Cette section décrit les capacités de VMware SD-WAN.
Optimisation dynamique des chemins multiples
L'optimisation dynamique des chemins multiples (DMPO) de VMware SD-WAN se compose de la surveillance de liaison automatique, de la choix du lien dynamique et de la correction à la demande.
Choix du lien et correction
La choix du lien dynamique par paquet sensible à l'application s'effectue automatiquement en fonction de la priorité de l'application dans l'entreprise, de la connaissance intégrée des exigences réseau de l'application et de la capacité et des performances en temps réel de chaque liaison. L'atténuation à la demande de la dégradation de liaison individuelle par le biais de la correction d'erreur de transfert, la mise en mémoire tampon de gigue et le proxy d'accusé de réception négatif, protège également les performances des applications sensibles au réseau et à la priorité. La choix du lien dynamique par paquet et l'atténuation à la demande se combinent pour fournir une protection contre les défaillances robuste, en moins d'une seconde, avec limitation et blocage pour améliorer la disponibilité, les performances et l'expérience utilisateur de l'application.
VPN cloud
Le VPN cloud est un VPN IPsec compatible VPNC de site à site en 1 clic qui permet de connecter VMware SD-WAN et un Destinations non-SD-WAN, tout en fournissant un état en temps réel et la santé des sites. Le VPN cloud établit une communication dynamique Edge-vers-Edge pour toutes les sites distants en fonction des objectifs de niveau de service et des performances de l'application. Le VPN cloud offre également une connectivité sécurisée à travers toutes les sites distants au moyen de la gestion de clés évolutives PKI. Les nouvelles sites distants rejoignent automatiquement le réseau VPN et disposent d'un accès à toutes les ressources des autres sites distants, des centres de données d'entreprise et des centres de données tiers comme Amazon AWS.
La qualité de service (QoS) entrante multisource de
VMware SD-WAN classe plus de 3 000 applications, ce qui permet un contrôle intelligent. Les valeurs par défaut prédéfinies définissent les paramètres de qualité de service entrante multisource pour différents types d'applications, limitant ainsi l'intervention du personnel informatique à l'établissement de la priorité de l'application. La connaissance de la configuration requise du réseau des différents types d'applications, les mesures automatiques de capacité des liens et la surveillance des flux dynamiques permet l'automatisation des configurations QoS et des allocations de bande passante.
Pare-feu (Firewall)
VMware SD-WAN fournit un pare-feu d'application intégré et sensible au contexte (application, utilisateur, périphérique) avec état, ainsi qu'un contrôle granulaire des sous-applications et une prise en charge des applications de saut de protocole, telles que Skype et d'autres applications pair à pair (par exemple, désactiver la vidéo et le chat Skype, mais autoriser les appels audio Skype). Le service de pare-feu sécurisé est compatible avec le système d'exploitation des utilisateurs et des périphériques, et offre la possibilité de séparer le trafic vocal, vidéo, de données et de conformité. Les stratégies appliquées aux périphériques BYOD (comme Apple iOS, Android, Windows et Mac OS) sur le réseau d'entreprise sont facilement contrôlées.
Insertion des services réseau
La solution VMware SD-WAN prend en charge une plate-forme permettant d'héberger plusieurs fonctions réseau virtualisées pour éliminer les dispositifs à fonction unique et réduire la complexité informatique des sites distants. VMware SD-WAN achemine le trafic du site distant vers les services du Hub régional d'entreprise et du cloud, en fournissant des performances, une sécurité et une facilité de gestion garanties. Les sites distants exploitent des services de sécurité et de réseau consolidés, notamment ceux de partenaires tels que Zscaler et Websense. Grâce à une interface simple à activer, les services peuvent être insérés dans le cloud et sur site à l'aide de stratégies spécifiques à une application.
Activation
Les dispositifs SD-WAN Edge authentifient, connectent et reçoivent automatiquement les instructions de configuration une fois qu'ils sont connectés à Internet dans un déploiement rationalisé. Ils fournissent un déploiement hautement disponible via le protocole de redondance du dispositif SD-WAN Edge, s'intègrent au réseau existant à l'aide de la prise en charge des protocoles de routage OSPF et BGP, et tirent parti de l'apprentissage dynamique et de l'automatisation.
Overlay Flow Control
Le dispositif SD-WAN Edge apprend les routes des routeurs adjacents via OSPF et BGP. Il envoie les routes apprises à la passerelle/au contrôleur. La passerelle/le contrôleur agit comme un réflecteur de route et envoie les routes apprises aux autres dispositifs SD-WAN Edge. L'Overlay Flow Control (OFC) permet la visibilité et le contrôle des routes à l'échelle de l'entreprise pour faciliter la programmation et pour l'overlay complet et partiel.
OSPF
VMware SD-WAN prend en charge les filtres entrants/sortants pour les voisins OSPF, les types de routes OE1/OE2 et l'authentification MD5. Les routes apprises via OSPF seront automatiquement redistribuées vers le contrôleur hébergé dans le cloud ou sur site.
BGP
VMware SD-WAN prend en charge les filtres entrants/sortants qui peuvent être définis sur Refuser (Deny). En option, il est également possible d'ajouter ou de modifier l'attribut BGP pour influencer la sélection du chemin, c'est-à-dire la communauté RFC 1998, MED, le préfixe de chemin AS (AS-Path Prepend) et la préférence locale.
Segmentation
La segmentation de réseau est une fonctionnalité importante pour les entreprises et les fournisseurs de services. Dans sa forme la plus basique, la segmentation fournit une isolation du réseau pour des raisons de sécurité et de gestion. La plupart des formes courantes de segmentation sont les VLAN pour L2 et les VRF pour L3.
Cas d'utilisation typiques de la segmentation :
- Séparation des secteurs d'activité : ingénierie, RH, etc. pour la sécurité/l'audit
- Séparation des données utilisateur : invité, PCI, séparation du trafic d'entreprise
- L'entreprise utilise les adresses IP qui se chevauchent dans différentes VRF
Toutefois, l'approche héritée est limitée à une seule zone ou à deux périphériques physiquement connectés. Pour étendre la fonctionnalité, les informations de segmentation doivent être transmises sur le réseau.
VMware SD-WAN permet la segmentation de bout en bout. Lorsque le paquet traverse le dispositif Edge, l'ID de segment est ajouté au paquet et transmis au Hub et à la passerelle cloud, ce qui permet d'isoler le service réseau du dispositif Edge au centre de données et au cloud. Cette fonctionnalité offre la possibilité de regrouper les préfixes dans une table de routage unique, ce qui rend le segment de la business policy sensible.
Routage (Routing)
Dans le routage dynamique, SD-WAN Edge apprend les routes des routeurs adjacents via OSPF ou BGP. SD-WAN Orchestrator conserve toutes les routes apprises dynamiquement dans une table de routage globale appelée Overlay Flow Control (OFC). Le contrôle de flux de superposition permet la gestion des routes dynamiques en cas de « synchronisation du Overlay Flow Control » et de « modification de la configuration du filtrage entrant/sortant ». La modification dans le filtrage entrant d'un préfixe de IGNORE à LEARN permet d'extraire le préfixe du Overlay Flow Control et de l'installer dans la table de routage unifiée.
Pour plus d'informations, reportez-vous à la section Configurer le routage dynamique à l'aide d'OSPF ou de BGP.
Infrastructure de la Business Policy
La qualité de service (QoS), les allocations de ressources, la direction de la liaison/du chemin et la correction d'erreur sont automatiquement appliquées en fonction des stratégies d'entreprise et des priorités de l'application. Orchestrez le trafic en fonction des groupes de transport définis par les liaisons privées et publiques, la définition de stratégie et les caractéristiques de liaison.