Sur un vEdge Cisco vous devez configurer l'encapsulation du tunnel IPsec (defaut= 1442) ou GRE (defaut= 1468).

la mtu sera fonction du BFD path MTU discovery,qui est actif par défaut sur tous les TLOCs.

Pour plus de précision voir: "Configuring Control Plane and Data Plane High Availability Parameters - > Control PMTU Discovery et Set the Interface MTU" (https://www.cisco.com/c/dam/en/us/td/docs/routers/sdwan/configuration/config-18-3.pdf#page=494)

Cisco recommande ISIS et quand vous utilisez DNA Center pour réaliser l'implémentation c'est le protocole utilisé.

Personnellement, je le recommanderais juste à cause de ça.

VRF leaking :est utilisé pour permettre à certaines routes d'êtres visibles par d'autres VRF (table de routage) que la VRF d'origine de ces routes. Et cela aussi bien en interne (typiquement pour que plusieurs VRF puissent accéder à ces routes vers un service.

L3-out permet de gérer le routage avec l'extérieur dans un contexte de VRF..dans le réseaux interne.

Voici un lien en anglais qui en parle de manière plus détaillé: https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/2-x/L3_config/b_Cisco_APIC_Layer_3_Configuration_Guide/b_Cisco_APIC_Layer_3_Configuration_Guide_chapter_01.html

Si vous déployez un SD ACCESS c'est avec DNA Center, donc oui il vous faut une license

Les adresses sont attribuées automatiquement (suite à une authentification et une autorisation) donc il ne peut pas y avoir de "duplicate address" dans la SDA FABRIC.

Pas supportés par quel type de protocole ?

En fait dans un domaine intégré , c'est la DNA Center qui est en Charge de la gestion des SGT avec le ISE.

Le SD-WAN ne sert que de support pour les communications.

Donc les équipements de tous les sites de la Fabric SDA reçoivent le SGT depuis le centre de contrôle. Les messages VXLAN conservent le tag SGT de bout en bout.