VMware SASE 支持互连多个 Hub Edge 和/或 Hub 集群,以扩大可相互通信的分支 Edge 的范围。该功能允许在连接到一个 Hub Edge/Hub 集群的分支 Edge 和连接到另一个 Hub Edge/Hub 集群的分支 Edge 之间进行通信(使用多个覆盖网络和底层网络连接)。

在分支 Edge 尝试连接到 Hub 集群时,将选择 Hub 集群中的一个成员以作为到分支 Edge 的 Hub。如果该 Hub 发生故障,则会自动选择同一 Hub 集群中的另一个成员以处理分支 Edge 请求,而无需进行任何用户配置。Hub 集群成员通过底层网络 (BGP) 相互连接,并且可以使用该底层网络连接交换路由和数据。然后,连接到同一 Hub 集群的不同成员的分支 Edge 可以使用该底层网络连接相互通信。该解决方案提供了更好的弹性。

编排配置如下所示:
在此例中,对于所有三个配置文件:
  • 必须激活 Hub 或集群互连 (Hub or Cluster Interconnect) 功能。
  • 必须选中分支到 Hub 站点 (永久 VPN) (Branch to Hub Site (Permanent VPN)) 复选框。必须将两个互连的 Hub 节点配置为彼此的 Hub,如下表所述。
下表介绍了配置文件及相应的 Hub 指定:
配置文件 Hub 指定
hub_profile1 hub2
hub_profile2 hub1 和 hub3
hub_profile3 hub2
注: 不需要在 Hub 配置文件中激活 分支到分支 VPN (转换和动态) (Branch to Branch VPN (Transit & Dynamic)) 选项。分支是分支配置文件的一部分,其对应的 Hub 作为 分支到分支 VPN Hub (Branch to Branch VPN Hubs)

激活 Hub 或集群互连 (Hub or Cluster Interconnect) 功能后,将形成从一个集群到另一个集群的隧道,并且在其他集群中至少有一个对等体。根据条件,一个集群中的两个成员可以形成到另一个集群中相同成员的隧道。对于单个 Hub 和 Hub 集群互连,所有集群成员都会形成到该单个 Hub 的隧道。然后,连接到这些 Hub 集群的末端分支 Edge 可以通过这两个 Hub 集群和中间 VMware SD-WAN 路由协议跃点相互通信。

集群内的路由将通过特殊的 BGP 扩展社区进行通告,其中集群 ID 的最后四个字节会嵌入在扩展社区中。例如,如果集群 ID 为 fee2f589-eab6-4738-88f2-8af84b1a3d9c,则 4b1a3d9c 会调换顺序并用于将集群社区派生为 9c3d1a4b00000003。根据此社区标记,将筛选出集群内的路由以指向控制器。这可避免反映来自多个集群成员的冗余路由。

在上述示例中,集群 1 (C1) 和集群 2 (C2) 是 Hub 集群,S1 和 S2 是分别连接到 C1 和 C2 的分支 Edge 集合。S1 可以通过以下连接与 S2 通信:
  • S1 和 C1 之间的覆盖网络连接。
  • S2 和 C2 之间的覆盖网络连接。
  • C1 和 C2 之间的覆盖网络连接。
  • C1 中的底层网络连接。
  • C2 中的底层网络连接。

这样,Hub 集群就可以相互交换路由,从而提供一种方法以在连接到不同 Hub 集群的分支 Edge 之间传输数据包。

支持的用例:
  • 在连接到两个不同集群或相同集群的分支之间支持动态分支到分支。
  • 支持分支配置文件中的配置文件隔离。
  • 支持通过集群的 Internet 回传。

限制:

在激活了 Hub 或集群互连 (Hub or Cluster Interconnect) 功能时:
  • 不支持通过网关的 Hub 或集群互连。
  • 不支持使用 OSPF 在 Hub 集群成员之间交换路由。
  • 当两个集群互连时,可能会出现非对称路由。不能激活“增强型防火墙服务”(Enhanced Firewall Services) 或“有状态防火墙”(Stateful Firewall),因为它们可能会由于非对称路由而阻止流量。
  • 当两个集群成员之间的所有覆盖网络隧道都关闭时,预计会发生流量丢弃情况,直到它们与对等集群中的其他成员形成隧道为止。
  • 如果有多个 LAN/WAN 路由器对集群运行 BGP,则在连接 BGP 路由器的集群 Edge 接口上,必须选中受信任的源 (Trusted Source) 复选框,并且反向路径转发 (Reverse Path Forwarding) 的值必须为未启用 (Not enabled)。有关更多信息,请参阅为 Edge 配置接口设置
  • 如果没有 Hub 或集群互连 (Hub or Cluster Interconnect) 功能,集群 Hub 配置文件不能将其他集群或 Hub 配置为 Hub。

配置 Hub 或集群互连

前提条件

  • 确保将 Orchestrator、网关和 Hub 或 Hub 集群升级到版本 5.4.0.0 或更高版本。
  • 必须为与 Edge 集群或 Hub 关联的集群配置文件激活云 VPN (Cloud VPN) 服务。
  • 不得在互连 Hub 配置文件中选中分支到分支 VPN (转换和动态) (Branch to Branch VPN (Transit & Dynamic)) 复选框,如下所示。

    在互连配置文件上配置 Hub 指定 (Hubs Designation) 足以与所有节点进行端到端通信。您可以为分支配置文件配置通过 Hub 的分支到分支。

  • 必须在互连过程涉及的所有 Hub 配置文件中激活 Hub 或集群互连 (Hub or Cluster Interconnect) 功能。
  • 集群成员必须使用 LAN/L3 路由器运行 BGP,并且必须配置路由器以转发 BGP 扩展社区。
  • 对于合作伙伴网关分配,所有 Edge(分支和 Hub)必须至少有一个通用网关。在所有 Hub/集群配置文件中,合作伙伴网关分配的顺序应该相同。
注: 激活 Hub 或集群互连 (Hub or Cluster Interconnect) 功能将会对 VMware SD-WAN 路由协议进行重大更改,其中,该协议允许数据包穿过网络中的多个跃点。从 5.4.0.0 版本开始,支持的最大互连跃点数为 4。要连接 4 个以上跃点,请与 VMware 技术支持团队联系。

过程

  1. 创建新的集群
    1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 网络服务 (Network Services) > 集群和 Hub (Clusters and Hubs)
    2. 单击新建 (New) 以创建新的集群。有关更多信息,请参阅配置集群和 Hub
    3. 将可用的 Edge 与这些集群相关联。
    4. 单击保存更改 (Save Changes)
  2. 为其中的每个集群创建一个配置文件
    1. 转到配置 (Configure) > 配置文件 (Profiles)
    2. 为每个新集群创建单独的配置文件。有关如何创建配置文件的信息,请参阅创建配置文件
  3. 在集群配置文件中指定 Hub
    1. 配置文件设备设置 (Profile Device Settings) 屏幕上,转到 VPN 服务 (VPN Services) 并启用云 VPN (Cloud VPN) 服务。
    2. 选中启用分支到 Hub (Enable Branch to Hubs) 复选框。
    3. 单击位于 Hub 指定 (Hubs Designation) 下的编辑 Hub (Edit Hubs)
    4. 单击更新 Hub (Update Hubs)
  4. 激活“Hub 或集群互连”(Hub or Cluster Interconnect) 功能:在配置文件设备设置 (Profile Device Settings) 屏幕上,导航到位于 VPN 服务 (VPN Services) 下面的 Hub 或集群互连 (Hub or Cluster Interconnect),然后选中启用 (Enable) 复选框。
    注: 只能在配置文件级别配置 Hub 和集群互连。
    这会激活该功能并在 Hub 集群之间创建隧道,从而允许它们各自的分支 Edge 相互通信。
    小心: 激活或停用 Hub 或集群互连 (Hub or Cluster Interconnect) 功能将导致与配置文件关联的所有 Edge 设备重新启动。因此,建议仅在维护模式下配置该功能以防止流量中断。

下一步做什么

  • 将配置文件分配给 Edge:导航到配置 (Configure) > Edge 以将配置文件分配给可用的 Edge。
  • 您可以通过导航到监控 (Monitor) > 事件 (Events) 来监控事件。下表列出了为 Hub 或集群互连 (Hub or Cluster Interconnect) 功能添加的新 Orchestrator 事件:
    事件 级别 描述
    CLUSTER_IC_ENABLED 信息 每当 Edge 与集群服务相关联时,将生成此事件。
    CLUSTER_IC_DISABLED 信息 每当 Edge 与集群服务解除关联时,将生成此事件。
    CLUSTER_IC_PEER_UP 警告 每当两个集群 Hub 节点之间的第一个互连隧道启动时,将生成此事件。
    CLUSTER_IC_PEER_DOWN 警告 每当两个集群 Hub 节点之间的最后一个互连隧道关闭时,将生成此事件。
    CLUSTER_IC_TUNNEL_UP 警告 每当集群之间的互连隧道启动时,将生成此事件。
    CLUSTER_IC_TUNNEL_DOWN 警告 每当集群之间的互连隧道关闭时,将生成此事件。
    HUB_CLUSTER_REBALANCE 警告 每当触发集群重新均衡操作时,将生成此事件。
注:
  1. 激活 Hub 或集群互连 (Hub or Cluster Interconnect) 功能后,在“网络服务”(Network Services) 下移除或添加集群成员时,会触发该特定 Edge 上的服务重新启动。建议在维护时段内执行此类操作。
  2. 当分支连接到主 Hub 集群和辅助 Hub 集群并从这两个集群中学习相同的路由时,路由顺序基于 BGP 属性。如果路由属性相同,则会根据 VPN Hub 顺序配置进行路由排序。另一方面,主 Hub 或 Hub 集群和辅助 Hub 或 Hub 集群会将分支的子网重新分发到其邻居,衡量指标 (MED) 分别为 33 和 34。您必须在邻居路由器中配置“bgp always-compare-med”以进行对称路由。
  3. 当 Hub 或 Hub 集群通过 CE 连接到 MPLS 内核时,您必须在这些 BGP 邻居中配置 UPLINK 标记。
  4. 在设置了分支、主 Hub 和辅助 Hub 的网络中,从分支后面启动流量会在分支上创建一个本地流量,然后通过主 Hub 路由该流量。如果主 Hub 发生故障,本地流量的路由将更新到辅助 Hub。由于会检查本地流量每个数据包的路由,因此,在主 Hub 恢复运行时,将相应地更新路由。但是,当流量是对等流量时,行为会有所不同。在这种情况下,如果主 Hub 发生故障,将通过辅助 Hub 路由对等流量,但在主 Hub 恢复运行时,不会更新对等路由。这是因为对等流量依赖于对等体的更新,这是预期行为。此问题的解决办法是刷新受影响的流量。