Les passerelles de partenaires peuvent être configurées avec plusieurs sous-réseaux, chacun d'eux pouvant être défini avec un transfert de NAT ou de VLAN. Chaque sous-réseau peut également être configuré avec un coût relatif et pour le chiffrement du trafic.
Les exemples ci-dessous illustrent deux cas d'utilisation de la configuration des passerelles de partenaires.
Configuration de passerelle - Cas d'utilisation n°1
Prenez en considération la figure suivante, dans laquelle une passerelle est connectée en mode VLAN/VRF à un VRF qui n'a pas accès à l'Internet public. Toutefois, la passerelle de partenaires doit être en mesure de contacter SD-WAN Orchestrator dans le cloud public et il doit y avoir un chemin d'accès pour atteindre le cloud. L'instance de SD-WAN Gateway peut acheminer un trafic spécifique vers le NAT de manière sélective (par exemple, l'adresse IP d'une instance de SD-WAN Orchestrator ou les sous-réseaux utilisés pour atteindre un serveur DNS public), même si elle fonctionne en mode VLAN/VRF.
- Cas n°1 : le trafic de SD-WAN Orchestrator est acheminé via une ou plusieurs adresses IP vers le NAT
- Cas n°2 : le trafic d'entreprise est acheminé via un ou plusieurs sous-réseaux vers le VLAN/VRF
Configuration de passerelle - Cas d'utilisation n°2
De surcroît, il est classique qu'une passerelle de partenaires soit associée à un réseau d'entreprise afin de fournir la connectivité aux sites hérités. Cette nécessité peut survenir même si les sites d'entreprise n'ont pas tous été convertis en. Pour ce cas d'utilisation, il est nécessaire d'indiquer le trafic par sous-réseau sur la passerelle partenaire. Chaque sous-réseau peut également être configuré pour chiffrer le trafic réseau.
Le diagramme ci-dessous montre un exemple dans lequel seul le trafic vers des sites hérités est chiffré. Si l'instance de SD-WAN Gateway est déjà configurée avec un sous-réseau 0.0.0.0/0 pour autoriser l'intégralité du trafic (ce qui est une configuration courante), il suffirait d'ajouter le sous-réseau privé pour vos sites hérités et de le marquer comme étant chiffré.
- Cas n°1 : le sous-réseau (par exemple, 10.0.0.0/8) est défini pour les sites hérités et marqué pour le chiffrement. Le trafic est transmis entre SD-WAN Edge et SD-WAN Gateway sur le tunnel IPsec.
- Cas n°2 : le trafic restant est envoyé non chiffré à SD-WAN Edge, puis à sa destination finale.