通过全局网络拓扑、附件级性能指标及遥测数据来实现高级可见性。
在本地和之间 AWS,重叠网络使用
注意:以下各部分中介绍的各种网络模式仅适用于 AWS上现有的或新的登录区设置。有关 SD-WAN 设备部署和直接通过 SAP 管理的 AWS 帐户进行连接,请参阅 Pattern A-2。
模式 B-1: SD-WAN 设备与 T AWS ransit Gateway Connect 与你的 AWS 着陆区 AWS 集成
上图说明了一种使用连接附件将您的 SD-WAN 网络与 Transit Gateway 集成的模式,并将 SD-WAN 网络的(第三方)虚拟设备置于其中的设备 VPC 中 AWS。通常在分支机构部署 SD-WAN 边缘设备,在本地数据中心部署边缘设备以创建全网状拓扑。
来自 RISE with SAP 的出站流量:
-
从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。
-
Transit Gateway Connect 连接使用 VPC 附件作为传输载体,并使用 GRE 隧道和 BGP 将 Transit Gateway 连接到设备 VPC 中的第三方设备。
-
第三方虚拟设备封装了流量,该流量使用 SD-WAN 叠加层(位于Direct Connect链路之上)到达公司数据中心。
流至 RISE with SAP 的入站流量:
-
从外部分支机构 AWS 到 RISE VPC 的流量通过互联网 SD-WAN 覆盖到达设备 VPC 的互联网网关。同样,从公司数据中心到 RISE VPC 的流量通过 Direct Connect 链路通过 SD-WAN 叠加到达设备 VPC 的虚拟专用网关。
-
设备 VPC 中的第三方虚拟设备通过连接附件将流量转发到 Transit Gateway。
-
Transit Gateway 将流量转发到目标 RISE VPC。
模式 B-2:与 AWS Site-to-Site VPN AWS 集成的 SD-WAN 设备
上图说明了一种模式,即使用 AWS Site-Site VPN 连接将您的 SD-WAN 网络与 Transit Gateway 集成,并将 SD-WAN 网络的(第三方)虚拟设备置于其中的设备 VPC 中 AWS。当您的第三方虚拟设备不支持 GRE 时,可以使用此方案。通常在分支机构部署 SD-WAN 边缘设备,在本地数据中心部署边缘设备以创建全网状拓扑。
来自 RISE with SAP 的出站流量:
-
从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway 弹性网络接口(TGW ENI)。
-
流量使用 Site-to-Site VPN 连接在 Transit Gateway 和第三方虚拟设备之间路由。
-
第三方虚拟设备封装了流量,该流量使用 SD-WAN 叠加层(位于Direct Connect链路之上)到达公司数据中心。
流至 RISE with SAP 的入站流量:
-
从外部分支机构 AWS 到 RISE VPC 的流量通过互联网 SD-WAN 覆盖到达设备 VPC 的互联网网关。同样,从公司数据中心到 RISE VPC 的流量通过 Di AWS rect Connect 链路通过 SD-WAN 叠加到达设备 VPC 的虚拟专用网关。
-
设备 VPC 中的第三方虚拟设备通过 VP Site-to-Site N 连接将流量转发到 Transit Gateway。
-
Transit Gateway 将流量转发到目标 RISE VPC 的 TGW ENI。
