条件回传 (Conditional Backhaul, CBH) 是为混合 SD-WAN 分支部署设计的一项功能,这些部署具有至少一个公用链路和一个专用链路。
用例 1:公用 Internet 链路故障
只要在 VMware SD-WAN Edge 上发生公用 Internet 链路故障,就不会建立到 VMware SD-WAN 网关、云安全服务 (CSS) 和直接 Internet 访问点 (breakout) 的隧道。在这种场景下,条件回传功能(如果已启用)将使用通过专用链路到指定回传 Hub 的连接,从而使 SD-WAN Edge 能够将 Internet 流量通过专用覆盖网络故障切换到 Hub,并提供访问 Internet 目标的功能。
只要公用 Internet 链路发生故障并启用了条件回传,Edge 就可以故障切换以下 Internet 流量类型:
- 直接到 Internet
- 经由 SD-WAN 网关 到 Internet
- 云安全服务流量
在正常运行情况下,公用链路处于启动状态,Internet 流量通常根据配置的业务策略直接或通过 SD-WAN 网关 进行传输。
如果公用 Internet 链路关闭,或者 SD-WAN 覆盖网络路径进入静默状态(在发送 7 次检测信号后未从网关收到数据包),Internet 流量将动态回传到 Hub。
- 直接从 Hub 转发
- 从 Hub 转发到网关,然后从网关访问
在公用 Internet 链路恢复时,CBH 尝试将流量移回到公用链路。为了避免链路不稳定导致流量在公用链路和专用链路之间切换,CBH 设置了 30 秒的默认抑制时间定时器。在达到抑制时间定时器后,流量将故障恢复到公用 Internet 链路
用例 2:云安全服务 (CSS) 链路故障
每次在 SD-WAN Edge 上发生 CSS (Zscaler) 链路故障而公用 Internet 仍处于启动状态时,将不会建立到 CSS 的隧道,这会导致流量受到黑洞攻击而丢失。在这种情况下,条件回传功能(如果启用)将允许业务策略执行条件回传并将流量路由到 Hub。
通过使用基于策略的条件回传,SD-WAN Edge 可以根据 CSS 隧道状态故障切换使用 CSS 链路的 Internet 流量,而不管公用链路的状态如何。
- 所有分段上的 CSS 隧道在 VPN 配置文件中关闭。
- 在主 CSS 隧道关闭时,如果配置了辅助 CSS 隧道,则不会对 Internet 流量进行条件回传,而是通过辅助 CSS 隧道传输流量。
在到 CSS 链路的隧道恢复时,CBH 尝试将流量移回到 CSS,并且不会条件回传流量。
条件回传的行为特性
- 如果启用了条件回传,默认情况下,分支级别的所有业务策略规则都会通过 CBH 故障切换流量。您可以在选定的业务策略级别停用该功能,以根据选定策略的特定要求从条件回传中排除流量。
- 条件回传不会影响在公用链路关闭时已在回传到 Hub 的现有流量。现有的流量仍使用相同的 Hub 转发数据。
- 如果分支位置具有备份公用链路,备份公用链路将优先于 CBH。只有在主链路和备份链路均无法正常运行时,才会触发 CBH 并使用专用链路。
- 如果专用链路作为备份,在活动公用链路发生故障并且专用备份链路变为活动状态时,流量将使用 CBH 功能故障切换到专用链路。
- 要使该功能正常工作,分支和条件回传 Hub 需要为其专用链路分配相同的专用网络名称。(否则,专用隧道将无法启动。)
配置条件回传
- 从 SD-WAN Orchestrator 中,转到配置 (Configure) > 配置文件 (Profiles)。将显示配置文件 (Configuration Profiles) 页面。
- 选择一个要配置云 VPN 的配置文件,然后单击设备 (Device) 列下面的图标。将显示选定配置文件的“设备设置”(Device Settings) 页面。
- 从配置分段 (Configure Segment) 下拉菜单中,选择一个配置文件分段以配置条件回传。默认情况下,将选择全局分段 [常规] (Global Segment [Regular])。
注: 条件回传是一项分段感知的功能,因此,必须在每个打算使用条件回传的分段中启用该功能。
- 转到云 VPN (Cloud VPN) 区域,并将开关按钮切换到开启 (On) 以启用云 VPN。
- 要配置分支到 SD-WAN Hub,请在分支到 Hub (Branch to Hubs) 下面选中启用 (Enable) 复选框。
- 单击选择 Hub (Select Hubs) 链接。将显示选定配置文件的管理云 VPN Hub (Manage Cloud VPN Hubs) 页面。
从 Hub 区域中,选择要作为回传 Hub 的 Hub,然后使用 > 箭头将其移到回传 Hub (Backhaul Hubs) 区域中。
- 要启用条件回传,请选中启用条件回传 (Enable Conditional BackHaul) 复选框。
在启用了条件回传的情况下, SD-WAN Edge 将能够:
- 每次没有可用的公用 Internet 链路时,将 Internet 流量(直接 Internet 流量、通过 SD-WAN 网关 的 Internet 流量以及通过 IPsec 的云安全流量)故障切换到 MPLS 链路。
- 每次在 SD-WAN Edge 上发生 CSS (Zscaler) 链路故障而公用 Internet 链路仍处于启动状态时,将 Internet CSS 流量故障切换到 Hub。
注:- 条件回传和 SD-WAN 可访问性可以在同一 Edge 中一起工作。在 Edge 上的公用 Internet 关闭时,条件回传和 SD-WAN 可访问性支持将云网关流量故障切换到 MPLS。如果启用了条件回传,没有到网关的路径,但具有经由 MPLS 到 Hub 的路径,直接流量和网关流量将应用条件回传。有关 SD-WAN 可访问性的更多信息,请参阅通过 MPLS 的 SD-WAN 服务可访问性。
- 在具有多个候选 Hub 时,条件回传将使用列表中的第一个 Hub,除非该 Hub 与网关断开连接。
- 单击保存更改 (Save Changes)。