Les passerelles SD-WAN Gateway de partenaires peuvent être configurées avec plusieurs sous-réseaux, chacun d'eux pouvant être défini avec un transfert de NAT ou de VLAN. Chaque sous-réseau peut également être configuré avec un coût relatif et pour le chiffrement du trafic.
Les exemples ci-dessous illustrent deux cas d'utilisation de la configuration des passerelles Passerelles SD-WAN Gateway de partenaires.
Configuration de passerelle - Cas d'utilisation n°1
Dans l'illustration suivante, une passerelle SD-WAN Gateway est connectée en mode VLAN/VRF à un VRF qui ne dispose d'aucun accès à l'Internet public. Toutefois, la passerelle SD-WAN Gateway de partenaires doit être en mesure de contacter SASE Orchestrator dans le cloud public et il doit exister un chemin d'accès pour atteindre le cloud. L'instance de SD-WAN Gateway peut acheminer un trafic spécifique vers la NAT de manière sélective (par exemple, l'adresse IP d'une instance de SASE Orchestrator ou les sous-réseaux utilisés pour atteindre des serveurs DNS publics), même si elle fonctionne en mode VLAN/VRF.
- Cas n°1 : le trafic de SASE Orchestrator est routé via une ou plusieurs adresses IP vers la NAT.
- Cas n°2 : le trafic d'entreprise est routé via des sous-réseaux vers le VLAN/VRF.
Configuration de passerelle SD-WAN Gateway - Cas d'utilisation n°2
Il est courant qu'une passerelle SD-WAN Gateway de partenaires soit associée à un réseau d'entreprise afin de fournir la connectivité aux sites hérités. Cette nécessité peut survenir même si les sites d'entreprise n'ont pas tous été convertis en réseau VMware. Pour ce cas d'utilisation, il est nécessaire d'indiquer le trafic par sous-réseau sur la passerelle SD-WAN Gateway partenaire. Chaque sous-réseau peut également être configuré pour chiffrer le trafic réseau.
L'illustration suivante montre un exemple dans lequel seul le trafic vers des sites hérités est chiffré. Si l'instance de SD-WAN Gateway est déjà configurée avec un sous-réseau 0.0.0.0/0 pour autoriser l'intégralité du trafic (ce qui est une configuration courante), il suffit d'ajouter le sous-réseau privé pour vos sites hérités et de le marquer comme étant chiffré.
- Cas n°1 : le sous-réseau (par exemple, 10.0.0.0/8) est défini pour les sites hérités et marqué pour le chiffrement. Le trafic est transmis entre SD-WAN Edge et SD-WAN Gateway sur le tunnel IPsec.
- Cas n°2 : le trafic restant est envoyé non chiffré à SD-WAN Edge, puis à sa destination finale.