Cette section décrit les capacités de VMware SD-WAN.

Optimisation dynamique des chemins multiples

L'optimisation dynamique des chemins multiples (DMPO) de VMware se compose de la surveillance de liaison automatique, de la direction de liaison dynamique et de la correction à la demande.

Direction de liaison et correction

La direction de liaison dynamique par paquet sensible à l'application s'effectue automatiquement en fonction de la priorité de l'application dans l'entreprise, de la connaissance intégrée des exigences réseau de l'application et de la capacité et des performances en temps réel de chaque liaison. L'atténuation à la demande de la dégradation de liaison individuelle par le biais de la correction d'erreur de transfert, la mise en mémoire tampon de gigue et le proxy d'accusé de réception négatif, protège également les performances des applications sensibles au réseau et à la priorité. La direction de liaison dynamique par paquet et l'atténuation à la demande se combinent pour fournir une protection contre les défaillances robuste, en moins d'une seconde, avec limitation et blocage pour améliorer la disponibilité, les performances et l'expérience utilisateur de l'application.

VPN cloud

Le VPN cloud est un VPN IPSec compatible VPNC de site à site à un clic qui permet de connecter VMware et un Non VMware SD-WAN Sites, tout en fournissant un état en temps réel et la santé des sites. Le VPN cloud établit une communication dynamique Edge-vers-Edge pour toutes les branches en fonction des objectifs de niveau de service et des performances de l'application. Le VPN cloud offre également une connectivité sécurisée à travers toutes les branches au moyen de la gestion de clés évolutives PKI. Les nouvelles branches rejoignent automatiquement le réseau VPN et disposent d'un accès à toutes les ressources des autres branches, des centres de données d'entreprise et des centres de données tiers comme Amazon AWS.

La qualité de service (QoS) entrante multisource de

VMware classe plus de 3 000 applications, ce qui permet un contrôle intelligent. Les valeurs par défaut prédéfinies définissent les paramètres de qualité de service entrante multisource pour différents types d'applications, limitant ainsi l'intervention du personnel informatique à l'établissement de la priorité de l'application. La connaissance des exigences de réseau concernant les différents types d'applications, les mesures de la capacité de liaison automatique et la surveillance de flux dynamique permet d'automatiser les configurations QoS et les allocations de bande passante.

Pare-feu

VMware fournit un pare-feu d'application intégré et sensible au contexte (application, utilisateur, périphérique) avec état, ainsi qu'un contrôle granulaire des sous-applications et une prise en charge des applications de saut de protocole, telles que Skype et d'autres applications pair à pair (c'est-à-dire, désactiver la vidéo et les discussions Skype, mais autoriser les appels audio Skype). Le service de pare-feu sécurisé est compatible avec le système d'exploitation des utilisateurs et des périphériques, et offre la possibilité de séparer le trafic vocal, vidéo, de données et de conformité. Les stratégies appliquées aux périphériques BYOD (comme Apple iOS, Android, Windows et Mac OS) sur le réseau d'entreprise sont facilement contrôlées.

Insertion des services réseau

La solution VMware prend en charge une plate-forme permettant d'héberger plusieurs fonctions réseau virtualisées pour éliminer les dispositifs à fonction unique et réduire la complexité informatique des branches. VMware achemine le trafic de la branche vers les services du Hub régional d'entreprise et du cloud, en fournissant des performances, une sécurité et une facilité de gestion garanties. Les branches exploitent des services de sécurité et de réseau consolidés, notamment ceux de partenaires tels que Zscaler et Websense. Grâce à une interface simple à activer, les services peuvent être insérés dans le cloud et sur site à l'aide de stratégies spécifiques à une application.

Activation

Les dispositifs SD-WAN Edge authentifient, connectent et reçoivent automatiquement les instructions de configuration une fois qu'ils sont connectés à Internet dans un déploiement rationalisé. Ils fournissent un déploiement hautement disponible via le protocole de redondance du dispositif SD-WAN Edge, s'intègrent au réseau existant à l'aide de la prise en charge du protocole de routage OSPF et, enfin, tirent parti de l'apprentissage dynamique et de l'automatisation.

Contrôle des flux de superposition

Le dispositif SD-WAN Edge apprend les routes des routeurs adjacents via OSPF et BGP. Il envoie les routes apprises à la passerelle/au contrôleur. La passerelle/le contrôleur agit comme un réflecteur de route et envoie les routes apprises aux autres dispositifs SD-WAN Edges. Le contrôle de flux de superposition (OFC, Overlay Flow Control) active la visibilité et le contrôle des routes à l'échelle de l'entreprise pour faciliter la programmation et pour la superposition complète et partielle.

OSPF

VMware prend en charge les filtres entrants/sortants pour les voisins OSPF, les types de routes OE1/OE2 et l'authentification MD5. Les routes apprises via OSPF seront automatiquement redistribuées vers le contrôleur hébergé dans le cloud ou sur site.

BGP

VMware prend en charge les filtres entrants/sortants et le filtre peut être défini sur Refuser (Deny). En option, il est également possible d'ajouter ou de modifier l'attribut BGP pour influencer la sélection du chemin d'accès, c'est-à-dire la communauté RFC 1998, MED, le chemin d'accès AS-Path et la préférence locale.

Segmentation

La segmentation de réseau est une fonctionnalité importante pour les entreprises et les fournisseurs de services. Dans sa forme la plus basique, la segmentation fournit une isolation du réseau pour des raisons de sécurité et de gestion. La plupart des formes courantes de segmentation sont les VLAN pour L2 et les VRF pour L3.

Cas d'utilisation typiques de la segmentation :

  • Séparation des secteurs d'activité : ingénierie, RH, etc. pour la sécurité/l'audit
  • Séparation des données utilisateur : invité, PCI, séparation du trafic d'entreprise
  • L'entreprise utilise les adresses IP qui se chevauchent dans différentes VRF

Toutefois, l'approche héritée est limitée à une seule zone ou à deux périphériques physiquement connectés. Pour étendre la fonctionnalité, les informations de segmentation doivent être transmises sur le réseau.

VMware active la segmentation de bout en bout. Lorsque le paquet traverse le dispositif Edge, l'ID de segment est ajouté au paquet et transmis au Hub et à la passerelle cloud, ce qui permet d'isoler le service réseau du dispositif Edge au centre de données et au cloud. Cette fonctionnalité offre la possibilité de regrouper les préfixes dans une table de routage unique, ce qui rend le segment de la stratégie d'entreprise sensible.

Routage

Dans le routage dynamique, SD-WAN Edge apprend les routes des routeurs adjacents via OSPF ou BGP. SD-WAN Orchestrator conserve toutes les routes apprises dynamiquement dans une table de routage globale appelée contrôle de flux de superposition. Le contrôle de flux de superposition permet la gestion des routes dynamiques en cas de « synchronisation du contrôle de flux de superposition » et de « modification de la configuration du filtrage entrant/sortant ». La modification dans le filtrage entrant d'un préfixe de IGNORE à LEARN permet d'extraire le préfixe du contrôle de flux de superposition et de l'installer dans la table de routage unifiée.

Pour plus d'informations, reportez-vous à la section Configurer le routage dynamique à l'aide d'OSPF ou de BGP.

Infrastructure de la stratégie d'entreprise

La qualité de service (QoS), les allocations de ressources, la direction de la liaison/du chemin et la correction d'erreur sont automatiquement appliquées en fonction des stratégies d'entreprise et des priorités de l'application. Orchestrez le trafic en fonction des groupes de transport définis par les liaisons privées et publiques, la définition de stratégie et les caractéristiques de liaison.