Podmíněné páteřní připojení (CBH) je funkce navržená pro nasazování větví hybridní SD-WAN, které mají nejméně jednu veřejnou a jednu privátní linku.
Případ použití 1: Selhání linky veřejného internetu
Kdykoli dojde v Zařízení VMware SD-WAN Edge k selhání veřejného internetového odkazu, tunelová propojení k Brána VMware SD-WAN Gateway, služba pro zabezpečení cloudu (CSS) a přímá spojení do internetu nebudou vytvořeny. V takovém případě služba podmíněného páteřního připojení, je-li povolena, využije konektivitu přes privátní linky k určeným hubům páteřního připojení a poskytne Zařízení SD-WAN Edge možnost překlopit internetový provoz přes privátní překryvnou vrstvu k hubu a zajistit tak dostupnost internetu.
Kdykoli selže linka do veřejného internetu a podmíněné páteřní připojení je povoleno, Edge může překlopit následující typy provozu vázané na internet:
- Přímo na internet
- Internet přes Brána SD-WAN Gateway
- Provoz služeb pro zabezpečení cloudu
V rámci normálního provozu je veřejná linka aktivní a internetový provoz prochází normálně přímo nebo prostřednictvím Brána SD-WAN Gateway podle vašich nakonfigurovaných pravidel řízení.
![](images/GUID-7BC3F643-F5BD-48CE-BDFB-CB83340CCCF5-high.png)
Když veřejná internetová linka spadne nebo cesta překrytí SD-WAN přejde do tichého stavu (QUIET) (po 7 prezenčních signálech nebyly přijaty žádné pakety), internetový provoz se dynamicky přepne na hub.
- Přímo z hubu
- Z hubu na bránu a poté odeslání z brány
![](images/GUID-F15BE34B-AE90-433D-ADFC-329B50C10E1B-high.png)
Po obnovení veřejné internetové linky se funkce CBH pokusí přesunout provoz zpět na veřejnou linku. Aby se předešlo nestabilním linkám, které by způsobovaly přepínání mezi veřejnými a privátními linkami, má CBH ve výchozím nastavení časovač holdoff nastaven na 30 sekund. Po dosažení hodnoty holdoff se provoz vrátí zpět na veřejnou internetovou linku.
![](images/GUID-798C695E-8A9B-4540-B211-C0C25C71AD37-high.png)
Případ použití 2: Selhání linky služby pro zabezpečení cloudu (CSS)
Kdykoli dojde k selhání linky CSS (Zscaler) v síti Zařízení SD-WAN Edge, zatímco je veřejný internet stále v provozu, tunely do služby CSS nebudou vytvořeny, což způsobí, že provoz skončí v černé díře. V tomto scénáři umožní funkce podmíněného páteřního připojení (je-li zapnutá) pravidlům řízení provádět podmíněné páteřní připojení a směrování provozu do centra Hub.
Podmíněné páteřní připojení založené na zásadách poskytuje síti Zařízení SD-WAN Edge schopnost aktivovat převzetí služeb při selhání pro internetový provoz, který používá linku CSS na základě stavu tunelu CSS, a to bez ohledu na stav veřejných linek.
- Tunely CSS na všech segmentech jsou vyřazeny z provozu v profilu VPN.
- Když je primární CSS tunel vyřazen z provozu a je nakonfigurován sekundární CSS tunel, pak internetový provoz nebude podmíněně páteřně připojen, místo toho bude provoz přenášen skrz sekundární CSS tunel.
![](images/GUID-05FE4BF9-B220-40A4-9D48-374CBE43BAC4-high.png)
Po obnovení tunelu do linky CSS se funkce CBH pokusí přesunout provoz zpět na službu CSS a na provoz nebude použito podmíněné páteřní připojení.
![](images/GUID-86CD2701-6273-4623-989B-38F940129EDB-high.png)
Charakteristiky chování podmíněného páteřního připojení
- Je-li podmíněné páteřní připojení povoleno, podléhají ve výchozím nastavení všechna pravidla řízení na úrovni větve předání provozu přes CBH. Z podmíněného páteřního připojení lze vyloučit provoz dle určitých požadavků pro vybrané zásady pomocí deaktivace této funkce na zvolené úrovni pravidel řízení.
- Podmíněné páteřní připojení neovlivní existující toky, které jsou v době selhání veřejných linek již na páteřní hub předávány. Existující toky budou dál předávat data za použití stejného hubu.
- Pokud má lokace větve záložní veřejné linky, budou mít tyto záložní veřejné linky přednost před CBH. Pouze pokud jsou všechny primární a záložní linky mimo provoz, aktivuje se CBH a použije se privátní linka.
- Pokud privátní linka funguje jako záložní, provoz přechází na privátní linku za využití funkce CBH, pokud aktivní veřejná linka selhala a privátní záložní linka se aktivovala.
- Aby to fungovalo, musí mít větve a huby podmíněného páteřního připojení přiřazený svým privátním linkám stejný název privátní sítě. (Jinak se privátní tunelové propojení nevytvoří.)
Konfigurace podmíněného páteřního připojení
- V aplikaci SD-WAN Orchestrator přejděte na nabídku Konfigurovat (Configure) > Profily (Profiles). Zobrazí se stránka Konfigurace profilů (Configuration Profiles).
- Zvolte profil, pro který chcete nakonfigurovat cloudovou VPN, a klikněte na ikonu pod sloupcem Zařízení (Device). Otevře se stránka s nastavením zařízení pro vybraný profil.
- Z rozevírací nabídky Konfigurovat segment (Configure Segment) vyberte segment profilu pro konfiguraci podmíněného páteřního připojení. Ve výchozím nastavení je vybrána možnost Globální segment [Řádný] (Global Segment [Regular]).
Poznámka: Funkce podmíněného páteřního připojení pracuje se segmenty a musí být proto povolena v každém segmentu, kde má fungovat.
- Přejděte na oblast Cloudová VPN (Cloud VPN) a aktivujte cloudovou VPN přepnutím přepínacího tlačítka na Zapnuto (On).
- Chcete-li nakonfigurovat větev do Centra SD-WAN Hub, v nabídce Větev do hubů (Branch to Hubs) zaškrtněte pole Aktivovat (Enable).
- Klikněte na odkaz Select Hubs (Vybrat huby). Otevře se obrazovka Správa hubů cloudové VPN (Manage Cloud VPN Hubs) pro zvolený profil.
V oblasti Huby (Hubs) vyberte huby, které budou fungovat jako páteřní, a přesuňte je do oblasti Huby páteřního připojení (Backhaul Hubs) pomocí šipky >.
- Chcete-li povolit podmíněné páteřní připojení, zaškrtněte pole Aktivovat podmíněné páteřní připojení (Enable Conditional BackHaul).
Je-li podmíněné páteřní připojení aktivováno, Zařízení SD-WAN Edge bude moci provést převzetí služeb při selhání:
- Internetový provoz (přímý internetový provoz, internet přes řešení Brána SD-WAN Gateway a provoz zabezpečení cloudu přes protokol IPsec) směrovaný na linky MPLS, kdykoli nejsou k dispozici žádné veřejné internetové linky.
- Internetový provoz CSS směrovaný na centrum Hub, kdykoli dojde k selhání linky CSS (Zscaler) v síti Zařízení SD-WAN Edge, zatímco veřejná internetová linka je stále v provozu.
Poznámka:- Služby podmíněného páteřního připojení a dosažitelnosti SD-WAN mohou na tomtéž Edge pracovat současně. Podmíněné páteřní připojení i dosažitelnost SD-WAN podporují převzetí provozu cloudové brány na MPLS, když je veřejné připojení k internetu v lokalitě Edge off-line. Pokud je povoleno podmíněné páteřní připojení a neexistuje žádná cesta k bráně, ale existuje cesta k hubu prostřednictvím MPLS, pak se na přímý provoz i na provoz brány použije podmíněné páteřní připojení. Další informace o dosažitelnosti SD-WAN naleznete v tématu Dosažitelnost služby SD-WAN prostřednictvím MPLS.
- Pokud existuje více kandidátských center Hub, podmíněné páteřní připojení použije první centrum Hub v seznamu, pokud neztratilo připojení k bráně.
- Klikněte na tlačítko Uložit změny (Save Changes).
Řešení potíží s podmíněným páteřním připojením
![](images/GUID-DBD9C749-62F4-4012-9528-554E02AE031D-low.png)
![](images/GUID-575E9BBB-0D00-4608-B7CA-CC1E4E015D87-low.png)
![](images/GUID-3FD91430-E7E6-4A27-A045-D0B39D461C5F-low.png)
![](images/GUID-6E8F0AA0-5696-4B24-9D59-A3FF304A5E42-low.png)