Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Vue d’ensemble des profils Breakout et Breakout

Le trafic de site à site entre les sites en étoile d’un locataire est envoyé (sur les tunnels de superposition) directement d’un site à un autre en fonction de la topologie du locataire ou via le hub ou le hub d’entreprise. Toutefois, pour le trafic Internet ou SaaS, vous pouvez ventiler le trafic de différentes manières :

  • Breakout local : le trafic quitte le VPN directement sur le site et se dirige vers la destination.

    Note:

    Si BGP sous-jacent est activé pour une liaison WAN, les routes acquises à partir de BGP sont installées pour la répartition locale ; CSO ne génère pas le routage statique par défaut.

  • Backhaul ou breakout central : le trafic quitte le VPN au niveau du hub du fournisseur ou du hub d’entreprise (si un hub d’entreprise est associé au site étoile), puis se dirige vers sa destination.

  • Cloud breakout : le trafic est envoyé du site vers une plate-forme de sécurité cloud désignée au lieu d’être envoyé sur une sous-couche.

    Note:

    Depuis CSO version 4.1.0, Zscaler est la seule plate-forme de sécurité basée sur le cloud prise en charge.

Dans CSO version 4.0, seuls le breakout local et le breakout central (backhaul) sont pris en charge et l’option breakout n’est activée qu’au niveau du site. Toutefois, à partir de la version 4.1.0 de CSO, le breakout est pris en charge au niveau du site, du service et de l’application (pouvant être mis en cache uniquement) à l’aide de profils de breakout appliqués à l’aide des intentions de stratégie SD-WAN. Les applications ne pouvant pas être mises en cache suivent le comportement spécifique au site ou au service, tel que configuré dans l’intention de stratégie SD-WAN.

Note:

Pour les sites ajoutés dans CSO version 4.1.0 et suivantes, vous ne pouvez pas configurer breakout directement au niveau du site et devez utiliser des profils breakout référencés dans les intentions de stratégie SD-WAN à cette fin.

Cloud Breakout

Dans les versions antérieures à CSO Release 5.1.0, dans le cadre de la fourniture de la rupture tunnelisée à Zscaler, l’adresse IP publique source du tunnel était obtenue uniquement à partir de l’interface WAN. Avec le NAT basé sur le pool pris en charge à partir de la version 5.1.0, la création du tunnel vers Zscaler (lorsque le NAT basé sur le pool est configuré) obtient l’adresse source du pool NAT de la liaison WAN.

Lorsque plusieurs tunnels Zscaler sont nécessaires sur une interface WAN (par exemple, lorsque des nœuds breakout cloud principaux et secondaires sont configurés), l’adresse IP du pool doit être suffisamment grande pour accueillir ces tunnels. Dans le cas de plusieurs tunnels Zscaler, deux tunnels Zscaler n’auront pas la même adresse IP source. Toutefois, l’adresse IP utilisée comme adresse source du tunnel Zscaler peut également être utilisée dans les pools NAT.

Profils de répartition

Les trois types de profils breakout suivants sont pris en charge dans CSO :

  • Breakout local (underlay)

  • Backhaul (breakout central)

  • Sortie du cloud

Après avoir ajouté un profil d’atelier, vous devez créer une intention de stratégie SD-WAN spécifiant la source (site, groupe de sites ou service), l’application, ainsi que le profil de répartition applicable.

Intentions de la stratégie SD-WAN pour Breakout

Pour les intentions de stratégie SD-WAN configurées à différents points de terminaison source, les conditions suivantes s’appliquent :

  • Site : une intention de stratégie configurée au niveau du site s’applique à tous les services du site. En outre, par défaut, la configuration au niveau du site s’applique également à toutes les applications, car la configuration par défaut des applications est Any.

  • Service : une intention de stratégie configurée au niveau du service (pour les locataires pour lesquels la segmentation du réseau est activée) remplace l’intention de stratégie configurée au niveau du site. À l’instar du comportement de l’intention de stratégie au niveau du site, par défaut, une intention de stratégie au niveau du service s’applique également à toutes les applications, car la configuration par défaut des applications est Any.

  • Application (mise en cache uniquement) : une intention de stratégie (au niveau de l’application) dans laquelle vous spécifiez une ou plusieurs applications pouvant être mises en cache remplace l’intention de stratégie spécifiée au niveau du service ou du site uniquement pour les applications spécifiées.

Avantages des profils Breakout

  • Les profils de rupture utilisés dans les politiques de répartition Internet basées sur l’intention (via les intentions de stratégie SD-WAN) offrent aux utilisateurs un contrôle granulaire sur le comportement d’interruption Internet pour des applications spécifiques.

Documentation connexe