VMware permet aux utilisateurs d'entreprise de définir et de configurer une instance de Destination non-SD-WAN afin d'établir un tunnel IPsec sécurisé vers une instance de Destination non-SD-WAN via une instance de SD-WAN Gateway.

Orchestrator sélectionne la passerelle la plus proche pour Destination non-SD-WAN avec son adresse IP configurée, à l'aide du service de géolocalisation.

Vous ne pouvez configurer Destination non-SD-WAN via la passerelle qu'au niveau du profil et ne pouvez pas le remplacer au niveau du dispositif SD-WAN Edge.

ECMP

Pour optimiser l'utilisation de la bande passante agrégée sur les interfaces d'entrée des sites non-SD-WAN, la solution VMware SD-WAN intègre la prise en charge du mode actif-actif dans ses passerelles.

Pour ce faire, activez l'établissement de plusieurs tunnels IPsec en mode actif-actif vers des sites non-SD-WAN. Cette configuration permet d'équilibrer la charge du trafic réseau entre les tunnels, optimisant ainsi le flux de distribution.

Pour implémenter le mode actif-actif avec plusieurs tunnels IPsec vers des sites non-SD-WAN, les trois étapes suivantes sont requises :

  1. Configurer les tunnels se connectant à des sites non-SD-WAN avec le mode de tunnel actif-actif.
  2. Choisir l'algorithme d'équilibrage de charge préféré.
  3. Configurer des routes de sous-réseaux de site statiques ou BGP pour diriger le trafic vers ces sites.

Procédure

  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Services réseau (Network Services), puis, dans Destinations non-SD-WAN (Non SD-WAN Destinations), développez Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway).
  2. Cliquez sur l'option Nouveau (New) ou Nouvelle NSD via la passerelle (New NSD via Gateway) pour créer une destination non-SD-WAN.
    Note : L'option Nouvelle NSD via la passerelle (New NSD via Gateway) s'affiche uniquement lorsque le tableau ne contient aucun élément.
    Option Description
    Nom (Name) Entrez un nom pour Destination non-SD-WAN dans la zone de texte.
    Type Sélectionnez un type de tunnel IPsec. Les options disponibles sont les suivantes :
    Mode tunnel (Tunnel Mode) Le mode Actif/Veille à chaud (Active/Hot-Standby) prend en charge la configuration de 2 points de terminaison de tunnel ou passerelles au maximum.
    Le mode Actif/Actif (Active/Active) prend en charge la configuration de 4 points de terminaison de tunnel ou passerelles au maximum. Tous les tunnels actifs peuvent envoyer et recevoir du trafic via ECMP.
    Méthode de partage de charge ECMP L'algorithme par défaut Basé sur la charge de flux (Flow Load Based) mappe le nouveau flux au chemin avec le moins de flux mappés parmi les chemins disponibles vers la destination.
    L'algorithme Basé sur la charge de hachage (Hash Load Based) prend les paramètres d'entrée d'un tuple comprenant 5 éléments (SrcIP, DestIP, SrcPort, DestPort, Protocol). Ces entrées peuvent correspondre à n'importe quelle valeur, à la totalité des valeurs ou à n'importe quel sous-ensemble de ce tuple selon la configuration de l'utilisateur. Le flux est mappé au chemin en fonction de la valeur de hachage avec les entrées sélectionnées.
    Passerelle VPN 1 Entrez une adresse IP valide.
    Passerelle VPN 2 Entrez une adresse IP valide. Ce champ est facultatif.
    Passerelle VPN 3 Entrez une adresse IP valide. Ce champ est facultatif.
    Passerelle VPN 4 Entrez une adresse IP valide. Ce champ est facultatif.
  3. Cliquez sur le bouton Créer (Create).
    Vous êtes redirigé vers une page d'options de configuration supplémentaires en fonction du type de tunnel IPsec sélectionné. Cliquez sur chacun des liens du tableau ci-dessus pour plus d'informations sur ces types de tunnel.
  4. Les différentes options suivantes sont disponibles dans la section Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway) :
    Option Description
    Supprimer (Delete) Sélectionnez un élément et cliquez sur cette option pour le supprimer.
    Alertes d'opérateur (Operator Alerts) Sélectionnez un élément et définissez l'alerte d'opérateur sur Activé (On) ou Désactivé (Off).
    Mettre à jour les alertes (Update Alerts) Sélectionnez un élément et mettez à jour l'alerte opérateur précédemment définie.
    Colonnes (Columns) Cliquez sur cette option et sélectionnez les colonnes à afficher ou à masquer sur la page.
    Note :
    • Vous pouvez également accéder à ces options en cliquant sur les points de suspension verticaux en regard du nom d'élément dans le tableau.
    • L'option Modifier (Edit) permet d'accéder à l'écran des paramètres de configuration supplémentaires.
    • Cliquez sur l'icône d'informations en haut du tableau pour afficher le diagramme de destination conceptuelle, puis passez le curseur sur le diagramme pour obtenir plus d'informations.

    Pour modifier ou configurer BGP, reportez-vous à la section Configurer BGP sur IPsec à partir des passerelles.

    Pour modifier ou configurer BFD, reportez-vous à la section Configurer BFD pour les passerelles.

    Type de peer non-SD-WAN Nombre de tunnels autorisés
    Mode Actif/Actif (Active/Active Mode) Mode Actif/Veille à chaud (Active/Hot standbyMode)
    Passerelle VPN d'AWS jusqu'à 4 jusqu'à 2
    Check Point jusqu'à 4 jusqu'à 2
    Cisco ASA 1 (Mode non applicable) 1 (Mode non applicable)
    Cisco ISR jusqu'à 4 jusqu'à 2
    Routeur IKEv2 générique (VPN basé sur une route) jusqu'à 4 jusqu'à 2
    Hub virtuel Microsoft Azure jusqu'à 2 jusqu'à 2
    Palo Alto jusqu'à 4 jusqu'à 2
    SonicWALL jusqu'à 4 jusqu'à 2
    Zscaler jusqu'à 4 jusqu'à 2

    Routeur IKEv1 générique (VPN basé sur une route)

    		 jusqu'à 4 jusqu'à 2

    Pare-feu générique (VPN basé sur la stratégie)

    		 1 (Mode non applicable) 1 (Mode non applicable)

    Comportement de l'épinglage de flux

    Les flux existants sont épinglés au même chemin tant que le chemin/la route est disponible. Ces flux ne sont pas affectés en cas de changement de mode ou d'algorithme.

Que faire ensuite