O SD-WAN Gateway de parceiro pode ser configurado com várias sub-redes, cada uma das quais pode ser configurada com um handoff de NAT ou VLAN. Cada sub-rede também pode ser configurada com um custo relativo e se o tráfego deve ser encriptado ou não.
Os exemplos abaixo ilustram dois casos de utilização da configuração de SD-WAN Gateways de parceiro.
Caso de utilização da configuração do gateway n.º 1
Na seguinte ilustração, um SD-WAN Gateway está ligado no modo VLAN/VRF a um VRF que não tem acesso à Internet pública. No entanto, o SD-WAN Gateway de parceiro tem de conseguir contactar o SASE Orchestrator na cloud pública e deve existir um caminho para aceder à cloud. O SD-WAN Gateway pode realizar a função NAT e selecionar determinado tráfego (como o endereço IP de um SASE Orchestrator ou as sub-redes utilizadas para aceder aos servidores DNS públicos) mesmo que esteja a funcionar no modo VLAN/VRF.
- N.º 1 – O tráfego do SASE Orchestrator é encaminhado com endereços IP para NAT.
- N.º 2 – O tráfego empresarial é encaminhado através de sub-redes para VLAN/VRF.
Caso de utilização da configuração do SD-WAN Gateway n.º 2
É comum um SD-WAN Gateway de parceiro ligar-se a uma rede empresarial, proporcionando conectividade a sites legados. Esta necessidade pode ocorrer mesmo quando nem todos os sites corporativos foram convertidos para a rede do VMware. Para este caso de utilização, é necessário especificar o tráfego por sub-rede no SD-WAN Gateway de parceiro. Cada sub-rede também pode ser configurada para encriptar o tráfego da rede.
A seguinte ilustração mostra um exemplo onde apenas o tráfego para sites legados é encriptado. Se o SD-WAN Gateway já estiver configurado com uma sub-rede 0.0.0.0/0 para permitir todo o tráfego (que é uma configuração comum), seria necessário adicionar a sub-rede privada para sites legados e marcá-la como encriptada.
- N.º 1 – Sub-rede (por ex., 10.0.0.0/8) definida para sites legados e marcada para encriptação. O tráfego é transmitido entre o SD-WAN Edge e o SD-WAN Gateway pelo túnel IPsec.
- N.º 2 – O tráfego remanescente é enviado desencriptado para o SD-WAN Edge e, em seguida, para o destino final.