使用 SD-WAN 连接到 RISE
什么是 SD-WAN
软件定义的广域网(SD-WAN)
尽管 SD-WAN 主要运行于第 3 层,并采用重叠网络(例如,宽带互联网),但它可将第 2 层(数据链路层)技术(例如,AWS Direct Connect
在 SD-WAN 架构中,SD-WAN 头端设备充当集线器或集中式网络组件,而部署在分支机构、远程站点或数据中心的 SD-WAN edge devices
有关更多详细信息,请参阅 Reference Architectures for Implementing SD-WAN Solutions on AWS
场景 A:本地 SD-WAN 设备(边缘和/或头端/集线器设备)
AWS Transit Gateway Connect 可让您通过 GRE(通用路由封装)
必须将该设备配置为使用 Connect 附件通过 GRE 隧道在中转网关之间发送和接收流量。必须将该设备配置为使用 BGP(边界网关协议)
每个连接均可配置独立的路由表和 BGP 对等,这使您能够通过虚拟路由和转发(VRF)将本地网络分段扩展到 AWS。RISE with SAP VPC 将连接到 AWS Transit Gateway。
该设置提供了一种简化的方式,通过 AWS Direct Connect 将您的 SD-WAN 环境与 RISE with SAP on AWS 连接,在保持网络隔离的同时简化整体架构。
在此场景中,overlay network
模式 A-1:SD-WAN 设备与 AWS Transit Gateway 和 AWS Direct Connect 集成(带 AWS 登录区)
上图说明了一种模式,可让您将 SD-WAN 流量扩展并分段至 AWS,而无需额外添加基础设施。您可在自己的 AWS 账户中,以 AWS Direct Connect 连接作为底层传输,创建 Transit Gateway Connect 附件。
来自 RISE with SAP VPC 的出站流量:
-
从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。
-
Transit Gateway Connect 附件使用 Direct Connect 连接作为底层传输,并通过 GRE 隧道和 BGP 将 Transit Gateway 连接到企业数据中心 SD-WAN 设备。
流至 RISE with SAP VPC 的入站流量:
-
从企业数据中心 SD-WAN 设备流向 RISE VPC 的流量借助中转网关连接的 GRE 隧道,通过 Direct Connect 链路转发到 Transit Gateway。
-
Transit Gateway 将流量转发到目标 RISE with SAP VPC。
模式 A-2:SD-WAN 设备与 AWS Transit Gateway 和 AWS Direct Connect 集成(无 AWS 登录区)
上图说明了一种模式,可让您将 SD-WAN 流量扩展并分段至 AWS,而无需额外添加基础设施。在 RISE with SAP 中,您可以请求 SAP 创建 Transit Gateway Connect 附件,并将 Direct Connect 连接用作底层传输载体。如果需要,客户可以利用由 SAP 管理的 Direct Connect 网关(DXGW)。
来自 RISE with SAP VPC 的出站流量:
-
从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。
-
Transit Gateway Connect 附件使用 Direct Connect 连接作为传输载体,并通过 GRE 隧道和 BGP 将 Transit Gateway 连接到企业数据中心 SD-WAN 设备。
流至 RISE with SAP VPC 的入站流量:
-
从企业数据中心 SD-WAN 设备流向 RISE VPC 的流量借助中转网关连接的 GRE 隧道,通过 Direct Connect 链路转发到 Transit Gateway。
-
Transit Gateway 将流量转发到目标 RISE with SAP VPC。
场景 B:AWS 中的 SD-WAN 设备(边缘和/或头端/集线器设备)
在此场景中,SD-WAN 网络的虚拟设备部署在 AWS 的 VPC 中。随后,您可以使用 VPC 附件作为 SD-WAN 虚拟设备与 AWS 账户中的 Transit Gateway 之间的 Transit Gateway Connect 附件的底层传输载体。与场景 A 类似,Transit Gateway Connect 附件支持 GRE,与 VPN 连接相比,可提供更高的带宽性能。它支持 BGP 以实现动态路由,无需配置静态路由。此外,它与 Transit Gateway Network Manager 集成,可通过全局网络拓扑、附件级性能指标及遥测数据来实现高级可见性。
在本地和 AWS 之间,overlay network
注意:以下各部分中介绍的各种网络模式仅适用于 AWS 上现有的或新的登录区设置。有关直接通过由 SAP 管理的 AWS 账户部署和连接 SD-WAN 设备,请参阅“模式 A-2”。
模式 B-1:AWS 中的 SD-WAN 设备与 AWS Transit Gateway Connect 集成(带 AWS 登录区)
上图说明了一种模式,即借助连接附件将 SD-WAN 网络与 Transit Gateway 集成,并将 SD-WAN 网络的(第三方)虚拟设备置于 AWS 的设备 VPC 中。通常会在分支机构和本地数据中心部署 SD-WAN 边缘设备,以构建全网状拓扑。
来自 RISE with SAP 的出站流量:
-
从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。
-
Transit Gateway Connect 连接使用 VPC 附件作为传输载体,并使用 GRE 隧道和 BGP 将 Transit Gateway 连接到设备 VPC 中的第三方设备。
-
第三方虚拟设备会对流量进行封装处理,这些流量通过部署在 Direct Connect 链路上的 SD-WAN 重叠网络传输至企业数据中心。
流至 RISE with SAP 的入站流量:
-
从 AWS 外部的分支机构流向 RISE VPC 的流量通过互联网上的 SD-WAN 重叠网络到达设备 VPC 的互联网网关。同样,从企业数据中心流向 RISE VPC 的流量通过 Direct Connect 链路上的 SD-WAN 重叠网络到达设备 VPC 的虚拟专用网关。
-
设备 VPC 中的第三方虚拟设备通过连接附件将流量转发到 Transit Gateway。
-
Transit Gateway 将流量转发到目标 RISE VPC。
模式 B-2:AWS 中的 SD-WAN 与 AWS Site-to-Site VPN 集成
上图说明了一种模式,即借助 AWS Site-Site VPN 连接将 SD-WAN 网络与 Transit Gateway 集成,并将 SD-WAN 网络的(第三方)虚拟设备置于 AWS 的设备 VPC 中。当您的第三方虚拟设备不支持 GRE 时,可以使用此方案。通常会在分支机构和本地数据中心部署 SD-WAN 边缘设备,以构建全网状拓扑。
来自 RISE with SAP 的出站流量:
-
从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway 弹性网络接口(TGW ENI)。
-
流量通过 Site-to-Site VPN 连接在 Transit Gateway 和第三方虚拟设备之间路由。
-
第三方虚拟设备会对流量进行封装处理,这些流量通过部署在 Direct Connect 链路上的 SD-WAN 重叠网络传输至企业数据中心。
流至 RISE with SAP 的入站流量:
-
从 AWS 外部的分支机构流向 RISE VPC 的流量通过互联网上的 SD-WAN 重叠网络到达设备 VPC 的互联网网关。同样,从企业数据中心流向 RISE VPC 的流量通过 Direct Connect 链路上的 SD-WAN 重叠网络到达设备 VPC 的虚拟专用网关。
-
设备 VPC 中的第三方虚拟设备通过 Site-to-Site VPN 连接将流量转发到 Transit Gateway。
-
Transit Gateway 将流量转发到目标 RISE VPC 的 TGW ENI。
