I SD-WAN Gateway partner possono essere configurati con più subnet, ognuna delle quali può essere configurata con un handoff di NAT o VLAN. Ogni subnet può essere configurata anche con un costo relativo e con l'opzione se il traffico deve essere crittografato o meno.

Gli esempi seguenti illustrano due casi d'uso per la configurazione dei SD-WAN Gateway partner.

Caso di utilizzo della configurazione del gateway 1

Nella figura seguente un SD-WAN Gateway è connesso tramite la modalità VLAN/VRF a un VRF che non dispone di accesso a Internet pubblico. Tuttavia, il SD-WAN Gateway partner deve essere in grado di contattare SASE Orchestrator nel cloud pubblico e deve essere presente un percorso per raggiungere il cloud. SD-WAN Gateway può effettuare selettivamente il NAT di un determinato traffico (ad esempio l'indirizzo IP di un'istanza di SASE Orchestrator o le subnet utilizzate per raggiungere server DNS pubblici), anche se opera in modalità VLAN/VRF.

  • 1: il traffico di SASE Orchestrator viene instradato tramite indirizzi IP verso NAT.
  • 2: il traffico dell'azienda viene instradato tramite subnet verso VLAN/VRF.

Caso di utilizzo della configurazione del SD-WAN Gateway 2

Un SD-WAN Gateway partner viene in genere associato a una rete aziendale per offrire connettività con i siti legacy. Questa necessità può verificarsi anche quando non tutti i siti aziendali sono stati convertiti in una rete VMware. Per questo caso di utilizzo, è necessario specificare il traffico per subnet nel SD-WAN Gateway partner. Ogni subnet può essere configurata anche per crittografare il traffico di rete.

La figura seguente mostra un esempio in cui viene crittografato solo il traffico verso i siti legacy. Se SD-WAN Gateway è già configurato con una subnet 0.0.0.0/0 per consentire tutto il traffico (configurazione comunemente utilizzata), è sufficiente aggiungere la subnet privata per i siti legacy e contrassegnarla come crittografata.

  • 1: subnet (ad esempio, 10.0.0.0/8) definita per i siti legacy e contrassegnata per la crittografia. Il traffico viene trasmesso tra SD-WAN Edge e SD-WAN Gateway tramite il tunnel IPsec.
  • 2: il traffico rimanente viene inviato non crittografato a SD-WAN Edge, quindi alla sua destinazione finale.