VMware SASE podporuje propojení více hubů Edge resp. clusterů hubů za účelem zvýšení rozsahu Edge v paprsku, které mohou mezi sebou komunikovat. Tato funkce umožňuje komunikaci mezi zařízeními Edge paprsku připojenými k jednomu hubu Edge nebo clusteru hubů a zařízeními Edge paprsku připojenými k jinému hubu Edge nebo clusteru hubů s použitím více připojení overlay a underlay sítě.

Když se Edge paprsku pokusí připojit ke clusteru hubů, je jako hub k Edge paprsku vybrán jeden z členů z clusteru hubů. Pokud tento hub spadne mimo provoz, automaticky bude vybrán jiný člen ze stejného clusteru hubů, který obsluhuje Edge paprsku, a to bez jakékoli uživatelské konfigurace. Členové clusteru hubu jsou k sobě připojeni prostřednictvím underlay (BGP) a mohou si pomocí tohoto underlay připojení vyměňovat trasy a data. Zařízení Edge paprsku připojená k různým členům stejného clusteru hubů mohou poté vzájemně komunikovat pomocí tohoto underlay připojení. Toto řešení nabízí vyšší odolnost.

Konfigurace nástroje Orchestration je uvedena níže:
V tomto případě pro všechny tři profily platí:
  • Je nutné aktivovat funkci Propojení hubu nebo clusteru Interconnect (Hub or Cluster Interconnect).
  • Musí být zaškrtnuto pole Větev do lokality hubu (permanentní VPN) (Branch to Hub Site (Permanent VPN)). Oba propojené uzly hubu musí být vzájemně nakonfigurovány jako huby, jak je vysvětleno v následující tabulce.
Následující tabulka vysvětluje profil a odpovídající označení hubů:
Profil Označení hubů
hub_profile1 hub2
hub_profile2 hub1 a hub3
hub_profile3 hub2
Poznámka: Aktivace možnosti Síť VPN mezi dvěma větvemi (přechodová a dynamická) (Branch to Branch VPN (Transit & Dynamic)) není v profilech hubu povinná. Větve jsou součástí profilu paprsku s odpovídajícími huby jako Huby sítě VPN mezi dvěma větvemi (Branch to Branch VPN Hubs).

Je-li aktivována funkce Propojení hubu nebo clusteru Interconnect (Hub or Cluster Interconnect), tunelová propojení se vytvoří z jednoho clusteru do jiného clusteru s nejméně jedním zařízením druhé strany v jiném clusteru. Na základě podmínky mohou dva členové z jednoho clusteru vytvořit tunelové propojení do stejných členů v jiném clusteru. V případě individuálního propojení hubu a clusteru hubů vytvoří všichni členové clusteru tunelová propojení do daného individuálního hubu. Koncová zařízení Edge paprsku připojená k těmto clusterům hubů mohou poté vzájemně komunikovat prostřednictvím těchto dvou clusterů hubů a vložených skoků směrovacího protokolu VMware SD-WAN.

Směry vnitřních clusterů jsou oznamovány pomocí speciální rozšířené komunity BGP, kde jsou v této komunitě vloženy poslední čtyři bajty ID clusteru. Pokud je například ID clusteru fee2f589-eab6-4738-88f2-8af84b1a3d9c, 4b1a3d9c se obrátí a použije se k odvození komunity clusteru jako 9c3d1a4b00000003. Na základě této značky komunity jsou směry uvnitř clusteru odfiltrovány směrem k řadiči. Tím se zamezí odraz redundantních směrů z různých členů clusteru.

V příkladu výše jsou cluster 1 (C1) a cluster 2 (C2) clustery hubů, a S1 a S2 jsou sada zařízení Edge paprsku připojených k C1 a C2. S1 může komunikovat s S2 prostřednictvím následujících připojení:
  • Overlay připojení mezi S1 a C1.
  • Overlay připojení mezi S2 a C2.
  • Overlay připojení mezi C1 a C2.
  • Připojení underlay v rámci C1.
  • Připojení underlay v rámci C2.

Clustery hubů si tak mohou vyměňovat trasy mezi sebou, což umožňuje, aby pakety proudily mezi zařízeními Edge paprsku připojenými k různým clusterům hubů.

Podporované příklady použití:
  • Dynamické spojení mezi větvemi je podporováno mezi paprsky připojenými ke dvěma různým nebo stejným clusterům.
  • Izolace profilů v profilu paprsku je podporována.
  • Páteřní připojení k internetu prostřednictvím clusteru je podporováno.

Omezení:

Je-li aktivována funkce Propojení hubů nebo clusterů (Hub or Cluster Interconnect):
  • Propojení hubů nebo clusterů prostřednictvím brány není podporováno.
  • Výměna tras mezi členy clusteru hubů prostřednictvím protokolu OSPF není podporována.
  • K asymetrickému směrování může dojít, když jsou vzájemně propojeny dva clustery. Nesmějí být aktivovány rozšířené služby brány firewall nebo stavová brána firewall, protože mohou kvůli asymetrickému směrování blokovat provoz.
  • Když všechny overlay tunely mezi dvěma členy clusteru spadnou, lze očekávat pokles provozu, dokud nevytvoří tunel s ostatními členy v clusteru na druhé straně.
  • Pokud je k dispozici více než jeden směrovač LAN/WAN s protokolem BGP s clusterem, musí být zaškrtnuto poleDůvěryhodný zdroj (Trusted Source) a hodnota Ověřování zpětné cesty (Reverse Path Forwarding) musí být nastavena na Nepovoleno (Not enabled) v rozhraních clusteru Edge, která propojují směrovače BGP. Další informace naleznete v tématu Konfigurace nastavení rozhraní pro zařízení Edge.
  • Bez funkce Propojení hubu nebo clusteru Interconnect (Hub or Cluster Interconnect) nemůže mít profil hubu clusteru nakonfigurovaný jiný cluster nebo hub jako hub.

Konfigurace propojení hubů nebo clusterů (Configuring Hub or Cluster Interconnect)

Požadavky

  • Nezapomeňte upgradovat nástroj Orchestrator, brány, huby nebo clustery hubů na verzi 5.4.0.0 nebo vyšší.
  • Služba Cloud VPN musí být aktivována pro profil clusteru přidružený ke clusterům nebo hubům Edge.
  • Ve vzájemně propojených profilech hubů nesmí být zaškrtnuto zaškrtávací pole Síť VPN mezi dvěma větvemi (přechodová a dynamická) (Branch to Branch VPN (Transit & Dynamic)), jak je znázorněno níže.

    Konfigurace Označení hubů (Hubs Designation) na propojených profilech je dostatečná pro vzájemnou komunikaci se všemi uzly. Můžete nakonfigurovat propojení mezi větvemi prostřednictvím hubů pro profily paprsků.

  • Funkce Propojení hubů nebo clusterů Interconnect (Hub or Cluster Interconnect) musí být aktivována ve všech profilech hubů zapojených do procesu propojení.
  • Členové clusteru musí používat protokol BGP s routerem LAN/L3 a směrovač musí být nakonfigurován tak, aby přesměrovával rozšířené komunity BGP.
  • V případě přiřazení brány partnera musí existovat nejméně jedna společná brána pro všechna zařízení Edge (paprsky a huby). Pořadí přiřazení bran partnera by mělo být ve všech profilech hubů/clusterů stejné.
Poznámka: Aktivace funkce Propojení hubů nebo clusterů (Hub or Cluster Interconnect) přináší základní změnu protokolu směrování VMware SD-WAN, kdy paketům umožňuje průchod více než jedním hopem v síti. Od verze 5.4.0.0 je maximální počet podporovaných propojovacích skoků 4. Chcete-li propojit více než 4 skoky, obraťte se na podporu VMware.

Procedura

  1. Vytvoření nových clusterů (Create new Clusters):
    1. Ve službě SD-WAN podnikového portálu přejděte do nabídky Konfigurovat (Configure) > Síťové služby (Network Services) > Clustery a huby (Clusters and Hubs).
    2. Kliknutím na Nový (New) vytvoříte nové clustery. Další informace naleznete v tématu Konfigurace clusterů a hubů.
    3. Přiřaďte dostupná zařízení Edge k těmto clusterům.
    4. Klikněte na tlačítko Uložit změny (Save Changes).
  2. Vytvoření profilů pro každý z clusterů:
    1. Přejděte do nabídky Konfigurovat (Configure) > Profily (Profiles).
    2. Vytvořte samostatný profil pro každý nový cluster. Informace o vytvoření profilu naleznete v článku Vytvoření profilu.
  3. Označení hubu k profilu clusteru:
    1. Na obrazovce Nastavení profilu zařízení (Profile Device Settings) přejděte do nabídky Služby VPN (VPN Services) a zapněte službu Cloudová VPN (Cloud VPN).
    2. Zaškrtněte políčko Povolit připojení větve k hubům (Enable Branch to Hubs).
    3. Klikněte na možnost Upravit huby (Edit Hubs) v části Označení hubů (Hub Designation).
    4. Klikněte na možnost Aktualizovat huby (Update Hubs).
  4. Aktivace funkce „Propojení hubů nebo clusterů (Hub or Cluster Interconnect)“: na obrazovce Nastavení profilu zařízení (Profile Device Settings) přejděte do nabídky Propojení hubů nebo clusterů (Hub or Cluster Interconnect) umístěné v nabídce Služby VPN (VPN Services) a zaškrtněte pole Aktivovat (Enable).
    Poznámka: Konfigurace propojení hubů a clusterů je možné provádět pouze na úrovni profilu.
    Tím se aktivuje funkce a vytvoří se tunelové propojení mezi clustery hubů, které umožní příslušným zařízením Edge paprsku mezi sebou komunikovat.
    Varování: Aktivace nebo deaktivace funkce Propojení hubů nebo clusterů (Hub or Cluster Interconnect) způsobí restart všech zařízení Edge přiřazených k profilu. Proto se doporučuje konfigurovat funkci pouze v režimu údržby, aby se předešlo narušení provozu.

Jak pokračovat dále

  • Přiřazení profilů k zařízením Edge (Assign Profiles to the Edges): přejděte do nabídky Konfigurace (Configure) > Zařízení Edge (Edges) a přiřaďte profily k dostupným zařízením Edge.
  • Události lze monitorovat v části Monitorovat (Monitor) > Události (Events). V následující tabulce jsou uvedeny nové události nástroje Orchestrator přidané pro funkci Propojení hubu nebo clusteru Interconnect (Hub or Cluster Interconnect):
    Událost Úroveň Popis
    CLUSTER_IC_ENABLED Informace Tato událost se vygeneruje vždy, když je zařízení Edge přidruženo ke clusterové službě.
    CLUSTER_IC_DISABLED Informace Tato událost se vygeneruje vždy, když je zařízení Edge odděleno od clusterové služby.
    CLUSTER_IC_PEER_UP Upozornění Tato událost se vygeneruje při každém spuštění prvního tunelového propojení mezi dvěma uzly hubu clusteru.
    CLUSTER_IC_PEER_DOWN Upozornění Tato událost se vygeneruje při každém přerušení posledního tunelového propojení mezi dvěma uzly hubu clusteru.
    CLUSTER_IC_TUNNEL_UP Upozornění Tato událost se vygeneruje při každém spuštění propojených tunelových propojení mezi clustery.
    CLUSTER_IC_TUNNEL_DOWN Upozornění Tato událost se vygeneruje vždy, když tunelová propojení mezi clustery spadnou.
    HUB_CLUSTER_REBALANCE Upozornění Tato událost se vygeneruje při každém spuštění akce vyrovnání clusterů.
Poznámka:
  1. Po aktivaci funkce Propojení hubu nebo clusteru Interconnect (Hub or Cluster Interconnect) spustí odebrání nebo přidání člena clusteru v nabídce Síťové služby (Network Services) restart služby v konkrétním zařízení Edge. Doporučuje se podobné akce provádět během údržby.
  2. Pokud je paprsek připojen k primárnímu a sekundárnímu clusteru hubů a naučí se tentýž směr z obou, pořadí směrů vychází z atributů BGP. Pokud jsou atributy směrování stejné, třídění směrů probíhá podle konfigurace pořadí hubu VPN. Naopak podsítě paprsku se redistribuují primárním a sekundárním hubem nebo clusterem hubu k sousedovi s metrikou (MED) 33 resp. 34. Pro symetrické směrování je nutné v sousedním směrovači nakonfigurovat hodnotu „bgp always-compare-med“.
  3. Když jsou hub nebo clustery hubu připojeny k jádru MPLS prostřednictvím CE, je nutné v těchto sousedních zařízeních BGP nakonfigurovat značku UPLINK.
  4. V síti nastavené s paprskem, primárním centrem Hub a sekundárním centrem Hub se spuštěním toku za paprskem vytvoří místní tok na paprsku, který je poté směrován primárním centrem Hub. Pokud primární centrum Hub spadne do stavu mimo provoz, směr místního toku se aktualizuje na sekundární centrum Hub. Vzhledem k tomu, že je směr u každého paketu kontrolován na místní toky, když se primární centrum Hub znovu aktivuje, je směr odpovídajícím způsobem aktualizován. Chování je však odlišné, pokud je tok tokem druhé strany. V tomto případě, pokud primární centrum Hub spadne do stavu mimo provoz, tok druhé strany je směrován přes sekundární centrum Hub, ale když se primární centrum Hub znovu spustí, směr druhé strany se neaktualizuje. Důvodem je, že tok druhé strany spoléhá na aktualizace partnerského zařízení, což je očekávané chování. Náhradním řešením je vyprázdnit ovlivněné toky.