Podmíněné páteřní připojení (CBH) je funkce navržená pro nasazování větví hybridní SD-WAN, které mají nejméně jednu veřejnou a jednu privátní linku.

Případ použití 1: Selhání linky veřejného internetu

Kdykoli dojde v Zařízení VMware SD-WAN Edge k selhání veřejného internetového odkazu, tunelová propojení k Brána VMware SD-WAN Gateway, služba pro zabezpečení cloudu (CSS) a přímá spojení do internetu nebudou vytvořeny. V takovém případě služba podmíněného páteřního připojení, je-li aktivována, využije konektivitu přes privátní linky k určeným hubům páteřního připojení a poskytne Zařízení SD-WAN Edge možnost překlopit internetový provoz přes privátní overlay vrstvu k hubu, a zajistí tak dostupnost internetu.

Kdykoli selže linka do veřejného internetu a podmíněné páteřní připojení je povoleno, Edge může překlopit následující typy provozu vázané na internet:

  1. Přímo na internet
  2. Internet přes Brána SD-WAN Gateway
  3. Provoz služeb pro zabezpečení cloudu

V rámci normálního provozu je veřejná linka aktivní a internetový provoz prochází normálně přímo nebo prostřednictvím Brána SD-WAN Gateway podle vašich nakonfigurovaných pravidel řízení.

Když veřejná internetová linka spadne nebo cesta overlay SD-WAN přejde do tichého stavu (QUIET) (po 7 prezenčních signálech nebyly přijaty žádné pakety), internetový provoz se dynamicky přepne na hub.

Pravidla řízení nakonfigurované pro hub pak určí, jakým způsobem bude provoz předáván dál, jakmile dorazí na hub. Možnosti:
  • Přímo z hubu
  • Z hubu na bránu a poté odeslání z brány

Po obnovení veřejné internetové linky se funkce CBH pokusí přesunout provoz zpět na veřejnou linku. Aby se předešlo nestabilním linkám, které by způsobovaly přepínání mezi veřejnými a privátními linkami, má CBH ve výchozím nastavení časovač holdoff nastaven na 30 sekund. Po dosažení hodnoty holdoff se provoz vrátí zpět na veřejnou internetovou linku.

Případ použití 2: Selhání linky služby pro zabezpečení cloudu (CSS)

Kdykoli dojde k selhání linky CSS (Zscaler) v síti Zařízení SD-WAN Edge, zatímco je veřejný internet stále v provozu, tunely do služby CSS nebudou vytvořeny, což způsobí, že provoz skončí v černé díře. V tomto scénáři umožní funkce podmíněného páteřního připojení (je-li zapnutá) pravidlům řízení provádět podmíněné páteřní připojení a směrování provozu do centra hub.

Podmíněné páteřní připojení založené na zásadách poskytuje síti Zařízení SD-WAN Edge schopnost aktivovat převzetí služeb při selhání pro internetový provoz, který používá linku CSS na základě stavu tunelu CSS, a to bez ohledu na stav veřejných linek.

CBH bude efektivní pouze v případě, že:
  • Tunely CSS na všech segmentech jsou vyřazeny z provozu v profilu VPN.
  • Když je primární CSS tunel vyřazen z provozu a je nakonfigurován sekundární CSS tunel, pak internetový provoz nebude podmíněně páteřně připojen, místo toho bude provoz přenášen skrz sekundární CSS tunel.
Pokud je linka CSS VYŘAZENA Z PROVOZU a veřejná internetová linka je V PROVOZU, internetový provoz používající linku CSS je dynamicky přepnut na centrum Hub, a to bez ohledu na stav veřejné linky.

Po obnovení tunelu do linky CSS se funkce CBH pokusí přesunout provoz zpět na službu CSS a na provoz nebude použito podmíněné páteřní připojení.

Charakteristiky chování podmíněného páteřního připojení

  • Je-li podmíněné páteřní připojení aktivováno, podléhají ve výchozím nastavení všechna pravidla řízení na úrovni větve předání provozu přes CBH. Z podmíněného páteřního připojení lze vyloučit provoz dle určitých požadavků pro vybrané zásady pomocí deaktivace této funkce na zvolené úrovni pravidel řízení.
  • Podmíněné páteřní připojení neovlivní existující toky, které jsou v době selhání veřejných linek již na páteřní hub předávány. Existující toky budou dál předávat data za použití stejného hubu.
  • Pokud má lokace větve záložní veřejné linky, budou mít tyto záložní veřejné linky přednost před CBH. Pouze pokud jsou všechny primární a záložní linky mimo provoz, aktivuje se CBH a použije se privátní linka.
  • Pokud privátní linka funguje jako záložní, provoz přechází na privátní linku za využití funkce CBH, pokud aktivní veřejná linka selhala a privátní záložní linka se aktivovala.
  • Aby to fungovalo, musí mít větve a huby podmíněného páteřního připojení přiřazený svým privátním linkám stejný název privátní sítě. (Jinak se privátní tunelové propojení nevytvoří.)

Konfigurace podmíněného páteřního připojení

Aby bylo možné na úrovni konfigurovat podmíněné páteřní připojení, je třeba povolit cloudovou VPN (Cloud VPN) a poté vytvořit připojení VPN mezi větví a  Centra SD-WAN Hub pomocí těchto kroků:
  1. Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Profily (Profiles).
  2. Vyberte profil nebo klikněte na odkaz Zobrazit (View) ve sloupci Zařízení (Device). Otevře se stránka s nastavením Zařízení (Device) pro vybraný profil.
  3. Z rozevírací nabídky Segment vyberte segment profilu pro konfiguraci podmíněného páteřního připojení. Ve výchozím nastavení je vybrána možnost Globální segment [Řádný] (Global Segment [Regular]).
    Poznámka: Funkce podmíněného páteřního připojení pracuje se segmenty, a musí být proto aktivována v každém segmentu, kde má fungovat.
  4. Přejděte na oblast Služby VPN (VPN Services) a aktivujte možnost Cloudová VPN (Cloud VPN) přepnutím přepínacího tlačítka na Zapnuto (On).
  5. Zaškrtněte políčko Povolit připojení větve k hubům (Enable Branch to Hubs).
  6. Klikněte na odkaz Upravit huby (Edit Hubs). Zobrazí se okno Přidat huby (Add Hubs) pro vybraný profil.

    V oblasti Huby (Hubs) vyberte huby, které budou fungovat jako páteřní, a přesuňte je pomocí šipek do oblasti Huby páteřního připojení (Backhaul Hubs).

  7. Chcete-li aktivovat podmíněné páteřní připojení, zaškrtněte pole Aktivovat podmíněné páteřní připojení (Enable Conditional BackHaul).
    Je-li aktivováno podmíněné páteřní připojení, Zařízení SD-WAN Edge může převzít služby při selhání:
    • Internetový provoz (přímý internetový provoz, internet přes řešení Brána SD-WAN Gateway a provoz zabezpečení cloudu přes protokol IPsec) směrovaný na linky MPLS, kdykoli nejsou k dispozici žádné veřejné internetové linky.
    • Internetový provoz CSS směrovaný na centrum Hub, kdykoli dojde k selhání linky CSS (Zscaler) v síti Zařízení SD-WAN Edge, zatímco veřejná internetová linka je stále v provozu.
    Je-li aktivováno podmíněné páteřní připojení, bude ve výchozím nastavení platit pro všechna pravidla řízení. Chcete-li vyloučit provoz podmíněného páteřního připojení podle určitých požadavků, můžete deaktivovat podmíněné páteřní připojení pro zvolené zásady a vyloučit vybraný provoz (přímý, vícecestný a CSS) z tohoto chování volbou možnosti Vypnout podmíněné páteřní připojení (Turn off Conditional Backhaul) v části Akce (Action) na obrazovce Konfigurace pravidla (Configure Rule) pro zvolená pravidla řízení. Další informace naleznete v tématu Konfigurace síťové služby pro pravidla řízení.

    Poznámka:
    • Služby podmíněného páteřního připojení a dosažitelnosti SD-WAN mohou na tomtéž Edge pracovat současně. Podmíněné páteřní připojení i dosažitelnost SD-WAN podporují převzetí provozu cloudové brány na MPLS, když je veřejné připojení k internetu v lokalitě Edge off-line. Pokud je aktivováno podmíněné páteřní připojení a neexistuje žádná cesta k bráně, ale existuje cesta k hubu prostřednictvím MPLS, pak se na přímý provoz i na provoz brány použije podmíněné páteřní připojení. Další informace o dosažitelnosti SD-WAN naleznete v tématu Dosažitelnost služby SD-WAN prostřednictvím MPLS.
    • Pokud existuje více kandidátských hubů, podmíněné páteřní připojení použije první hub v seznamu, pokud neztratilo připojení k bráně.
  8. Klikněte na tlačítko Uložit změny (Save Changes).

Řešení potíží s podmíněným páteřním připojením

Zvažte uživatele s pravidly řízení vytvořenými na úrovni větve. Můžete zkontrolovat, zda je pro tuto větev aktivní příkaz ping pro každou z těchto cílových IP adres, a to tak, že v sekci Vzdálená diagnostika (Remote Diagnostics) spustíte funkci Vypsat aktivní toky (List Active Flows).

Další informace naleznete v části Vzdálené diagnostické testy na zařízení EdgePrůvodci odstraňováním problémů se VMware SD-WAN, který je zveřejněn na https://docs.vmware.com/cz/VMware-SD-WAN/index.html.

Pokud dojde ve veřejné lince větve k extrémní ztrátě paketů a linka spadne, tok se ve větvi přepne na páteřní připojení.
Poznámka: Pravidla řízení v hubu určují, jak hub přesměrovává provoz. Protože hub nemá pro tyto toky žádné specifické pravidlo, jsou řazeny do kategorií jako výchozí provoz. Pro tento scénář může být vytvořeno pravidlo řízení na úrovni hubu, které bude odpovídat požadovaným IP adresám nebo rozsahům podsítě za účelem definování toho, jakým způsobem budou zpracovávány toky z konkrétní větve v případě, že se aktivuje podmíněné páteřní připojení.