パートナー ゲートウェイは、複数のサブネットを使用して構成することができ、それぞれのサブネットに NAT または VLAN のハンドオフを使用して構成できます。各サブネットは、相対的なコストやトラフィックを暗号化する必要があるかどうかで、構成することもできます。
次の例は、パートナー ゲートウェイ構成の 2 つのユースケースを示しています。
ゲートウェイ構成のユースケース #1
次の図は、ゲートウェイが VLAN/VRF モードを介して、パブリック インターネットにアクセスできない VRF に接続していることを想定しています。ただし、パートナー ゲートウェイはパブリック クラウドの SD-WAN Orchestrator にアクセスできる必要があり、クラウドにアクセスするためのパスが必要です。SD-WAN Gateway は、VLAN/VRF モードで動作している場合でも、特定のトラフィック(SD-WAN Orchestrator の IP アドレス、またはパブリック DNS サーバに到達するために使用されるサブネットなど)を選択的に NAT を行うことができます。
- #1 - SD-WAN Orchestrator トラフィックが IP アドレスを介して NAT にルーティングされる
- #2 - 企業のトラフィックがサブネットを介して VLAN/VRF にルーティングされる
ゲートウェイ構成のユースケース #2
これは、パートナー ゲートウェイが企業のネットワークに関連付けられ、レガシー サイトへの接続を提供する一般的なユースケースです。このニーズは、変換されていない企業サイトがある場合でも発生する可能性があります。このユースケースでは、パートナー ゲートウェイのサブネットでトラフィックを指定する必要があります。各サブネットは、ネットワーク トラフィックを暗号化するように構成することもできます。
次の図は、レガシー サイトへのトラフィックのみが暗号化されている例を示しています。すべてのトラフィックを許可するように、0.0.0.0/0 サブネットを使用して SD-WAN Gateway がすでに構成されている場合(一般的な構成)に必要となるのは、レガシー サイトのプライベート サブネットを追加して、それを暗号化済みとしてマークすることです。
- #1 - サブネット(例:10.0.0.0/8)がレガシー サイトに定義され、暗号化の対象としてマークされています。トラフィックは、IPsec トンネルを介して SD-WAN Edge と SD-WAN Gateway の間で送信されます。
- #2 - 残りのトラフィックは、暗号化されていない状態で SD-WAN Edge に送信され、その後、最終的な宛先に送信されます。