本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用连接到 RISE SD-WAN **什么是 SD-WAN** [Software-Defined 广域网 (SD-WAN)](https://en.wikipedia.org/wiki/SD-WAN) 是一种网络技术,它使用软件来管理和路由不同网络(例如 Multi-Protocol 标签交换 (MPLS)、公共互联网或 Amazon 主干网络)上的流量,重点是改善连接和应用程序性能。 SD-WAN 主要在网络 OSI 模型的第 3 层(网络层)运行,提供集中控制、路由、路径选择、 IP-based 策略,并能够确定特定任务关键型应用程序(例如 SAP)的优先级,因此非常适合基于云的 RISE 和 SAP 环境。 [尽管它 SD-WAN 主要在第 3 层运行,但使用宽带互联网等重叠网络,但它可以利用第 2 层(数据链路)技术作为传输的底层网络,以及 [Amazon Site-to-Site VPN](https://docs.amazonaws.cn/vpn/latest/s2svpn/VPC_VPN.html) 等第 3 层(网络)技术。Amazon](https://www.amazonaws.cn/directconnect/) 在 SD-WAN 架构中, SD-WAN 前端充当集线器或集中式网络组件,而[SD-WAN 边缘设备](https://en.wikipedia.org/wiki/SD-WAN#SD-WAN_edge)则部署在分支机构、远程站点或数据中心,作为广域网流量的入口和出口点。 您可以在[上的 “实施 SD-WAN 解决方案的参考架构” 中参](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/sd-wan-deployment-models-ra.pdf?did=wp_card&trk=wp_card)阅更多详细信息 Amazon。 **场景 A:本地 SD-WAN 设备(边缘 and/or headend/hub)** Amazon T@@ [ransit Gateway Connect](https://docs.amazonaws.cn/vpc/latest/tgw/tgw-connect.html) 允许您将 SD-WAN 网络扩展到 Amazon 使用 [GRE(通用路由封装)](https://en.wikipedia.org/wiki/Generic_routing_encapsulation)隧道,而无需额外的 Amazon 基础设施。通过 Tr [ansit Gateway Connect Peer](https://docs.amazonaws.cn/vpc/latest/tgw/tgw-connect.html#tgw-connect-peer),你可以在 Amazon 账户中的传输网关和本地 SD-WAN 设备之间建立 GRE 隧道,后者通过 Amazon Direct Connect 连接作为底层传输进行连接。 必须将该设备配置为使用 [Connect 附件](https://docs.amazonaws.cn/vpc/latest/tgw/create-tgw-connect-attachment.html)通过 GRE 隧道在中转网关之间发送和接收流量。必须将该设备配置为使用 [BGP(边界网关协议)](https://www.amazonaws.cn/what-is/border-gateway-protocol/)进行动态路由更新和运行状况检查。 每个连接均可配置独立的路由表和 BGP 对等,这使您能够通过[虚拟路由和转发(VRF)](https://docs.amazonaws.cn/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html)将本地网络分段扩展到 Amazon。带有 SAP VPC 的 RISE 已连接到 Tr Amazon ansit Gateway。 此设置提供了一种简化的方式,可以 Amazon 使用 Di Amazon rect Connect 将您的 SD-WAN 环境与 RISE 与 SAP 连接起来,在简化整体架构的同时保持网络分离。 在这种情况下,[重叠网络](https://en.wikipedia.org/wiki/Overlay_network) SD-WAN (使用 GRE 隧道)将 headend/hub 或边缘设备部署在本地部署,底层传输为 Di Amazon rect Connect **模式 A-1: SD-WAN 设备与 T Amazon ransit Gateway 集成, Amazon Direct Connect 与你的 Amazon 着陆区集成** ![SD-WAN 设备与 Transit Gateway 集成,Direct Connect 与你的着陆区集成](http://docs.amazonaws.cn/sap/latest/general/images/rise-pattern-a-1-sd-wan-tgw-dx-lz.png) 上图说明了如何在 Amazon 不添加额外基础设施的情况下将 SD-WAN 流量扩展和分段到的模式。您可以使用 Di Amazon rect Connect 连接作为 Amazon 账户中的底层传输来创建 Transit Gateway 连接附件。 来自 RISE with SAP VPC 的出站流量: 1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。 1. Transit Gateway 连接连接使用 Direct Connect 连接作为底层传输,并通过 GRE 隧道和 BGP 将 Transit Gateway 连接到企业数据中心 SD-WAN 设备。 流至 RISE with SAP VPC 的入站流量: 1. 从企业数据中心 SD-WAN 设备到 RISE VPC 的流量通过 Direct Connect 链路通过 Transit Gateway 连接的 GRE 隧道转发到 Transit Gateway。 1. Transit Gateway 将流量转发到目标 RISE with SAP VPC。 **模式 A-2: SD-WAN 设备与 T Amazon ransit Gateway 和 Amazon Direct Connect 集成,没有着 Amazon 陆区** ![SD-WAN 设备与 Transit Gateway 和 Direct Connect 集成,没有着陆区](http://docs.amazonaws.cn/sap/latest/general/images/rise-pattern-a-2-sd-wan-tgw-dx-no-lz.png) 上图说明了如何在 Amazon 不添加额外基础设施的情况下将 SD-WAN 流量扩展和分段到的模式。在 RISE with SAP 中,您可以请求 SAP 创建 Transit Gateway Connect 附件,并将 Direct Connect 连接用作底层传输载体。如果需要,客户可以利用 D SAP-managed [irect Connect 网关 (DXGW)](https://docs.amazonaws.cn/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)。 来自 RISE with SAP VPC 的出站流量: 1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。 1. Transit Gateway 连接连接使用 Direct Connect 连接作为传输,并使用 GRE 隧道和 BGP 将 Transit Gateway 连接到企业数据中心 SD-WAN 设备。 流至 RISE with SAP VPC 的入站流量: 1. 从企业数据中心 SD-WAN 设备到 RISE VPC 的流量通过 Direct Connect 链路通过 Transit Gateway 连接的 GRE 隧道转发到 Transit Gateway。 1. Transit Gateway 将流量转发到目标 RISE with SAP VPC。 **场景 B:中的 SD-WAN 设备(边缘 and/or headend/hub 设备) Amazon ** 在这种情况下, SD-WAN 网络的虚拟设备部署在其中的 VPC 中 Amazon。然后,您可以使用 VPC 附件作为 SD-WAN 虚拟设备和 Amazon 账户中 Transit Gateway 之间的 Transit Gateway 连接附件的底层传输。与场景 A 类似,Transit Gateway Connect 附件支持 GRE,与 VPN 连接相比,可提供更高的带宽性能。它支持 BGP 以实现动态路由,无需配置静态路由。此外,它与 [Transit Gateway Network Manager](https://docs.amazonaws.cn/vpc/latest/tgwnm/what-is-network-manager.html) 集成,可通过全局网络拓扑、附件级性能指标及遥测数据来实现高级可见性。 在本地和之间 Amazon,[重叠网络使用](https://en.wikipedia.org/wiki/Overlay_network) GRE 或 IPsec 隧道,并在内部 headend/hub 部署,底层传输可以是 SD-WAN Internet Amazon、MLPS 或 Direct Connect。以下是此场景下的架构模式: 注意:以下各部分中介绍的各种网络模式仅适用于 Amazon上现有的或新的登录区设置。有关 SD-WAN 设备部署和直接通过 SAP 管理的 Amazon 帐户进行连接,请参阅 Pattern A-2。 **模式 B-1: SD-WAN 设备与 T Amazon ransit Gateway Connect 与你的 Amazon 着陆区 Amazon 集成** ![SD-WAN 设备与 Transit Gateway 集成,Direct Connect 与您的着陆区集成](http://docs.amazonaws.cn/sap/latest/general/images/rise-pattern-b-1-sd-wan-aws-tgw-dx-lz.png) 上图说明了一种使用[连接附件](https://docs.amazonaws.cn/vpc/latest/tgw/tgw-connect.html)将您的 SD-WAN 网络与 Transit Gateway 集成的模式,并将 SD-WAN 网络的(第三方)虚拟设备置于其中的设备 VPC 中 Amazon。通常在分支机构部署 SD-WAN 边缘设备,在本地数据中心部署边缘设备以创建全网状拓扑。 来自 RISE with SAP 的出站流量: 1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway。 1. Transit Gateway Connect 连接使用 VPC 附件作为传输载体,并使用 GRE 隧道和 BGP 将 Transit Gateway 连接到设备 VPC 中的第三方设备。 1. 第三方虚拟设备封装了流量,该流量使用 SD-WAN 叠加层(位于Direct Connect链路之上)到达公司数据中心。 流至 RISE with SAP 的入站流量: 1. 从外部分支机构 Amazon 到 RISE VPC 的流量通过互联网 SD-WAN 覆盖到达设备 VPC 的互联网网关。同样,从公司数据中心到 RISE VPC 的流量通过 Direct Connect 链路通过 SD-WAN 叠加到达设备 VPC 的虚拟专用网关。 1. 设备 VPC 中的第三方虚拟设备通过连接附件将流量转发到 Transit Gateway。 1. Transit Gateway 将流量转发到目标 RISE VPC。 **模式 B-2:与 Amazon Site-to-Site VPN Amazon 集成的 SD-WAN 设备** ![SD-WAN 与 Site-to-Site VPN 集成的设备](http://docs.amazonaws.cn/sap/latest/general/images/rise-pattern-b-2-sd-wan-s2svpn.png) 上图说明了一种模式,即使用 Amazon Site-Site VPN 连接将您的 SD-WAN 网络与 Transit Gateway 集成,并将 SD-WAN 网络的(第三方)虚拟设备置于其中的设备 VPC 中 Amazon。当您的第三方虚拟设备不支持 GRE 时,可以使用此方案。通常在分支机构部署 SD-WAN 边缘设备,在本地数据中心部署边缘设备以创建全网状拓扑。 来自 RISE with SAP 的出站流量: 1. 从 RISE VPC 流向企业数据中心的流量将被路由至 Transit Gateway 弹性网络接口(TGW ENI)。 1. 流量使用 Site-to-Site VPN 连接在 Transit Gateway 和第三方虚拟设备之间路由。 1. 第三方虚拟设备封装了流量,该流量使用 SD-WAN 叠加层(位于Direct Connect链路之上)到达公司数据中心。 流至 RISE with SAP 的入站流量: 1. 从外部分支机构 Amazon 到 RISE VPC 的流量通过互联网 SD-WAN 覆盖到达设备 VPC 的互联网网关。同样,从公司数据中心到 RISE VPC 的流量通过 Di Amazon rect Connect 链路通过 SD-WAN 叠加到达设备 VPC 的虚拟专用网关。 1. 设备 VPC 中的第三方虚拟设备通过 VP Site-to-Site N 连接将流量转发到 Transit Gateway。 1. Transit Gateway 将流量转发到目标 RISE VPC 的 TGW ENI。