パートナー SD-WAN Gateway は、複数のサブネットを使用して設定することができ、それぞれのサブネットに NAT または VLAN のハンドオフを使用して設定できます。各サブネットは、相対的なコストやトラフィックを暗号化する必要があるかどうかで、設定することもできます。
次の例は、パートナー SD-WAN Gateway 設定の 2 つのユースケースを示しています。
Gateway 設定のユースケース #1
次の図では、SD-WAN Gateway が VLAN/VRF モードを介して、パブリック インターネットにアクセスできない VRF に接続しています。ただし、パートナー SD-WAN Gateway はパブリック クラウドの SASE Orchestrator にアクセスできる必要があり、クラウドにアクセスするためのパスが必要です。SD-WAN Gateway は、VLAN/VRF モードで動作している場合でも、特定のトラフィック(SASE Orchestrator の IP アドレス、またはパブリック DNS サーバに到達するために使用されるサブネットなど)を選択的に NAT を行うことができます。
- #1 - SASE Orchestrator トラフィックが IP アドレスを使用して NAT にルーティングされる。
- #2 - 企業のトラフィックがサブネットを介して VLAN/VRF にルーティングされる。
SD-WAN Gateway 設定のユースケース #2
パートナー SD-WAN Gateway が企業のネットワークに関連付けられ、レガシー サイトに接続を提供することは一般的です。このニーズは、VMware ネットワークに変換されていない企業サイトがある場合でも発生する可能性があります。このユースケースでは、パートナー SD-WAN Gateway のサブネットでトラフィックを指定する必要があります。各サブネットは、ネットワーク トラフィックを暗号化するように設定することもできます。
次の図は、レガシー サイトへのトラフィックのみが暗号化されている例を示しています。すべてのトラフィックを許可するように、0.0.0.0/0 サブネットを使用して SD-WAN Gateway がすでに設定されている場合(一般的な設定)、必要となるのは、レガシー サイトのプライベート サブネットを追加して、それを暗号化済みとしてマークすることです。
- #1 - サブネット(例:10.0.0.0/8)がレガシー サイトに定義され、暗号化の対象としてマークされています。トラフィックは、IPsec トンネルを介して SD-WAN Edge と SD-WAN Gateway の間で送信されます。
- #2 - 残りのトラフィックは、暗号化されていない状態で SD-WAN Edge に送信され、その後、最終的な宛先に送信されます。