Les paramètres de l'overlay WAN permettent d'ajouter ou de modifier une définition manuelle de l'overlay WAN.

Note : Si vous disposez d'un tunnel CSS GRE créé pour un dispositif Edge et que vous modifiez les paramètres d'Overlay WAN du lien WAN associé à l'interface de tunnel CSS de « Détection automatique de l'overlay » à « Définition manuelle de l'overlay », le lien WAN et les tunnels CSS associés seront également supprimés de la configuration CSS au niveau du dispositif Edge.

Une définition manuelle de l'overlay doit être attachée à une interface qui a été configurée à l'avance pour l'overlay WAN. Vous pouvez configurer l'une des superpositions suivantes :

  • Superposition privée (Private Overlay) : cette option est requise sur un réseau privé sur lequel le dispositif Edge doit créer des tunnels VCMP de superposition directement entre des adresses IP privées attribuées à chaque dispositif Edge sur le réseau privé.
    Note : Dans une configuration de passerelle partenaire avec une interface de transfert configurée, lorsqu'un dispositif Edge comportant une interface privée dispose de superpositions définies par l'utilisateur IPv4 et IPv6, le dispositif Edge tente d'établir des tunnels IP vers l'adresse IP publique de la passerelle en fonction de la préférence du tunnel.
  • Superposition publique (Public Overlay) : cette option est utile pour définir un VLAN personnalisé ou une adresse IP source et une adresse de passerelle pour les tunnels VCMP, afin d'atteindre Passerelles VMware SD-WAN Gateway sur Internet, tel que déterminé par SASE Orchestrator.

Vous pouvez également modifier ou supprimer un overlay WAN existant détecté automatiquement sur une interface routée. Une superposition détectée automatiquement n'est disponible que lorsque le dispositif Edge a établi un tunnel VCMP sur une interface routée configurée avec l'overlay WAN vers les passerelles désignées par SASE Orchestrator.

Note : Les overlays WAN répertoriés sous Paramètres WAN (WAN Settings) sont conservés même après qu'une interface est en panne ou non utilisée. Vous pouvez alors les supprimer lorsqu'elles ne sont plus nécessaires.

Pour configurer les paramètres d'overlay WAN pour un dispositif Edge spécifique, procédez comme suit :

  1. Dans le service SD-WAN du portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges). La page Dispositifs Edge (Edges) affiche les dispositifs Edge existants.
  2. Cliquez sur le lien d'accès à un dispositif Edge ou sur le lien Afficher (View) dans la colonne Périphérique (Device) du dispositif Edge. Les options de configuration du dispositif Edge sélectionné s'affichent dans l'onglet Périphérique (Device).
  3. Dans la catégorie Connectivité (Connectivity), cliquez sur Interfaces.
  4. La section Configuration du lien WAN (WAN Link Configuration) affiche les overlays existants.
  5. Vous pouvez cliquer sur le nom de l'overlay pour modifier les paramètres. Pour créer un overlay WAN public ou privé, cliquez sur Ajouter un lien WAN défini par l'utilisateur (Add User Defined WAN Link). La fenêtre Dispositif Edge virtuel : nouveau lien (Virtual Edge: new link) s'affiche.
  6. Dans la section Définition manuelle de l'overlay WAN (User Defined WAN Overlay), choisissez le Type de lien (Link Type) parmi les options disponibles suivantes :
    • La superposition publique (Public) est utilisée sur Internet où les passerelles cloud SD-WAN sont accessibles sur Internet. Vous devez attacher la superposition définie par l'utilisateur à une interface. La superposition publique demande au dispositif Edge d'attribuer des passerelles principale et secondaire sur l'interface à laquelle il est attaché, afin de déterminer l'adresse NAT globale externe. Celle-ci est signalée à Orchestrator afin que tous les autres dispositifs Edge l'utilisent, si elle est configurée pour créer des tunnels VCMP vers le dispositif Edge actuellement sélectionné.

      Note : Par défaut, toutes les interfaces routées tentent de la détecter automatiquement (Auto Detect), c'est-à-dire, créer des tunnels VCMP vers des passerelles cloud attribuées préalablement sur Internet. Si la tentative réussit, une superposition publique détectée automatiquement est créée. Une superposition publique définie par l'utilisateur n'est nécessaire que si votre service Internet nécessite une balise VLAN ou si vous souhaitez utiliser une adresse IP publique différente de celle que le dispositif Edge a appris via DHCP sur l'interface publique.
    • Une superposition privée (Private) est utilisée sur des réseaux privés tels qu'un réseau MPLS ou une liaison point à point. Une superposition privée est attachée à une interface comme n'importe quelle définition manuelle de l'overlay et part du principe que l'adresse IP de l'interface à laquelle elle est attachée est routable pour tous les autres dispositifs Edge sur le même réseau privé. Cela signifie qu'il n'existe aucune NAT côté WAN de l'interface. Lorsque vous attachez une superposition privée à une interface, le dispositif Edge conseille à Orchestrator d'utiliser l'adresse IP sur l'interface pour les dispositifs Edge distants configurés afin de créer des tunnels vers eux.
    Les tableaux suivants décrivent les paramètres de superposition :
    Tableau 1. Paramètres communs pour la superposition publique et privée
    Option Description
    Type d'adresse (Address Type)

    Choisissez le lien d'overlay WAN pour utiliser l'adresse IPv4 ou IPv6. Vous pouvez également sélectionner IPv4 et IPv6, ce qui permet de configurer la définition manuelle de l'overlay IPv4 et IPv6 vers le même ISP en tant que lien unique. Cette option permet d'éviter le surabonnement d'un lien vers un ISP.

    Note : Lorsque vous choisissez une adresse IPv6, la détection d'adresse en double (DAD) n'est pas prise en charge pour la superposition dirigée de l'adresse IP. Le réseau de superposition est dirigé lorsque vous configurez l'adresse IP source dans Configuration facultative (Optional Configuration).
    Nom (Name) Entrez un nom d'overlay WAN descriptif pour le lien public ou privé.
    Note : Le nom d'overlay WAN ne doit contenir que des caractères ASCII. Les caractères non-ASCII ne sont pas pris en charge.
    Vous pouvez référencer ce nom lors du choix d'une liaison WAN dans une Business Policy. Reportez-vous à la section Configurer les modes de choix du lien.
    Alertes d'opérateur (Operator Alerts) Envoie des alertes liées au réseau de superposition à l'opérateur. Assurez-vous d'avoir activé les alertes de liaison sur la page Configurer (Configure) > Alertes et notifications (Alerts & Notifications) pour recevoir les alertes.
    Alertes (Alerts) Envoie des alertes liées au réseau de superposition au client. Assurez-vous d'avoir activé les alertes de liaison sur la page Configurer (Configure) > Alertes et notifications (Alerts & Notifications) pour recevoir les alertes.
    Sélectionner des interfaces (Select Interfaces)
    Les interfaces routées activées avec l'overlay WAN IPv4 ou l'overlay WAN IPv6 et définies sur Définition manuelle de l'overlay (User Defined Overlay) sont affichées sous la forme de cases à cocher. Les interfaces affichées sont basées sur le Type d'adresse (Address Type) sélectionné.
    Note : Si le lien d'overlay WAN utilise une adresse IPv4 statique, vous pouvez sélectionner une ou plusieurs interfaces routées. L'overlay défini par l'utilisateur actuel est alors associé à l'interface sélectionnée. Si une adresse IPv6 statique est configurée, vous ne pouvez pas sélectionner une ou plusieurs interfaces routées.
    Note : Pour le dispositif 610-LTE, vous pouvez ajouter une définition manuelle de l'overlay WAN sur CELL1 ou CELL2. SASE Orchestrator affiche à la fois CELL1 et CELL2, indépendamment de la présence de SIM. Par conséquent, vous devez savoir quel emplacement SIM est activé (actif) et choisir celui-ci.
    Tableau 2. Paramètres de superposition publique
    Option Description
    Adresse IP publique (Public IP Address) Affiche l'adresse IP publique détectée pour une superposition publique. Ce champ est renseigné après la détection de l'adresse NAT globale externe à l'aide de la méthode de passerelle.
    L'image suivante montre un exemple de paramètres pour la superposition publique :
    Tableau 3. Paramètres de superposition privée
    Option Description
    Service SD-WAN accessible (SD-WAN Service Reachable)

    Lors de la création d'une superposition privée et de son attachement à un WAN privé comme réseau MPLS, vous pouvez également être en mesure d'accéder à Internet sur le même WAN, généralement via un pare-feu dans le centre de données. Dans ce cas, il est recommandé d'activer Service SD-WAN accessible (SD-WAN Service Reachable), car il fournit les éléments suivants :

    • Un chemin secondaire à Internet pour l'accès aux instances de Passerelles SD-WAN Gateway hébergées sur Internet. Vous l'utilisez en cas de panne de toutes les liaisons directes à Internet depuis ce dispositif Edge.
    • Un chemin secondaire à Orchestrator en cas de panne de toutes les liaisons directes à Internet depuis ce dispositif Edge. L'adresse IP de gestion que le dispositif Edge utilise pour communiquer doit être routable dans MPLS. Sinon, le trafic direct NAT doit être vérifié sur l'interface privée pour rétablir correctement le trafic d'Orchestrator.
    Note : SD-WAN Edge préfère toujours le tunnel VCMP créé sur une liaison Internet locale (court chemin) au tunnel VCMP créé sur le réseau privé à l'aide d'un pare-feu distant à Internet (long chemin).
    Note : L'équilibrage de charge par paquet ou de type tourniquet n'est pas effectué entre les chemins court et long.

    Dans un site ne disposant d'aucun accès Internet public direct, l'option Service SD-WAN accessible (SD-WAN Service Reachable) permet d'utiliser le réseau WAN privé pour les tunnels VCMP de site à site privés et comme chemin de communication avec un service VMware SD-WAN hébergé sur Internet.

    Adresses SD-WAN publiques (Public SD-WAN Addresses)

    Lorsque vous cochez la case Service SD-WAN accessible (SD-WAN Service Reachable), une liste d'adresses IPv4 et IPv6 publiques des passerelles Passerelles SD-WAN Gateway et de SASE Orchestrator s'affiche, que vous devrez peut-être annoncer sur le réseau privé, si aucune route par défaut n'a déjà été annoncée sur ce même réseau à partir du pare-feu.

    Note : Certaines adresses IP de la liste, telles que les passerelles, peuvent changer au fil du temps.
    L'image suivante montre un exemple de paramètres pour la superposition privée :
    Tableau 4. Configuration facultative
    Option Description
    Adresse IP source (Source IP Address)

    Il s'agit de l'adresse IP source du socket brut utilisée pour les paquets du tunnel VCMP provenant de l'interface à laquelle la superposition actuelle est attachée.

    L'adresse IP source ne doit pas être nécessairement préconfigurée quelque part, mais elle doit être routable vers l'interface sélectionnée et depuis celle-ci.

    Vous pouvez entrer une adresse IPv4 ou IPv6 dans les champs correspondants pour établir un overlay WAN avec le peer.

    Adresse IP du next-hop (Next-Hop IP Address)

    Entrez l'adresse IP du next-hop vers laquelle les paquets, provenant de l'adresse IP source du socket brut spécifiée dans le champ Adresse IP source (Source IP Address), doivent être acheminés.

    Vous pouvez entrer l'adresse IPv4 ou IPv6 dans les champs correspondants.

    VLAN personnalisé (Custom VLAN)

    Cochez cette case pour activer le VLAN personnalisé et entrez l'ID de VLAN. La plage est comprise entre 2 et 4 094.

    Cette option applique la balise VLAN aux paquets provenant de l'adresse IP source d'un tunnel VCMP à partir de l'interface à laquelle la superposition actuelle est attachée.

    Activer DSCP par lien (Enable Per Link DSCP) Cochez cette case pour ajouter une balise DSCP à un lien d'overlay spécifique. La balise DSCP sera appliquée à l'en-tête externe du paquet VCMP passant par ce lien de superposition. Cela permet d'exploiter le mécanisme de balise DSCP d'underlay de réseau privé pour traiter chaque overlay de manière unique via le paramètre QoS défini au niveau du routeur montant. Reportez-vous au cas d'utilisation de cette case à cocher dans la section ci-dessous intitulée « Cas d'utilisation : définition manuelle de l'overlay pour la valeur DSCP ».
    Paramètre 802.1P (802.1P Setting)

    Cochez cette case pour définir les bits de point de code de priorité (Priority Code Point, PCP) 802.1p sur les trames quittant l'interface à laquelle l'overlay actuel est attaché. Ce paramètre n'est disponible que pour un VLAN spécifique. Les valeurs de priorité PCP représentent un nombre binaire à 3 chiffres. La plage est comprise entre 000 et 111 et la valeur par défaut est 000.

    Cette case à cocher n'est disponible que lorsque la propriété système session.options.enable8021PConfiguration doit être définie sur Vrai (True). Par défaut, cette valeur est définie sur False.

    Si cette option n'est pas disponible pour vous, contactez le support VMware de votre équipe responsable des opérations pour qu'il active le paramètre.

  7. Cliquez sur Afficher les paramètres avancés (View advanced settings) pour configurer les paramètres suivants :
    Tableau 5. Paramètres avancés communs de la superposition publique et privée
    Option Description
    Mesure de bande passante (Bandwidth Measurement) Choisissez une méthode pour mesurer la bande passante à partir des options suivantes :
    • Mesurer la bande passante (démarrage lent) [Measure Bandwidth (Slow Start)] : lorsque la mesure de la bande passante par défaut signale des résultats incorrects, cela peut être dû à la limitation de l'ISP. Pour contourner ce comportement, choisissez cette option pour effectuer une rafale lente prolongée de trafic UDP, suivie d'une rafale plus importante.
    • Mesurer la bande passante (mode rafale) [Measure Bandwidth (Burst Mode)] : choisissez cette option pour effectuer de courtes rafales de trafic UDP vers une instance de SD-WAN Gateway pour les liaisons publiques ou vers l'homologue pour les liaisons privées, afin d'évaluer la bande passante de la liaison.
    • Ne pas mesurer (définir manuellement) [Do Not Measure (define manually)] : choisissez cette option pour configurer la bande passante manuellement. Cette option est recommandée pour les sites de Hub pour les raisons suivantes :
      1. En général, les sites de Hub ne peuvent être mesurés que par rapport aux sites distants distantes dont les liaisons sont plus lentes que le Hub.
      2. Si un dispositif Edge de Hub tombe en panne et s'il utilise un mode de mesure de bande passante dynamique, il peut ajouter un retard de reconnexion dans le dispositif Edge de Hub pendant qu'il remesure la bande passante disponible.
    Bande passante montant (Upstream Bandwidth) Entrez la bande passante montant en Mbits/s. Cette option est disponible uniquement lorsque vous sélectionnez Ne pas mesurer (définir manuellement) [Do Not Measure (define manually)].
    Bande passante descendant (Downstream Bandwidth) Entrez la bande passante descendant en Mbits/s. Cette option est disponible uniquement lorsque vous sélectionnez Ne pas mesurer (définir manuellement) [Do Not Measure (define manually)].
    Ajustement de bande passante dynamique (Dynamic Bandwidth Adjustment)

    L'ajustement de la bande passante dynamique tente d'ajuster dynamiquement la bande passante de la liaison disponible en fonction de la perte de paquets et destinée à être utilisée avec les services haut débit sans fil, là où la bande passante peut diminuer brusquement.

    Note : Cette configuration n'est pas recommandée pour les dispositifs Edge avec la version 3.3.x ou une version antérieure du logiciel. Vous pouvez configurer cette option pour les dispositifs Edge avec la version 3.4 ou une version ultérieure.
    Note : Cette configuration n'est pas prise en charge avec la CoS de liaison publique.
    Mode de liaison (Link Mode) Sélectionnez le mode de la liaison WAN dans la liste déroulante. Les options suivantes sont disponibles :
    • Active : cette option est sélectionnée par défaut. L'interface est utilisée comme mode principal pour l'envoi du trafic.
    • De sauvegarde (Backup) : cette option met l'interface à laquelle cet overlay WAN est associé en mode de sauvegarde. Cela signifie que les tunnels de gestion sont démontés pour cette interface et que le lien WAN associé ne reçoit aucun trafic de données. Le lien de sauvegarde n'est utilisé que si tous les chemins d'un certain nombre de liens actifs tombent en panne, ce qui diminue également le nombre de liens actifs en dessous du Nombre minimal de liaisons actives (Minimum Active Links) configuré. Lorsque cette condition est remplie, les tunnels de gestion sont recréés pour l'interface et le lien de sauvegarde devient actif et transmet le trafic.

      Vous ne pouvez mettre en mode de sauvegarde qu'une seule interface sur un dispositif Edge. Lorsque cette option est activée, l'interface s'affiche sur la page Surveiller (Monitor) > Dispositifs Edge (Edges) sous État du cloud : en veille (Cloud Status: standby).

      Note : Utilisez cette option pour réduire les données utilisateur et la consommation de la bande passante de mesure des performances SD-WAN sur un service 4G ou LTE. Toutefois, les temps de basculement sont plus lents par rapport à un lien configuré comme Passif à chaud (Hot Standby) ou comme Actif (Active) et utilise une business policy pour réguler la consommation de la bande passante. N'utilisez pas cette fonctionnalité si le dispositif Edge est configuré comme Hub ou s'il fait partie d'un cluster.
    • Passif à chaud (Hot Standby) : lorsque vous configurez le lien WAN en mode Passif à chaud (Hot Standby), les tunnels de gestion sont créés, ce qui permet un basculement rapide en cas de panne. Le lien Passif à chaud (Hot Standby) ne reçoit aucun trafic de données, à l'exception des pulsations, qui sont envoyées toutes les 5 secondes.

      Lorsque tous les chemins d'un certain nombre de liens actifs tombent en panne, ce qui diminue également le nombre de liens actifs en dessous du Nombre minimal de liaisons actives (Minimum Active Links) configuré, le lien Passif à chaud (Hot Standby) s'active. Le trafic est envoyé via le chemin de veille à chaud.

      Lorsque le chemin d'accès à la passerelle principale s'active sur des liens actifs afin que le nombre de liens actifs dépasse le Nombre minimal de liaisons actives (Minimum Active Links) configuré, le lien Passif à chaud (Hot Standby) revient en mode passif et le flux de trafic bascule vers le ou les liens actifs.

      Pour plus d'informations, reportez-vous à la section Configurer une liaison en veille à chaud.

    Une fois que vous avez activé l'option Lien de sauvegarde ou passif à chaud (Backup or Hot Standby link) sur une interface, vous ne pouvez pas configurer d'interfaces supplémentaires de ce dispositif Edge comme lien de sauvegarde ou passif à chaud, car un dispositif Edge ne peut disposer que d'un seul lien WAN de sauvegarde ou passif à chaud à la fois.

    Nombre minimal de liaisons actives (Minimum Active Links) Cette option n'est disponible que lorsque vous choisissez De sauvegarde (Backup) ou En veille à chaud (Hot Standby) comme Mode de liaison (Link Mode). Sélectionnez le nombre de liaisons actives qui peuvent être présentes sur le réseau à la fois, dans la liste déroulante. Lorsque le nombre de liaisons actives actuelles qui sont fonctionnelles passe au-dessous du nombre sélectionné, la liaison de sauvegarde ou en veille à chaud s'active. La plage est comprise entre 1 et 3, et la valeur par défaut est de 1.
    MTU

    SD-WAN Edge effectue la détection MTU du chemin. La valeur de la MTU détectée est alors mise à jour dans ce champ. La plupart des réseaux filaires prennent en charge 1 500 octets tandis que les réseaux 4G prenant en charge VoLTE (voix sur LTE, Voice over LTE) n'autorisent généralement que jusqu'à 1 358 octets.

    Il n'est pas recommandé de définir la MTU au-dessous de 1 300 octets, car cela peut entraîner une capacité supplémentaire de trames. Il n'est pas nécessaire de définir la MTU, sauf en cas d'échec de la détection MTU du chemin.

    Vous pouvez déterminer si la MTU est grande sur la page Diagnostics à distance (Remote Diagnostics) > Chemins de liste (List Paths), car les tunnels (chemins) VCMP de l'interface ne deviennent jamais stables et atteignent de manière répétée un état INUTILISABLE (UNUSABLE) avec une perte de paquets inférieure à 25 %.

    À mesure que le MTU augmente lentement lors du test de bande passante sur chaque chemin, tous les paquets supérieurs à la MTU du réseau sont abandonnés si la MTU configurée est supérieure à celle du réseau. Cela entraîne une perte de paquets sévère sur le chemin.

    Pour plus d'informations, reportez-vous à la section Présentation des tunnels et MTU.

    Octets de capacité supplémentaire (Overhead Bytes)

    Entrez une valeur pour la bande passante supplémentaire en octets. Cette option permet d'indiquer la surcharge de trame L2 supplémentaire qui existe dans le chemin WAN.

    Lorsque vous configurez les octets de surcharge, ceux-ci sont également comptabilisés par le planificateur QoS pour chaque paquet, en plus de la longueur du paquet réelle. Cela garantit que la bande passante de la liaison n'est pas surabonnée en raison d'une surcharge de trame L2 montant.

    Détection MTU du chemin (Path MTU Discovery) Cochez cette case pour activer la détection de la MTU du chemin. Après avoir déterminé la bande passante supplémentaire à appliquer, le dispositif Edge effectue la détection MTU du chemin pour trouver la MTU maximale autorisée pour calculer la MTU effective des paquets du client. Pour plus d'informations, reportez-vous à la section Capacité supplémentaire du tunnel et MTU.
    Configurer la classe de service (Configure Class of Service)

    Dispositifs SD-WAN Edge peut hiérarchiser le trafic et fournir une matrice de classes QoS 3x3 sur les réseaux Internet et privés. Cependant, certains réseaux publics ou privés (MPLS) incluent leurs propres classes de qualité de service (QoS), chacun avec des caractéristiques spécifiques telles que les garanties de débit, les limites de débit, la probabilité de perte de paquets, etc.

    Cette option permet au dispositif Edge de comprendre la bande passante QoS du réseau public ou privé disponible et la régulation de la superposition publique ou privée sur une interface spécifique.

    Note : Les balises DSCP externes doivent être définies dans la business policy par application/règle et dans cette fonctionnalité, chaque ligne Classe de ligne (Class of Service) correspond à ces balises DSCP définies dans la business policy.

    Après avoir coché cette case, configurez les éléments suivants :

    • Classe de service (Class of Service) : entrez un nom descriptif pour la classe de service. Vous pouvez référencer ce nom lors du choix d'une liaison WAN dans une Business Policy. Reportez-vous à la section Configurer les modes de choix du lien.
    • Balises DSCP (DSCP Tags) : la classe de service correspond aux balises DSCP définies ici. Les balises DSCP sont attribuées à chaque application utilisant la business policy.
    • Bande passante (Bandwidth) : pourcentage de la bande passante de transmission/chargement de l'interface disponible pour cette classe, tel que déterminé par la bande passante de classe QoS du réseau public ou privé garantie.
    • Régulation (Policing) : cette option surveille la bande passante utilisée par le flux de trafic dans la classe de service et lorsque le trafic dépasse la bande passante, elle limite le débit du trafic.
    • Classe par défaut (Default Class) : si le trafic ne fait pas partie des classes définies, le trafic est associé à la CoS par défaut.
    Note : La configuration de l'ajustement de bande passante dynamique n'est pas prise en charge avec la CoS de liaison publique.

    Pour plus d'informations sur la configuration d'une CoS, reportez-vous à la section Configurer la classe de service.

    Priorité IP stricte (Strict IP precedence)

    Cette case est disponible lorsque vous cochez la case Configurer la classe de service (Configure Class of Service).

    Lorsque vous activez cette option, 8 sous-chemins VCMP correspondant aux 8 bits de priorité IP sont créés. Utilisez cette option lorsque vous souhaitez combiner les classes de service dans un nombre de classes inférieur dans le réseau de votre fournisseur de services.

    Par défaut, cette option est désactivée et les sous-chemins VCMP sont créés pour le nombre exact de classes de service configurées. Le regroupement n'est pas appliqué.

    Tableau 6. Paramètres avancés de la superposition publique
    Option Description
    Perforation de trou UDP (UDP Hole Punching)

    Si un overlay SD-WAN site distant vers site distant est requis et si des dispositifs Edge de site distant sont déployés derrière des périphériques NAT, c'est-à-dire que le périphérique NAT se trouve côté WAN du dispositif Edge, le tunnel VCMP direct sur UDP/2426 ne s'activera probablement pas si les périphériques NAT n'ont pas été configurés pour autoriser les tunnels VCMP entrants sur le port UDP 2426 depuis d'autres dispositifs Edge.

    Utilisez l'option VPN site distant vers site distant (Branch to Branch VPN) pour activer les tunnels site distant vers site distant. Reportez-vous aux sections Configurer un tunnel entre un site distant et un VPN de site distant et Configurer les paramètres du VPN cloud et du tunnel pour les dispositifs Edge.

    Utilisez Diagnostics à distance (Remote Diagnostics) > Chemins de liste (List Paths) pour vérifier qu'un dispositif Edge a créé un tunnel vers un autre dispositif Edge.

    La perforation de trou UDP tente de contourner les périphériques NAT qui bloquent les connexions entrantes. Cette technique n'est cependant pas applicable dans tous les scénarios ou avec tous les types de NAT, car les caractéristiques de fonctionnement NAT ne sont pas normalisées.

    L'activation de la perforation de trou UDP sur une interface de superposition de dispositifs Edge demande à tous les dispositifs Edge distants d'utiliser l'adresse IP publique NAT et le port source dynamique NAT détecté via SD-WAN Gateway comme adresse IP de destination et port de destination pour créer un tunnel VCMP vers cette interface de superposition de dispositifs Edge.

    Note : Avant d'activer la perforation de trou UDP, configurez le périphérique NAT de site distant pour autoriser les protocoles UDP/2426 entrants avec le transfert de port à l'adresse IP privée du dispositif Edge ou mettez le périphérique NAT, qui est généralement un routeur ou un modem, en mode de pont. Utilisez la perforation de trou UDP uniquement en dernier recours, car elle ne fonctionne pas avec les pare-feu, les périphériques NAT symétriques, les réseaux 4G/LTE en raison de CGNAT et la plupart des périphériques NAT modernes.

    La perforation de trou UDP peut générer des problèmes de connectivité supplémentaires, car les sites distants essaient d'utiliser le nouveau port dynamique UDP pour les tunnels VCMP.

    Type

    Lorsque vous configurez une business policy pour un dispositif Edge, vous pouvez choisir la Choix du lien (Link Steering) pour préférer un Groupe de transport (Transport Group) tel que : Liaison filaire publique (Public Wired), Liaison sans fil publique (Public Wireless) ou Liaison filaire privée (Private Wired). Reportez-vous à la section Configurer les modes de choix du lien.

    Choisissez Filaire (Wired) ou Sans fil (Wireless), pour mettre la superposition dans un groupe de transport de liaison filaire ou sans fil publique.

    L'image suivante montre les paramètres avancés d'une superposition publique :
    Tableau 7. Paramètres avancés de la superposition privée
    Option Description
    Nom du réseau privé (Private Network Name)

    Si vous disposez de plusieurs réseaux privés et si vous souhaitez les différencier pour vous assurer que les dispositifs Edge tentent d'établir un tunnel uniquement vers des dispositifs Edge sur le même réseau privé, définissez un nom de réseau privé et attachez-y la superposition. Cela empêche le tunneling vers les dispositifs Edge sur un autre réseau privé auquel ils ne peuvent pas accéder. En outre, configurez les dispositifs Edge à d'autres emplacements sur ce réseau privé pour utiliser le même nom de réseau privé.

    Par exemple :

    Edge1 GE1 est attaché au réseau privé A. Utilisez le réseau privé A pour la superposition privée attachée à GE1.

    Edge1 GE2 est attaché au réseau privé B. Utilisez le réseau privé B pour la superposition privée attachée à GE2.

    Répétez le même attachement et la même dénomination pour Edge2.

    Lorsque vous activez le système site distant vers site distant ou lorsque Edge2 est un site de Hub :
    • Edge1 GE1 tente de se connecter à Edge2 GE1 et non à GE2.
    • Edge1 GE2 tente de se connecter à Edge2 GE2 et non à GE1.
    Configurer le SLA statique (Configure Static SLA) Force la superposition à partir du principe que les paramètres de SLA définis sont les valeurs de SLA réelles pour le chemin. Aucune mesure dynamique de perte de paquets, de latence ou de gigue n'est effectuée sur cette superposition. Le rapport QoE utilise ces valeurs pour sa coloration verte/jaune/rouge pour les seuils.
    Note :

    La configuration du SLA statique n'est pas prise en charge à partir de la version 3.4. Il est recommandé de ne pas utiliser cette option, car la mesure dynamique de la perte de paquets, de la latence et de la gigue offre un meilleur résultat.

    L'image suivante montre les paramètres avancés d'un overlay privé :

  8. Cliquez sur Ajouter un lien (Add Link) pour enregistrer la configuration.

Prise en charge de la balise de valeur DSCP par définition manuelle de l'overlay

Avec la version 5.0.0, les administrateurs réseau auront la possibilité d'ajouter une balise DSCP à un lien d'overlay spécifique. La balise DSCP est appliquée au niveau de l'en-tête externe du paquet VCMP passant par ce lien d'overlay et permet d'exploiter la balise DSCP de sous-couche de réseau privé pour traiter chaque overlay de manière unique via le paramètre QoS défini sur le réseau de sous-couche WAN.

Case à cocher Activer DSCP par lien (Enable Per link DSCP Check box)

Cochez cette case pour ajouter une balise DSCP à un lien d'overlay spécifique. La balise DSCP sera appliquée à l'en-tête externe du paquet VCMP passant par ce lien de superposition. Cela permet d'exploiter le mécanisme de balise DSCP d'underlay de réseau privé pour traiter chaque overlay de manière unique via le paramètre QoS défini au niveau du routeur montant.

Cas d'utilisation : définition manuelle de l'overlay pour la valeur DSCP

Dans ce cas d'utilisation, vous devez appliquer la valeur de balise DSCP d'overlay WAN configurée sur le lien WAN à tout le trafic sortant de ce lien, pour le dispositif Edge d'origine du tunnel. La valeur DSCP configurée doit s'appliquer à l'en-tête externe VCMP afin que le réseau MPLS puisse lire la valeur DSCP et appliquer des services différenciés au paquet VCMP encapsulé. La valeur de balise DSCP interne, provenant du côté LAN du réseau Edge, doit rester inchangée. Conditions requises côté destination du tunnel : le dispositif Edge du Hub ou de l'homologue qui reçoit la demande de création d'un tunnel doit répondre avec la même valeur de balise de superposition DSCP envoyée par le créateur du tunnel sur l'en-tête externe VCMP. Le dispositif Edge du Hub ou de l'homologue qui arrête le tunnel de superposition ne doit pas modifier la balise DSCP interne destinée au LAN.

Sur l'image ci-dessous, l'entreprise utilise des valeurs DSCP sur son réseau de sous-couche pour fournir des services différenciés en fonction du lien/du tunnel de l'overlay WAN source.