I gateway partner possono essere configurati con subnet multiple, ognuna delle quali può essere configurata con un handoff di NAT o VLAN. Ogni subnet può essere configurata anche con un costo relativo e con l'opzione se il traffico deve essere crittografato o meno.
Gli esempi riportati di seguito illustrano due casi d'uso per la configurazione dei gateway partner.
Caso di utilizzo della configurazione del gateway 1
Si consideri la seguente figura, in cui un gateway è connesso tramite la modalità VLAN/VRF a un VRF che non dispone di accesso a Internet pubblico. Tuttavia, il gateway partner deve essere in grado di contattare SD-WAN Orchestrator nel cloud pubblico e deve essere presente un percorso per raggiungere il cloud. SD-WAN Gateway può effettuare selettivamente il NAT di un certo traffico (ad esempio l'indirizzo IP di un SD-WAN Orchestrator o le subnet utilizzate per raggiungere server DNS pubblici), anche se opera in modalità VLAN/VRF.
- 1: il traffico di SD-WAN Orchestrator viene instradato tramite indirizzi IP verso il NAT
- 2: il traffico dell'azienda viene instradato tramite subnet verso VLAN/VRF
Caso di utilizzo della configurazione del gateway 2
È pratica comune anche utilizzare un gateway partner come link in una rete aziendale per offrire connettività a siti legacy. Questa necessità può verificarsi anche quando non tutti i siti aziendali sono stati convertiti. Per questo caso d'uso, è necessario specificare il traffico per subnet nel gateway partner. Ogni subnet può essere configurata anche per crittografare il traffico di rete.
Il diagramma seguente mostra un esempio in cui viene crittografato solo il traffico verso i siti legacy. Se SD-WAN Gateway è già configurato con una subnet 0.0.0.0/0 per consentire tutto il traffico (configurazione comunemente utilizzata), sarebbe necessario aggiungere la subnet privata per i siti legacy e contrassegnarla come crittografata.
- 1: subnet (ad esempio 10.0.0.0/8) definita per i siti legacy e contrassegnata per la crittografia. Il traffico viene trasmesso tra SD-WAN Edge e SD-WAN Gateway tramite il tunnel IPsec.
- 2: il traffico rimanente viene inviato non crittografato a SD-WAN Edge, quindi alla sua destinazione finale.