条件回传 (Conditional Backhaul, CBH) 是为混合 SD-WAN 分支部署设计的一项功能,这些部署具有至少一个公用链路和一个专用链路。

用例 1:公用 Internet 链路故障

只要在 VMware SD-WAN Edge 上发生公用 Internet 链路故障,就不会建立到 VMware SD-WAN Gateway、云安全服务 (CSS) 和直接 Internet 访问点 (breakout) 的隧道。在这种场景下,条件回传功能(如果已启用)将使用通过专用链路到指定回传 Hub 的连接,从而使 SD-WAN Edge 能够将 Internet 流量通过专用覆盖网络故障切换到 Hub,并提供访问 Internet 目标的功能。

只要公用 Internet 链路发生故障并启用了条件回传,Edge 就可以故障切换以下 Internet 流量类型:

  1. 直接到 Internet
  2. 经由 SD-WAN Gateway 到 Internet
  3. 云安全服务流量

在正常运行情况下,公用链路处于启动状态,Internet 流量通常根据配置的业务策略直接或通过 SD-WAN Gateway 进行传输。

如果公用 Internet 链路关闭,或者 SD-WAN 覆盖网络路径进入静默状态(在发送 7 次检测信号后未从网关收到数据包),Internet 流量将动态回传到 Hub。

在 Hub 上配置的业务策略将确定在该流量到达 Hub 后如何进行转发。选项包括:
  • 直接从 Hub 转发
  • 从 Hub 转发到网关,然后从网关访问

在公用 Internet 链路恢复时,CBH 尝试将流量移回到公用链路。为了避免链路不稳定导致流量在公用链路和专用链路之间切换,CBH 设置了 30 秒的默认抑制时间定时器。在达到抑制时间定时器后,流量将故障恢复到公用 Internet 链路

用例 2:云安全服务 (CSS) 链路故障

每次在 SD-WAN Edge 上发生 CSS (Zscaler) 链路故障而公用 Internet 仍处于启动状态时,将不会建立到 CSS 的隧道,这会导致流量受到黑洞攻击而丢失。在这种情况下,条件回传功能(如果启用)将允许业务策略执行条件回传并将流量路由到 Hub。

通过使用基于策略的条件回传,SD-WAN Edge 可以根据 CSS 隧道状态故障切换使用 CSS 链路的 Internet 流量,而不管公用链路的状态如何。

CBH 仅在以下情况下有效:
  • 所有分段上的 CSS 隧道在 VPN 配置文件中关闭。
  • 在主 CSS 隧道关闭时,如果配置了辅助 CSS 隧道,则不会对 Internet 流量进行条件回传,而是通过辅助 CSS 隧道传输流量。
在 CSS 链路关闭并且公用 Internet 链路启动时,使用 CSS 链路的 Internet 流量将动态回传到 Hub,而不管公用链路的状态如何。

在到 CSS 链路的隧道恢复时,CBH 尝试将流量移回到 CSS,并且不会条件回传流量。

条件回传的行为特性

  • 如果启用了条件回传,默认情况下,分支级别的所有业务策略规则都会通过 CBH 故障切换流量。您可以在选定的业务策略级别禁用该功能,以根据选定策略的特定要求从条件回传中排除流量。
  • 条件回传不会影响在公用链路关闭时已在回传到 Hub 的现有流量。现有的流量仍使用相同的 Hub 转发数据。
  • 如果分支位置具有备份公用链路,备份公用链路将优先于 CBH。只有在主链路和备份链路均无法正常运行时,才会触发 CBH 并使用专用链路。
  • 如果专用链路作为备份,在活动公用链路发生故障并且专用备份链路变为活动状态时,流量将使用 CBH 功能故障切换到专用链路。
  • 要使该功能正常工作,分支和条件回传 Hub 需要为其专用链路分配相同的专用网络名称。(否则,专用隧道将无法启动。)

配置条件回传

在配置文件级别,为了配置条件回传,您应执行以下步骤以启用云 VPN,然后在分支和 SD-WAN Hub 之间建立 VPN 连接:
  1. SD-WAN Orchestrator 中,转到配置 (Configure) > 配置文件 (Profiles)。将显示配置文件 (Configuration Profiles) 页面。
  2. 选择一个要配置云 VPN 的配置文件,然后单击设备 (Device) 列下面的图标。将显示选定配置文件的“设备设置”(Device Settings) 页面。
  3. 配置分段 (Configure Segment) 下拉菜单中,选择一个配置文件分段以配置条件回传。默认情况下,将选择全局分段 [常规] (Global Segment [Regular])
    注: 条件回传是一项分段感知的功能,因此,必须在每个打算使用条件回传的分段中启用该功能。
  4. 转到云 VPN (Cloud VPN) 区域,并将开关按钮切换到开启 (On) 以启用云 VPN。
  5. 要配置分支到 SD-WAN Hub,请在分支到 Hub (Branch to Hubs) 下面选中启用 (Enable) 复选框。
  6. 单击选择 Hub (Select Hubs) 链接。将显示选定配置文件的管理云 VPN Hub (Manage Cloud VPN Hubs) 页面。

    Hub 区域中,选择要作为回传 Hub 的 Hub,然后使用 > 箭头将其移到回传 Hub (Backhaul Hubs) 区域中。

  7. 要启用条件回传,请选中启用条件回传 (Enable Conditional BackHaul) 复选框。
    在启用了条件回传的情况下, SD-WAN Edge 将能够:
    • 每次没有可用的公用 Internet 链路时,将 Internet 流量(直接 Internet 流量、通过 SD-WAN Gateway 的 Internet 流量以及通过 IPsec 的云安全流量)故障切换到 MPLS 链路。
    • 每次在 SD-WAN Edge 上发生 CSS (Zscaler) 链路故障而公用 Internet 链路仍处于启动状态时,将 Internet CSS 流量故障切换到 Hub。
    默认情况下,条件回传适用于所有业务策略(如果启用)。如果要根据特定要求从条件回传中排除流量,您可以为选定的策略禁用条件回传以从该行为中排除选定的流量(直接、多路径和 CSS),方法是在 配置规则 (Configure Rule) 屏幕的 操作 (Action) 区域中为选定的业务策略选中 禁用条件回传 (disable conditional backhaul) 复选框。有关更多信息,请参阅 为业务策略规则配置网络服务

    注:
    • 条件回传和 SD-WAN 可访问性可以在同一 Edge 中一起工作。在 Edge 上的公用 Internet 关闭时,条件回传和 SD-WAN 可访问性支持将云网关流量故障切换到 MPLS。如果启用了条件回传,没有到网关的路径,但具有经由 MPLS 到 Hub 的路径,直接流量和网关流量将应用条件回传。有关 SD-WAN 可访问性的更多信息,请参阅通过 MPLS 的 SD-WAN 服务可访问性
    • 在具有多个候选 Hub 时,条件回传将使用列表中的第一个 Hub,除非该 Hub 与网关断开连接。
  8. 单击保存更改 (Save Changes)

条件回传故障排除

请考虑在分支级别创建了以下两个业务策略规则的用户。
您可以从“远程诊断”(Remote Diagnostics) 部分中运行 列出活动流量 (List Active Flows) 命令,以检查到其中的每个目标 IP 地址的持续 Ping 在分支中是否处于活动状态。
如果在分支的公用链路中丢失大量数据包,并且该链路关闭,相同的流量将在分支中切换到 Internet 回传。
请注意,Hub 上的业务策略决定了 Hub 如何转发流量。由于 Hub 没有这些流量的特定规则,因此,它们将划分为默认流量。对于这种场景,可以在 Hub 级别创建业务策略规则以与所需的 IP 或子网范围匹配,从而定义在 CBH 变为正常运行时如何处理来自特定分支的流量。