Podmíněné páteřní připojení (CBH) je funkce navržená pro nasazování větví hybridní SD-WAN, které mají nejméně jednu veřejnou a jednu privátní linku. Kdykoli dojde v VMware SD-WAN Edge k selhání veřejného internetového odkazu, tunelová propojení k VMware SD-WAN Gateway, služba pro zabezpečení cloudu (CSS) a přímá spojení do internetu nebudou vytvořeny. V takovém případě služba podmíněného páteřního připojení, je-li povolena, využije konektivitu přes privátní linky k určeným páteřním hubům a poskytne SD-WAN Edge možnost překlopit internetový provoz přes privátní překryvnou vrstvu k hubu a zajistit tak dostupnost internetu.

Kdykoli selže linka do veřejného internetu a podmíněné páteřní připojení je povoleno, Edge může překlopit následující typy provozu vázané na internet:

  1. Přímo na internet
  2. Internet přes SD-WAN Gateway
  3. Provoz služeb pro zabezpečení cloudu

Charakteristiky chování podmíněného páteřního připojení

  • Je-li podmíněné páteřní připojení povoleno, podléhají ve výchozím nastavení všechna pravidla podnikových zásad na úrovni větve předání provozu přes CBH. Provoz můžete z podmíněného páteřního připojení vyloučit na základě konkrétních požadavků pro vybrané zásady zakázáním této funkce na úrovni vybraných podnikových zásad.
  • Podmíněné páteřní připojení neovlivní existující toky, které jsou v době selhání veřejných linek již na páteřní hub předávány. Existující toky budou dál předávat data za použití stejného hubu.
  • Pokud má lokace větve záložní veřejné linky, budou mít tyto záložní veřejné linky přednost před CBH. Pouze pokud jsou všechny primární a záložní linky mimo provoz, aktivuje se CBH a použije se privátní linka.
  • Pokud privátní linka funguje jako záložní, provoz přechází na privátní linku za využití funkce CBH, pokud aktivní veřejná linka selhala a privátní záložní linka se aktivovala.
  • Aby to fungovalo, musí mít větve a huby podmíněného páteřního připojení přiřazený svým privátním linkám stejný název privátní sítě. (Jinak se privátní tunelové propojení nevytvoří.)

Provozní tok

V rámci normálního provozu je veřejná linka aktivní a internetový provoz prochází normálně přímo nebo prostřednictvím SD-WAN Gateway podle vašich nakonfigurovaných podnikových zásad.

Když veřejná internetová linka spadne nebo cesta překrytí SD-WAN přejde do tichého stavu (QUIET) (po 7 prezenčních signálech nebyly přijaty žádné pakety), internetový provoz se dynamicky přepne na hub.

Podnikové zásady nakonfigurované pro hub pak určí, jakým způsobem bude provoz předáván dál, jakmile dorazí na hub. Možnosti:
  • Přímo z hubu
  • Z hubu na bránu a poté odeslání z brány

Po obnovení linky veřejného internetu se CBH pokusí přesunout provoz zpět na veřejnou linku. Aby se předešlo nestabilním linkám, které by způsobovaly přepínání mezi veřejnými a privátními linkami, má CBH ve výchozím nastavení časovač holdoff nastaven na 30 sekund. Po dosažení hodnoty holdoff se provoz vrátí zpět na veřejnou internetovou linku.

.

Konfigurace podmíněného páteřního připojení

Aby bylo možné na úrovni konfigurovat podmíněné páteřní připojení, je třeba povolit cloudovou VPN a poté vytvořit VPN spojení mezi větví a huby SD-WAN pomocí těchto kroků:
  1. V aplikaci SD-WAN Orchestrator přejděte na nabídku Konfigurovat (Configure) > Profily (Profiles). Zobrazí se stránka Konfigurace profilů (Configuration Profiles).
  2. Zvolte profil, pro který chcete nakonfigurovat cloudovou VPN, a klikněte na ikonu pod sloupcem Zařízení (Device). Otevře se stránka s nastavením zařízení pro vybraný profil.
  3. Z rozevírací nabídky Konfigurovat segment (Configure Segment) vyberte segment profilu pro konfiguraci podmíněného páteřního připojení. Ve výchozím nastavení je vybrána možnost Globální segment [Řádný] (Global Segment [Regular]).
    Poznámka: Funkce podmíněného páteřního připojení pracuje se segmenty a musí být proto povolena v každém segmentu, kde má fungovat.
  4. Přejděte na oblast Cloudová VPN (Cloud VPN) a aktivujte cloudovou VPN přepnutím přepínacího tlačítka na Zapnuto (On).
  5. Chcete-li nakonfigurovat větev do SD-WAN Hubs, v nabídce Větev na huby VeloCloud (Branch to VeloCloud Hubs) zaškrtněte pole Aktivovat (Enable).
  6. Klikněte na tlačítko Vybrat huby VeloCloud (Select VeloCloud hubs). Otevře se obrazovka Správa hubů cloudové VPN (Manage Cloud VPN Hubs) pro zvolený profil.

    Z oblasti Huby VeloCloud (VeloCloud Hubs) vyberte huby, které budou fungovat jako páteřní, a přesuňte je do oblasti Páteřní huby (Backhaul Hubs) pomocí šipky >.

  7. Chcete-li povolit podmíněné páteřní připojení, zaškrtněte pole Aktivovat podmíněné páteřní připojení (Enable Conditional BackHaul).

    Pokud je povoleno podmíněné páteřní připojení, bude Edge schopen při selhání přepnout internetový provoz (přímý internetový provoz prostřednictvím SD-WAN Gateway a provoz cloudového zabezpečení prostřednictvím IPsec) na linky MPLS, kdykoli nebudou k dispozici žádné veřejné internetové linky. Je-li povoleno podmíněné páteřní připojení, bude ve výchozím nastavení platit pro všechny podnikové zásady. Chcete-li na základě konkrétních požadavků vyčlenit určitý provoz z podmíněného páteřního připojení, můžete podmíněné páteřní připojení pro vybrané zásady zakázat zaškrtnutím pole Deaktivovat podmíněné páteřní připojení (Disable Conditional Backhaul) v oblasti Akce (Action) na obrazovce Konfigurace pravidla (Configure Rule) pro vybrané podnikové zásady.

    Poznámka:
    • Služby podmíněného páteřního připojení a dosažitelnosti SD-WAN mohou na tomtéž Edge pracovat současně. Podmíněné páteřní připojení i dosažitelnost SD-WAN podporují převzetí provozu cloudové brány na MPLS, když je veřejné připojení k internetu v lokalitě Edge off-line. Pokud je povoleno podmíněné páteřní připojení a neexistuje žádná cesta k bráně, ale existuje cesta k hubu prostřednictvím MPLS, pak se na přímý provoz i na provoz brány použije podmíněné páteřní připojení. Další informace o dosažitelnosti SD-WAN naleznete v tématu Dosažitelnost služby SD-WAN prostřednictvím MPLS.
    • Pokud existuje více kandidátských hubů, podmíněné páteřní připojení použije první hub v seznamu, pokud hub neztratil připojení k bráně.
  8. Klikněte na tlačítko Uložit změny (Save Changes).

Řešení potíží s podmíněným páteřním připojením

Zvažte vytvoření uživatele s těmito dvěma podnikovými zásadami na úrovni větve.
Můžete zkontrolovat, zda je pro tuto větev aktivní příkaz ping pro každou z těchto cílových IP adres, a to tak, že v sekci Vzdálená diagnostika (Remote Diagnostics) spustíte funkci Vypsat aktivní toky (List Active Flows).
Pokud dojde ve veřejné lince větve k extrémní ztrátě paketů a linka spadne, tok se ve větvi přepne na páteřní připojení.
Pamatujte, že způsob předávání provozu hubem určují podnikové zásady. Protože hub nemá pro tyto toky žádné specifické pravidlo, jsou řazeny do kategorií jako výchozí provoz. Pro tento scénář může být vytvořeno pravidlo podnikových zásad na úrovni hubu, které bude odpovídat požadovaným IP adresám nebo rozsahům podsítě za účelem definování toho, jakým způsobem budou zpracovávány toky z konkrétní větve v případě, že se aktivuje CBH.