Ein Partner-SD-WAN Gateway kann mit mehreren Subnetzen konfiguriert werden, von denen jedes mit einer Übergabe von NAT oder VLAN konfiguriert werden kann. Jedes Subnetz kann auch mit relativen Kosten und der Angabe konfiguriert werden, ob der Datenverkehr verschlüsselt werden soll oder nicht.
In den folgenden Beispielen werden zwei Anwendungsfälle für die Konfiguration von Partner-SD-WAN Gateways veranschaulicht.
Anwendungsfall Nr. 1 der Gateway-Konfiguration
In der folgenden Abbildung wird ein SD-WAN Gateway über den VLAN/VRF-Modus mit einer VRF verbunden, dass keinen Zugriff auf das öffentliche Internet hat. Das Partner-SD-WAN Gateway muss jedoch in der Lage sein, mit SASE Orchestrator in der öffentlichen Cloud Kontakt aufzunehmen, und es muss einen Pfad geben, um die Cloud zu erreichen. Das SD-WAN Gateway kann selektiv bestimmten Datenverkehr (z. B. die IP-Adresse einer SASE Orchestrator-Instanz oder die Subnetze, die zum Erreichen öffentlicher DNS-Server verwendet werden) über NAT verbinden, obwohl es im VLAN/VRF-Modus arbeitet.
- Nr. 1: SASE Orchestrator-Datenverkehr wird über die IP-Adressen an NAT weitergeleitet.
- Nr. 2: Der Unternehmensdatenverkehr wird über Subnetze an VLAN/VRF weitergeleitet.
SD-WAN GatewayAnwendungsbeispiel 2 für die Konfiguration:
Es ist üblich, dass ein Partner-SD-WAN Gateway in ein Unternehmensnetzwerk eingebunden wird, um die Konnektivität zu Legacy-Sites zu gewährleisten. Diese Notwendigkeit kann sich auch dann ergeben, wenn nicht alle Unternehmens-Sites in das VMware-Netzwerk konvertiert wurden. Für diesen Anwendungsfall muss der Datenverkehr nach Subnetz auf dem Partner-SD-WAN Gateway angegeben werden. Jedes Subnetz kann auch zum Verschlüsseln des Netzwerkdatenverkehrs konfiguriert werden.
Die folgende Abbildung zeigt ein Beispiel, in dem nur der Datenverkehr zum Legacy-Sites verschlüsselt wird. Wenn das SD-WAN Gateway bereits mit einem 0.0.0.0/0-Subnetz konfiguriert ist, um den gesamten Datenverkehr zu ermöglichen (was eine gängige Konfiguration ist), ist es erforderlich, das private Subnetz für Ihre Legacy-Sites hinzuzufügen und als verschlüsselt zu markieren.
- Nr. 1: Subnetz (z. B. 10.0.0.0/8), das für Legacy-Sites definiert und für die Verschlüsselung markiert ist. Der Datenverkehr wird zwischen SD-WAN Edge und SD-WAN Gateway über den IPSec-Tunnel übertragen.
- Nr. 2: Der verbleibende Verkehr wird unverschlüsselt an den SD-WAN Edge und dann an seinen endgültigen Bestimmungsort gesendet.