将 SD-WAN 设备迁移到 亚马逊云科技 Transit Gateway Con

作者: Dave Dericco | 202

简介

自 2020 年推出以来, 亚马逊云科技 Transi t Gateway Connect 为您将第三方软件定义广域网 设备连接到 亚马逊云科技 Transit Gateway 提供了一种原生方式。连接附件使用通用路由封装 (GRE) 隧道和边界网关协议 (BGP) 在传输网关和设备之间交换路由。

在使用 Transit Gateway Connect 之前,您可以通过两种方式将 SD-WAN 解决方案集成到传输网关中: 亚马逊云科技 点对点 VPN 附件和 VPC 附件。在 亚马逊云科技 上实施 SD-WAN 解决方案的 参考架构 中描述了这些架构。 尽管这些设计对某些场景有效且有用,但迁移到 Transit Gateway Connect 还有其他好处:

传输网关连接与点对点 VPN

  • 更高的带宽 :单个 Transit Gateway Connect 连接最多可支持 20 Gbps,而点对点 VPN 连接仅支持高达 1.25 Gbps。
  • 更高的 MTU :连接附件支持的 MTU 为 8500 字节 ,高于点对点 VPN MTU(1500 字节)。
  • 简化连接 :连接 附件使用 GRE 进行封装,从而消除了与多个 VPN 隧道相关的 IPsec 开销。

传输网关连接与 VPC 附件

  • 动态路由: 连接附件使用 BGP 进行动态路由,而不是 VPC 和传输网关路由表中的静态路由,无需手动更新路由表或自定义自动化。
  • 改进监控 :连接附件自动包含在 亚马逊云科技 Transit Gateway Network Manager 中 ,它可以让用户查看路由更新和其他网络事件。
  • 提高了可用性 :Transit Gateway Connect 支持具有五元组哈希值的等价多路径 (ECMP),即协议号、源 IP 地址、目标 IP 地址、源端口号和目标端口号。与带有 VPC 附件的每个可用区一台设备的方法相比,这使您的流量可以平均分配到多个设备上,从而减少单个设备故障的影响。

(请注意,Transit Gateway Connect 附件不同 于 亚马逊云科技 Direct Connect ,后者允许您在网络和 亚马逊云科技 Direct Connect 位置之间建立专用的网络连接。但是,您可以同时使用 Direct Connect 和 Transit Gateway Connect,如 博客文章所述,使用 亚马逊云科技 Transit Gateway Connect 简化软件定义广域网连接 。)

在这篇文章中,我们将为您提供成功将这些 SD-WAN 架构迁移到 Transit Gateway Connect 的背景和必要步骤,以及迁移时需要记住的注意事项。要正常工作,您的设备必须满足 T ransit Gateway Connect 附件的 要求

了解公交网关路由表行为

在深入研究之前,了解公交网关路由表如何与 Connect 附件配合使用非常重要。这将影响您处理迁移过程的方式。

  1. 当 Connect 附件与路由表关联时,传输网关会将该路由表中的路由通告给设备。
  2. 设备通告的路由只有在传播到路由表中时才会出现在该路由表中。

创建传输网关时,您可以选择为新附件选择默认的路由表关联。您也可以选择将来自新附件的路径自动传播到该默认路由表。如果需要,可以在创建传输网关后更改这两个选项。在下面的示例中,默认路由表关联和默认路由表传播被禁用。您的传输网关的配置可能有所不同,因此在开始 之前,请务必在 Amazon VPC 控制台 中检查您的环境。

还值得花点时间回顾一下 Tr ansit Gateway 如何评估路线 以及按什么顺序进行评估。在这篇文章中,在我们完成迁移步骤时,需要记住三个要点:

  1. 目标地址的最具体路由始终是首选
  2. 静态路由优先于传播路由
  3. 传输网关连接传播路由优先于 VPN 传播路由

您可以查看公交网关路由表,看看传输网关更喜欢哪条路线。

场景 1:将动态 VPN 迁移到传输网关连接

在此架构中,您的 SD-WAN 设备位于专用 VPC(“设备 VPC”)中,并与传输网关建立点对点 VPN 连接。设备使用 BGP 与传输网关交换路由前缀。根据您的带宽要求,您可以使用 ECMP 将多个 VPN 隧道聚合在一起以获得更高的带宽。在下图(图 1)中,我们想要使用 Transit Gateway Connect 迁移到现有设备。

Figure 1. Example SD-WAN integration with Site-to-Site VPN

图 1。示例 SD-WAN 与点对点 VPN 的集成

首先,使用 SD-WAN 设备创建连接到 VPC 的传输网关连接。如果您在 VPC 中有未分配的 IP 空间,则最佳做法是 为每个传输网关 VPC 附件创建 单独的子网 。连接 VPC 后,您可以使用先前创建的 VPC 附件作为传输或底层来创建传输网关 Connect 附件(图 2)。请记住,您还必须在设备 VPC 路由表中为传输网关 CIDR 块创建路由,并将传输网关作为目标。

Figure 2. Attaching the appliance VPC and adding a Connect attachment

图 2。连接设备 VPC 并添加连接附件

使用连接连接后,您可以创建连接对等体(GRE 隧道),指定与连接到设备实例的 ENI 关联的私有 IP 地址。由于您的设备已经在使用 VPN 连接,因此您可以在设备上指定现有的对等 ASN (eBGP)。如果必须使用相同的 ASN (iBGP),则必须先断开现有的 VPN 连接,以便更新设备上的 ASN。或者,您可以部署新设备。在传输网关上配置 Connect 对等体后,就可以在设备上配置 GRE 隧道。

在此阶段,您必须在设备上配置连接对等 BGP 会话。图 3 显示了激活 BGP 并且您关联了 Connect 附件并传播路由后默认会发生的情况:

Figure 3. Asymmetric routing between the appliance and Transit Gateway

图 3。设备和传输网关之间的非对称路由

还记得交通网关路线评估顺序吗?如果您激活从 Connect 附件向分支 VPC 路由表的传播,则您将在传输网关路由表中看到 Connect 路由,而不是 VPN 路由。请记住,传输网关路由表将仅显示目标 CIDR 块的首选路由(在本例中为 Connect 对等路由)。同时,将 Connect 附件关联到我们的设备路由表意味着设备将开始从 Connect 对等体和 VPN 隧道接收相同的路由。

换句话说,从传输网关到设备的出口流量将首选 Connect 对等体(GRE 隧道)。来自设备的入站流量将使用 Connect 对等体或 VPN,具体取决于您的设备配置。

在这种情况下,您可以使用设备上的 BGP 属性(例如本地首选项或 AS_PATH)来首选连接附件。这也将降低由于设备执行状态检查的非对称路由而导致流量丢失的风险。或者,您可以关闭设备上的 VPN 隧道。请记住,由于您的设备和传输网关具有不同的 ASN (eBGP),因此您必须在设备上将 ebgp-multihop 配置为生存时间 (TTL) 值为 2。图 4 说明了在从 VPN 隧道接收到的路由之前启用 AS_PATH 时产生的流量:

Figure 4. Traffic flow after manipulating BGP attributes

图 4。操作 BGP 属性后的流量

一旦你测试并验证了流量是否按预期流动,迁移就完成了。然后,您可以安全地关闭或删除 VPN 隧道以及与之关联的任何 BGP 会话。请记住,此时您不会在公交网关路由表中看到任何变化。图 5 显示了完成迁移后的最终架构。

Figure 5. Migration from VPN completed

图 5。从 VPN 迁移已完成

注意事项

  • 如果您想利用 Connect 附件更高 MTU(8500 字节),请务必更新您的设备配置。
  • 如果您需要恢复更改,请将传播从 Connect 附件中移除到传输网关路由表中。然后,您可以重新激活 VPN 隧道或重新调整 BGP 指标以确定 VPN 隧道的优先级。

场景 2:将接口/VPC 附件迁移到传输网关连接

使用 VPC 连接选项时,您的设备 VPC 已连接到传输网关。此选项不是 BGP,而是使用设备 VPC 路由表和传输网关路由表来路由流量进出您的 SD-WAN 设备。有关此架构的示例,请参阅图 6。

Figure 6. Example SD-WAN integration with VPC attachment


图 6。软件定义广域网与 VPC 连接的集成示例

和以前一样,要开始迁移,您必须添加传输网关 CIDR 块(如果还没有),然后在设备子网路由表中向其添加路由。使用与传输网关的现有 VPC 连接创建传输网关 Connect 附件,并在设备上配置 Connect 对等体。图 7 说明了迁移过程这个阶段的架构。

Figure 7. Adding the Connect attachment and GRE tunnels after updating public subnet route tables

图 7。更新公有子网路由表后添加 Connect 连接和 GRE 隧道

如果您之前没有在设备上配置 BGP,则可以选择对 iBGP 使用相同的自治系统 (AS) 号码,或者对于 eBGP 使用不同的 AS 号码。如果您选择在连接对等体上使用 iBGP,则必须确保从 eBGP 对等体通告下游路由。将传输网关 Connect 附件关联到传输网关路由表后,设备将开始通过 BGP 接收来自 Connect 对等体的路由。

为了避免非对称路由,您必须开启来自 Connect 对等体的传播,并在传输网关路由表中删除到设备 VPC 的现有静态路由。开启传播后,生成的路由行为将取决于传输网关路由表和 Connect 对等方通告的前缀:

  • 对于具有 相同 目标前缀的路由,首选指向 VPC 连接的静态路由。从 Connect 对等体传播的路由未出现在传输网关路由表中。
  • 如果您创建了指向 VPC 附件的汇总静态路由,并且 Connect 对等体通告了 更具体的前缀 ,则会改用更具体的 Connect 前缀。

您可以查看图 8 中显示的传输网关路由表,以了解传输网关首选的路由。

Figure 8. Static summarized vs. more specific propagated routes

图 8。静态汇总路由与更具体的传播路由

在我们的示例中,设备通告的是相同的前缀 (10.0.0.0/8),因此您必须在传输网关路由表中删除相应的静态路由。在 VPC 内,删除公有子网中各个分支 VPC 的路由,以及传输网关子网中的默认路由。一旦您验证了公交网关按预期接收您的路线,并且流量正常流动,迁移即告完成(图 9)。

图 9。从 VPC 附件迁移已完成

注意事项

  • 传输网关连接对等体和 VPC 附件支持不同的带宽。连接到传输网关的 VPC 连接的最大带宽为 50 Gbps,而每个传输网关 Connect 对等体支持每个 Connect 连接的最大带宽为 5 Gbps。如果您需要更高的带宽,则可以使用 ECMP,为每个 Connect 连接创建最多 4 个对等体,总带宽为 20 Gbps,或者在同一个传输网关上创建额外的连接附件。
  • 如果您需要恢复更改,请在传输网关路由表和设备路由表中重新创建静态路由。然后,您可以取消关联连接附件,或关闭设备上的 “连接附件” 对等连接。

结论

这篇文章中介绍的模式介绍了迁移过程中涉及的一些注意事项和路由挑战。与任何迁移一样,您应该制定计划,以便在预定的维护时段内根据需要实施、测试和回滚。要了解有关 SD-WAN 和网络合作伙伴提供的 Transit Gateway Connect 支持的更多信息,请访问公交网关 合作伙伴 页面。如果您在规划迁移方面需要帮助,请咨询您的 亚马逊云科技 技术客户经理(适用于企业支持客户)或解决方案架构师。

戴夫·德里科

Dave DericCo 是 亚马逊云科技 网络方面的高级专业技术客户经理,他在那里帮助企业客户架构、运营和管理其全球云网络。当不追孩子或被当地野生动物追赶时,经常会发现戴夫在厨房里搞得一团糟。

*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您发展海外业务和/或了解行业前沿技术选择推荐该服务。