条件回传 (Conditional Backhaul, CBH) 是为混合 SD-WAN 分支部署设计的一项功能,这些部署具有至少一个公用链路和一个专用链路。

用例 1:公用 Internet 链路故障

只要在 VMware SD-WAN Edge 上发生公用 Internet 链路故障,就不会建立到 VMware SD-WAN 网关、云安全服务 (CSS) 和直接 Internet 访问点 (breakout) 的隧道。在这种场景下,条件回传功能(如果已激活)将使用通过专用链路到指定回传 Hub 的连接,从而使 SD-WAN Edge 能够将 Internet 流量通过专用覆盖网络故障切换到 Hub,并允许访问 Internet 目标。

只要公用 Internet 链路发生故障并激活了条件回传,Edge 就可以故障切换以下 Internet 流量类型:

  1. 直接到 Internet
  2. 经由 SD-WAN 网关 到 Internet
  3. 云安全服务流量

在正常运行情况下,公用链路处于启动状态,Internet 流量通常根据配置的业务策略直接或通过 SD-WAN 网关 进行传输。

如果公用 Internet 链路关闭,或者 SD-WAN 覆盖网络路径进入静默状态(在发送 7 次检测信号后未从网关收到数据包),Internet 流量将动态回传到 Hub。

在 Hub 上配置的业务策略将确定在该流量到达 Hub 后如何进行转发。选项包括:
  • 直接从 Hub 转发
  • 从 Hub 转发到网关,然后从网关访问

在公用 Internet 链路恢复时,CBH 尝试将流量移回到公用链路。为了避免链路不稳定导致流量在公用链路和专用链路之间切换,CBH 设置了 30 秒的默认抑制时间定时器。在达到抑制时间定时器后,流量将故障恢复到公用 Internet 链路

用例 2:云安全服务 (CSS) 链路故障

每次在 SD-WAN Edge 上发生 CSS (Zscaler) 链路故障而公用 Internet 仍处于正常状态时,将不会建立到 CSS 的隧道,这会导致流量丢失。在这种场景下,条件回传功能(如果已激活)将允许业务策略执行条件回传并将流量路由到 Hub。

通过使用基于策略的条件回传,SD-WAN Edge 可以根据 CSS 隧道状态故障切换使用 CSS 链路的 Internet 流量,而不管公用链路的状态如何。

CBH 仅在以下情况下有效:
  • 所有分段上的 CSS 隧道在 VPN 配置文件中关闭。
  • 在主 CSS 隧道关闭时,如果配置了辅助 CSS 隧道,则不会对 Internet 流量进行条件回传,而是通过辅助 CSS 隧道传输流量。
在 CSS 链路关闭并且公用 Internet 链路启动时,使用 CSS 链路的 Internet 流量将动态回传到 Hub,而不管公用链路的状态如何。

在到 CSS 链路的隧道恢复时,CBH 尝试将流量移回到 CSS,并且不会条件回传流量。

条件回传的行为特性

  • 如果激活了条件回传,默认情况下,分支级别的所有业务策略规则都会通过 CBH 故障切换流量。您可以在选定的业务策略级别停用该功能,以根据选定策略的特定要求从条件回传中排除流量。
  • 条件回传不会影响在公用链路关闭时已在回传到 Hub 的现有流量。现有的流量仍使用相同的 Hub 转发数据。
  • 如果分支位置具有备份公用链路,备份公用链路将优先于 CBH。只有在主链路和备份链路均无法正常运行时,才会触发 CBH 并使用专用链路。
  • 如果专用链路作为备份,在活动公用链路发生故障并且专用备份链路变为活动状态时,流量将使用 CBH 功能故障切换到专用链路。
  • 要使该功能正常工作,分支和条件回传 Hub 需要为其专用链路分配相同的专用网络名称。(否则,专用隧道将无法启动。)

配置条件回传

在配置文件级别,为了配置条件回传,您应执行以下步骤以激活 云 VPN (Cloud VPN),然后在分支和 SD-WAN Hub 之间建立 VPN 连接:
  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 配置文件 (Profiles)
  2. 选择一个配置文件,或者单击设备 (Device) 列中的查看 (View) 链接。此时将显示选定配置文件的设备 (Device) 设置页面。
  3. 分段 (Segment) 下拉菜单中,选择一个配置文件分段以配置条件回传。默认情况下,将选择全局分段 [常规] (Global Segment [Regular])
    注: 条件回传是一项分段感知的功能,因此,必须在每个打算使用条件回传的分段中激活该功能。
  4. 转到 VPN 服务 (VPN Services) 区域,并将相应切换按钮切换到开启 (On) 以激活云 VPN (Cloud VPN)
  5. 选中启用分支到 Hub (Enable Branch to Hubs) 复选框。
  6. 单击编辑 Hub (Edit Hubs) 链接。此时将显示选定配置文件的添加 Hub (Add Hubs) 窗口。

    Hub (Hubs) 区域中,选择要作为回传 Hub 的 Hub,然后使用箭头将其移到回传 Hub (Backhaul Hubs) 区域中。

  7. 要激活条件回传,请选中启用条件回传 (Enable Conditional BackHaul) 复选框。
    激活条件回传后, SD-WAN Edge 即可进行故障切换:
    • 每次没有可用的公用 Internet 链路时,将 Internet 流量(直接 Internet 流量、通过 SD-WAN 网关 的 Internet 流量以及通过 IPsec 的云安全流量)故障切换到 MPLS 链路。
    • 每次在 SD-WAN Edge 上发生 CSS (Zscaler) 链路故障而公用 Internet 链路仍处于启动状态时,将 Internet CSS 流量故障切换到 Hub。
    默认情况下,条件回传(如果已激活)将应用于所有业务策略。如果要根据特定要求从条件回传中排除流量,您可以为选定的策略停用条件回传以从该行为中排除选定的流量(直接、多路径和 CSS),方法是在 配置规则 (Configure Rule) 屏幕的 操作 (Action) 区域中为选定的业务策略选中 禁用条件回传 (Turn off Conditional Backhaul) 复选框。有关更多信息,请参阅 为业务策略规则配置网络服务

    注:
    • 条件回传和 SD-WAN 可访问性可以在同一 Edge 中一起工作。在 Edge 上的公用 Internet 关闭时,条件回传和 SD-WAN 可访问性支持将云网关流量故障切换到 MPLS。如果激活了条件回传,没有到网关的路径,但具有经由 MPLS 到 Hub 的路径,直接流量和网关流量将应用条件回传。有关 SD-WAN 可访问性的更多信息,请参阅通过 MPLS 的 SD-WAN 服务可访问性
    • 在具有多个候选 Hub 时,条件回传将使用列表中的第一个 Hub,除非该 Hub 与网关断开连接。
  8. 单击保存更改 (Save Changes)

条件回传故障排除

请考虑在分支级别创建了业务策略规则的用户。您可以从远程诊断 (Remote Diagnostics) 部分中运行列出活动流量 (List Active Flows) 命令,以检查到其中每个目标 IP 地址的持续 Ping 在分支中是否处于活动状态。

有关更多信息,请参阅在 https://docs.vmware.com/cn/VMware-SD-WAN/index.html 上发布的《VMware SD-WAN 故障排除指南》中的“Edge 上的远程诊断测试”一节。

如果在分支的公用链路中丢失大量数据包,并且该链路关闭,相同的流量将在分支中切换到 Internet 回传。
注: Hub 上的业务策略决定了 Hub 如何转发流量。由于 Hub 没有这些流量的特定规则,因此,它们将划分为默认流量。对于这种场景,可以在 Hub 级别创建业务策略规则以与所需的 IP 或子网范围匹配,从而定义在条件回传变为正常运行时如何处理来自特定分支的流量。