Podmíněné páteřní připojení (CBH) je funkce navržená pro nasazování větví hybridní SD-WAN, které mají nejméně jednu veřejnou a jednu privátní linku.

Případ použití 1: Selhání linky veřejného internetu

Kdykoli dojde v Zařízení VMware SD-WAN Edge k selhání veřejného internetového odkazu, tunelová propojení k Brána VMware SD-WAN Gateway, služba pro zabezpečení cloudu (CSS) a přímá spojení do internetu nebudou vytvořeny. V takovém případě služba podmíněného páteřního připojení, je-li povolena, využije konektivitu přes privátní linky k určeným páteřním hubům a poskytne Zařízení SD-WAN Edge možnost překlopit internetový provoz přes privátní překryvnou vrstvu k hubu a zajistit tak dostupnost internetu.

Kdykoli selže linka do veřejného internetu a podmíněné páteřní připojení je povoleno, Edge může překlopit následující typy provozu vázané na internet:

  1. Přímo na internet
  2. Internet přes Brána SD-WAN Gateway
  3. Provoz služeb pro zabezpečení cloudu

V rámci normálního provozu je veřejná linka aktivní a internetový provoz prochází normálně přímo nebo prostřednictvím Brána SD-WAN Gateway podle vašich nakonfigurovaných podnikových zásad.

Když veřejná internetová linka spadne nebo cesta překrytí SD-WAN přejde do tichého stavu (QUIET) (po 7 prezenčních signálech nebyly přijaty žádné pakety), internetový provoz se dynamicky přepne na hub.

Podnikové zásady nakonfigurované pro hub pak určí, jakým způsobem bude provoz předáván dál, jakmile dorazí na hub. Možnosti:
  • Přímo z hubu
  • Z hubu na bránu a poté odeslání z brány

Po obnovení veřejné internetové linky se funkce CBH pokusí přesunout provoz zpět na veřejnou linku. Aby se předešlo nestabilním linkám, které by způsobovaly přepínání mezi veřejnými a privátními linkami, má CBH ve výchozím nastavení časovač holdoff nastaven na 30 sekund. Po dosažení hodnoty holdoff se provoz vrátí zpět na veřejnou internetovou linku.

Případ použití 2: Selhání linky služby pro zabezpečení cloudu (CSS)

Kdykoli dojde k selhání linky CSS (Zscaler) v síti Zařízení SD-WAN Edge, zatímco je veřejný internet stále v provozu, tunely do služby CSS nebudou vytvořeny, což způsobí, že provoz skončí v černé díře. V tomto scénáři umožní funkce podmíněného páteřního připojení (je-li zapnutá) podnikovým zásadám provádět podmíněné páteřní připojení a směrování provozu do centra Hub.

Podmíněné páteřní připojení založené na zásadách poskytuje síti Zařízení SD-WAN Edge schopnost aktivovat převzetí služeb při selhání pro internetový provoz, který používá linku CSS na základě stavu tunelu CSS, a to bez ohledu na stav veřejných linek.

CBH bude efektivní pouze v případě, že:
  • Tunely CSS na všech segmentech jsou vyřazeny z provozu v profilu VPN.
  • Když je primární CSS tunel vyřazen z provozu a je nakonfigurován sekundární CSS tunel, pak internetový provoz nebude podmíněně páteřně připojen, místo toho bude provoz přenášen skrz sekundární CSS tunel.
Pokud je linka CSS VYŘAZENA Z PROVOZU a veřejná internetová linka je V PROVOZU, internetový provoz používající linku CSS je dynamicky přepnut na centrum Hub, a to bez ohledu na stav veřejné linky.

Po obnovení tunelu do linky CSS se funkce CBH pokusí přesunout provoz zpět na službu CSS a na provoz nebude použito podmíněné páteřní připojení.

Charakteristiky chování podmíněného páteřního připojení

  • Je-li podmíněné páteřní připojení povoleno, podléhají ve výchozím nastavení všechna pravidla podnikových zásad na úrovni větve předání provozu přes CBH. Provoz můžete z podmíněného páteřního připojení vyloučit na základě konkrétních požadavků pro vybrané zásady zakázáním této funkce na úrovni vybraných podnikových zásad.
  • Podmíněné páteřní připojení neovlivní existující toky, které jsou v době selhání veřejných linek již na páteřní hub předávány. Existující toky budou dál předávat data za použití stejného hubu.
  • Pokud má lokace větve záložní veřejné linky, budou mít tyto záložní veřejné linky přednost před CBH. Pouze pokud jsou všechny primární a záložní linky mimo provoz, aktivuje se CBH a použije se privátní linka.
  • Pokud privátní linka funguje jako záložní, provoz přechází na privátní linku za využití funkce CBH, pokud aktivní veřejná linka selhala a privátní záložní linka se aktivovala.
  • Aby to fungovalo, musí mít větve a huby podmíněného páteřního připojení přiřazený svým privátním linkám stejný název privátní sítě. (Jinak se privátní tunelové propojení nevytvoří.)

Konfigurace podmíněného páteřního připojení

Aby bylo možné na úrovni konfigurovat podmíněné páteřní připojení, je třeba povolit cloudovou VPN a poté vytvořit VPN spojení mezi větví a  Centra SD-WAN Hub pomocí těchto kroků:
  1. V aplikaci SD-WAN Orchestrator přejděte na nabídku Konfigurovat (Configure) > Profily (Profiles). Zobrazí se stránka Konfigurace profilů (Configuration Profiles).
  2. Zvolte profil, pro který chcete nakonfigurovat cloudovou VPN, a klikněte na ikonu pod sloupcem Zařízení (Device). Otevře se stránka s nastavením zařízení pro vybraný profil.
  3. Z rozevírací nabídky Konfigurovat segment (Configure Segment) vyberte segment profilu pro konfiguraci podmíněného páteřního připojení. Ve výchozím nastavení je vybrána možnost Globální segment [Řádný] (Global Segment [Regular]).
    Poznámka: Funkce podmíněného páteřního připojení pracuje se segmenty a musí být proto povolena v každém segmentu, kde má fungovat.
  4. Přejděte na oblast Cloudová VPN (Cloud VPN) a aktivujte cloudovou VPN přepnutím přepínacího tlačítka na Zapnuto (On).
  5. Chcete-li nakonfigurovat větev do Centra SD-WAN Hub, v nabídce Větev do hubů (Branch to Hubs) zaškrtněte pole Aktivovat (Enable).
  6. Klikněte na odkaz Select Hubs (Vybrat huby). Otevře se obrazovka Správa hubů cloudové VPN (Manage Cloud VPN Hubs) pro zvolený profil.

    V oblasti Huby (Hubs) vyberte huby, které budou fungovat jako páteřní, a přesuňte je do oblasti Páteřní huby (Backhaul Hubs) pomocí šipky >.

  7. Chcete-li povolit podmíněné páteřní připojení, zaškrtněte pole Aktivovat podmíněné páteřní připojení (Enable Conditional BackHaul).
    Je-li podmíněné páteřní připojení aktivováno, Zařízení SD-WAN Edge bude moci provést převzetí služeb při selhání:
    • Internetový provoz (přímý internetový provoz, internet přes řešení Brána SD-WAN Gateway a provoz zabezpečení cloudu přes protokol IPsec) směrovaný na linky MPLS, kdykoli nejsou k dispozici žádné veřejné internetové linky.
    • Internetový provoz CSS směrovaný na centrum Hub, kdykoli dojde k selhání linky CSS (Zscaler) v síti Zařízení SD-WAN Edge, zatímco veřejná internetová linka je stále v provozu.
    Je-li povoleno podmíněné páteřní připojení, bude ve výchozím nastavení platit pro všechny podnikové zásady. Chcete-li na základě konkrétních požadavků vyloučit provoz z podmíněného páteřního připojení, můžete podmíněné páteřní připojení deaktivovat pro vybrané zásady k vyloučení vybraného provozu (přímý, vícecestný a CSS) z tohoto chování. Stačí zaškrtnout pole Deaktivovat podmíněné páteřní připojení (Disable Conditional Backhaul) v oblasti Akce (Action) na obrazovce Konfigurace pravidla (Configure Rule) pro vybrané podnikové zásady. Další informace naleznete v tématu Konfigurace síťové služby pro pravidlo podnikových zásad.

    Poznámka:
    • Služby podmíněného páteřního připojení a dosažitelnosti SD-WAN mohou na tomtéž Edge pracovat současně. Podmíněné páteřní připojení i dosažitelnost SD-WAN podporují převzetí provozu cloudové brány na MPLS, když je veřejné připojení k internetu v lokalitě Edge off-line. Pokud je povoleno podmíněné páteřní připojení a neexistuje žádná cesta k bráně, ale existuje cesta k hubu prostřednictvím MPLS, pak se na přímý provoz i na provoz brány použije podmíněné páteřní připojení. Další informace o dosažitelnosti SD-WAN naleznete v tématu Dosažitelnost služby SD-WAN prostřednictvím MPLS.
    • Pokud existuje více kandidátských center Hub, podmíněné páteřní připojení použije první centrum Hub v seznamu, pokud neztratilo připojení k bráně.
  8. Klikněte na tlačítko Uložit změny (Save Changes).

Řešení potíží s podmíněným páteřním připojením

Zvažte vytvoření uživatele s těmito dvěma podnikovými zásadami na úrovni větve.
Můžete zkontrolovat, zda je pro tuto větev aktivní příkaz ping pro každou z těchto cílových IP adres, a to tak, že v sekci Vzdálená diagnostika (Remote Diagnostics) spustíte funkci Vypsat aktivní toky (List Active Flows).
Pokud dojde ve veřejné lince větve k extrémní ztrátě paketů a linka spadne, tok se ve větvi přepne na páteřní připojení.
Pamatujte, že způsob předávání provozu hubem určují podnikové zásady. Protože hub nemá pro tyto toky žádné specifické pravidlo, jsou řazeny do kategorií jako výchozí provoz. Pro tento scénář může být vytvořeno pravidlo podnikových zásad na úrovni hubu, které bude odpovídat požadovaným IP adresám nebo rozsahům podsítě za účelem definování toho, jakým způsobem budou zpracovávány toky z konkrétní větve v případě, že se aktivuje CBH.