Partner-Gateways können mit mehreren Subnetzen konfiguriert werden, von denen jedes mit einer Übergabe von NAT oder VLAN konfiguriert werden kann. Jedes Subnetz kann auch mit relativen Kosten und der Angabe konfiguriert werden, ob der Datenverkehr verschlüsselt werden soll oder nicht.

In den folgenden Beispielen werden zwei Anwendungsfälle für die Konfiguration von Partner-Gateways veranschaulicht.

Anwendungsfall Nr. 1 der Gateway-Konfiguration

Betrachten Sie die folgende Abbildung, in der ein Gateway über den VLAN/VRF-Modus mit einem VRF verbunden ist, das keinen Zugang zum öffentlichen Internet hat. Das Partner-Gateway muss jedoch in der Lage sein, mit SD-WAN Orchestrator in der öffentlichen Cloud Kontakt aufzunehmen, und es muss einen Pfad geben, um die Cloud zu erreichen. Das SD-WAN Gateway kann selektiv bestimmten Datenverkehr (z. B. die IP-Adresse einer SD-WAN Orchestrator-Instanz oder die Subnetze, die zum Erreichen eines öffentlichen DNS-Servers verwendet werden) über NAT verbinden, obwohl es im VLAN/VRF-Modus arbeitet.

  • Nr. 1: SD-WAN Orchestrator-Datenverkehr wird über die IP-Adresse(n) an NAT weitergeleitet
  • Nr. 2: Der Unternehmensdatenverkehr wird über Subnetz(e) an VLAN/VRF weitergeleitet

Anwendungsfall Nr. 2 der Gateway-Konfiguration

Darüber hinaus ist es ein üblicher Anwendungsfall für ein Partner-Gateway, das in ein Unternehmensnetzwerk eingebunden wird, um die Konnektivität zu Legacy-Sites zu gewährleisten. Diese Notwendigkeit kann sich auch dann ergeben, wenn nicht alle Unternehmens-Sites konvertiert wurden. Für diesen Anwendungsfall muss der Datenverkehr nach Subnetz auf dem Partner-Gateway angegeben werden. Jedes Subnetz kann auch zum Verschlüsseln des Netzwerkdatenverkehrs konfiguriert werden.

Das folgende Diagramm zeigt ein Beispiel, in dem nur der Datenverkehr zu den Legacy-Sites verschlüsselt ist. Wenn das SD-WAN Gateway bereits mit einem 0.0.0.0/0-Subnetz konfiguriert ist, um den gesamten Datenverkehr zu ermöglichen (was eine gängige Konfiguration ist), wäre es erforderlich, das private Subnetz für Ihre Legacy-Sites hinzuzufügen und es als verschlüsselt zu markieren.

  • Nr. 1: Subnetz (z. B. 10.0.0.0/8), das für Legacy-Sites definiert und für die Verschlüsselung markiert ist. Der Datenverkehr wird zwischen SD-WAN Edge und SD-WAN Gateway über den IPSec-Tunnel übertragen.
  • Nr. 2: Der verbleibende Verkehr wird unverschlüsselt an den SD-WAN Edge und dann an seinen endgültigen Bestimmungsort gesendet.