Bedingter Backhaul (Conditional Backhaul, CBH) ist eine Funktion, die für die Bereitstellung Hybrid SD-WAN-Zweigstellen entwickelt wurde, die über mindestens eine öffentliche und eine private Verbindung verfügen.

Anwendungsbeispiel 1: Ausfall der öffentlichen Internetverbindung

Bei einem Ausfall der öffentlichen Internetverbindung auf einem VMware SD-WAN Edge werden keine Tunnel zu VMware SD-WAN Gateway, kein Cloud-Sicherheitsdienst (Cloud Security Service, CSS) und kein direkter Breakout zum Internet eingerichtet. In diesem Szenario nutzt die Funktion „Bedingter Backhaul“, wenn sie aktiviert ist, die Konnektivität über private Verbindungen zu bestimmten Backhaul-Hubs. Dadurch erhält der SD-WAN Edge die Möglichkeit, ein Failover des internetgebundenen Datenverkehrs über private Overlays an den Hub durchzuführen und die Erreichbarkeit von Internetzielen zu gewährleisten.

Immer dann, wenn eine öffentliche Internetverbindung ausfällt und der bedingte Backhaul aktiviert ist, kann der Edge ein Failover der folgenden internetgebundenen Datenverkehrstypen durchführen:

  1. Direkt zum Internet
  2. Internet über SD-WAN Gateway
  3. Datenverkehr des Cloud-Sicherheitsdiensts

Unter normalen Umständen ist die öffentliche Verbindung verfügbar, und der internetgebundene Datenverkehr fließt normal entweder direkt oder über SD-WAN Gateway gemäß den konfigurierten Unternehmensrichtlinieneinstellungen.

Wenn die öffentliche Internetverbindung ausfällt oder der SD-WAN-Overlay-Pfad in den Ruhezustand (QUIET-Zustand) versetzt wird (vom Gateway werden nach 7 Taktsignalen keine Pakete empfangen), wird der internetgebundene Datenverkehr dynamisch zum Hub zurückgeleitet.

Die auf dem Hub konfigurierte Unternehmensrichtlinie bestimmt, wie dieser Datenverkehr weitergeleitet wird, sobald er den Hub erreicht. Es gibt folgende Optionen:
  • Direkt vom Hub
  • Hub zu Gateway und anschließend Breakout vom Gateway

Wenn die öffentliche Internetverbindung wieder aktiv ist, versucht CBH die Datenverkehrsströme wieder zu der öffentlichen Verbindung zu verschieben. Um zu vermeiden, dass eine instabile Verbindung dazu führt, dass der Datenverkehr zwischen der öffentlichen und der privaten Verbindung ins Stocken gerät, verfügt CBH standardmäßig über einen 30-Sekunden-Holdoff-Timer. Nachdem der Holdoff-Timer erreicht ist, erfolgt ein Failback der Flows zu der öffentlichen Internetverbindung.

Anwendungsbeispiel 2: Ausfall der Verbindung mit dem Cloud-Sicherheitsdienst (Cloud Security Service, CSS)

Immer dann, wenn eine CSS-Verbindung (Zscaler) auf einem SD-WAN Edge ausfällt, während das öffentliche Internet noch aktiv ist, werden keine Tunnel zu CSS aufgebaut, und der Datenverkehr wird blockiert. In diesem Szenario ermöglicht die Funktion „Bedingter Backhaul“, sofern sie aktiviert ist, gemäß der Unternehmensrichtlinie die Ausführung eines bedingten Backhauls und Weiterleitung des Datenverkehrs an den Hub.

Der richtlinienbasierte bedingte Backhaul bietet dem SD-WAN Edge die Möglichkeit, ein Failover des internetgebundenen Datenverkehrs, der die CSS-Verbindung nutzt, basierend auf dem Status des CSS-Tunnels, unabhängig vom Status der öffentlichen Verbindungen, durchzuführen.

Bedingter Backhaul (Conditional Backhaul, CBH) wird nur wirksam, wenn:
  • CSS-Tunnel auf allen Segmenten im VPN-Profil ausfallen.
  • Während der primäre CSS-Tunnel ausfällt und wenn der sekundäre CSS-Tunnel konfiguriert ist, erfolgt für den Internetdatenverkehr kein bedingter Backhaul, sondern der Datenverkehr wird über den sekundären CSS-Tunnel geleitet.
Wenn die CSS-Verbindung ausfällt und die öffentliche Internetverbindung aktiv ist, wird der internetgebundene Datenverkehr, der die CSS-Verbindung nutzt, unabhängig vom Status der öffentlichen Verbindung dynamisch zum Hub zurückgeleitet.

Wenn die Verbindung zwischen den Tunneln und dem CSS wiederhergestellt ist, wird CBH versuchen, die Datenverkehrsströme wieder zum CSS zu verlagern, und für den Datenverkehr wird kein bedingter Backhaul durchgeführt.

Verhaltenseigenschaften des bedingten Backhauls

  • Wenn die Funktion „Bedingter Backhaul“ aktiviert ist, unterliegen standardmäßig alle Unternehmensrichtlinienregeln auf der Zweigstellenebene dem Failover des Datenverkehrs über CBH. Sie können den Datenverkehr vom bedingten Backhaul basierend auf bestimmten Anforderungen für ausgewählte Richtlinien ausschließen, indem Sie diese Funktionen auf der ausgewählten Unternehmensrichtlinienebene deaktivieren.
  • Der bedingte Backhaul wirkt sich nicht auf vorhandene Flows aus, die bereits im Hintergrund auf einen Hub zurückgeleitet werden, wenn die öffentliche Verbindung ausfällt bzw. die öffentlichen Verbindungen ausfallen. Die vorhandenen Flows leiten weiterhin Daten über denselben Hub weiter.
  • Wenn ein Zweigstellenstandort über Backups öffentlicher Verbindungen verfügt, hat das Backup der öffentlichen Verbindung Vorrang vor CBH. Nur wenn alle primären und Backup-Verbindungen nicht funktionsfähig sind, wird der CBH ausgelöst und die private Verbindung verwendet.
  • Wenn eine private Verbindung als Backup fungiert, wird mithilfe der CBH-Funktion ein Failover des Datenverkehr zu der privaten Verbindung durchgeführt, wenn die aktive private Verbindung ausfällt und die private Backup-Verbindung aktiv wird.
  • Damit die Funktion korrekt arbeitet, müssen sowohl Zweigstellen als auch CBH-Hubs (Conditional Backhaul, bedingter Backhaul) den gleichen privaten Netzwerknamen für ihre privaten Verbindungen haben. (Andernfalls wird der Tunnel „Privat“ nicht aktiviert.)

Konfigurieren von bedingtem Backhaul

Um einen bedingten Backhaul zu konfigurieren, sollten Sie auf der Profilebene Cloud-VPN aktivieren und dann eine VPN-Verbindung zwischen Zweigstelle und SD-WAN Hubs herstellen, indem Sie die folgenden Schritte ausführen:
  1. Navigieren Sie in SD-WAN Orchestrator zu Konfigurieren (Configure) > Profile (Profiles). Die Seite Konfigurationsprofile (Configuration Profiles) wird angezeigt.
  2. Wählen Sie ein Profil aus, in dem Sie Cloud-VPN konfigurieren möchten, und klicken Sie auf das Symbol unter der Spalte „Gerät (Device)“. Die Seite „Geräteeinstellungen (Device Settings)“ wird für das ausgewählte Profil angezeigt.
  3. Wählen Sie im Dropdown-Menü Segment konfigurieren (Configure Segment) ein Profilsegment aus, um den bedingten Backhaul zu konfigurieren. Standardmäßig ist Globales Segment [Normal] (Global Segment [Regular]) ausgewählt.
    Hinweis: Die Funktion „Bedingter Backhaul“ ist segmentfähig und muss daher in jedem Segment aktiviert werden, in dem sie funktionieren soll.
  4. Navigieren Sie zum Bereich Cloud-VPN (Cloud VPN) und aktivieren Sie Cloud-VPN, indem Sie die Umschaltfläche auf Ein (On) festlegen.
  5. Aktivieren Sie zum Konfigurieren von Zweigstelle-zu-SD-WAN Hubs unter Zweigstelle-zu-Hubs (Branch to Hubs) das Kontrollkästchen Aktivieren (Enable).
  6. Klicken Sie auf den Link Hubs auswählen (Select Hubs). Die Seite Cloud-VPN-Hubs verwalten (Manage Cloud VPN Hubs) wird für das ausgewählte Profil angezeigt.

    Wählen Sie im Bereich Hubs die Hubs aus, die als Backhaul-Hubs fungieren sollen, und verschieben Sie sie mit der Pfeilschaltfläche > in den Bereich Backhaul-Hubs (Backhaul Hubs).

  7. Zum Aktivieren von bedingtem Backhaul aktivieren Sie das Kontrollkästchen Bedingtes Backhaul aktivieren (Enable Conditional BackHaul).
    Bei aktiviertem bedingtem Backhaul kann der SD-WAN Edge folgendes Failover durchführen:
    • Internetgebundener Datenverkehr (direkter Internetdatenverkehr, Internet über SD-WAN Gateway und Datenverkehr für Cloud-Sicherheit über IPsec) zu MPLS-Verbindungen, wenn keine öffentlichen Internetverbindungen verfügbar sind.
    • Internetgebundener CSS-Datenverkehr zum Hub, immer dann, wenn eine CSS-Verbindung (Zscaler) auf dem SD-WAN Edge ausgefallen ist, während die öffentliche Internetverbindung weiterhin aktiv ist.
    Bedingter Backhaul wird bei Aktivierung standardmäßig für alle Unternehmensrichtlinien angewendet. Wenn Sie Datenverkehr vom bedingten Backhaul basierend auf bestimmten Anforderungen ausschließen möchten, können Sie den bedingten Backhaul für ausgewählte Richtlinien deaktivieren, um ausgewählten Datenverkehr („Direkt“, „Mehrfachpfad“ und „CSS“) von diesem Verhalten auszuschließen. Aktivieren Sie dazu für die ausgewählte Unternehmensrichtlinie das Kontrollkästchen Bedingten Backhaul ausschalten (Turn off Conditional Backhaul) im Bereich Aktion (Action) im Bildschirm Regel konfigurieren (Configure Rule). Weitere Informationen finden Sie unter Konfigurieren des Netzwerkdiensts für die Unternehmensrichtlinienregel.

    Hinweis:
    • Der bedingte Backhaul und die SD-WAN-Erreichbarkeit können in demselben Edge zusammenarbeiten. Sowohl der bedingte Backhaul als auch die SD-WAN-Erreichbarkeit unterstützen das Failover von Cloud-gebundenem Gateway-Datenverkehr zu MPLS, wenn das öffentliche Internet auf dem Edge ausgefallen ist. Wenn der bedingte Backhaul aktiviert ist und es keinen Pfad zum Gateway und einen Pfad zum Hub über MPLS gibt, gilt der bedingte Backhaul sowohl für den direkten als auch für den Gateway-gebundenen Datenverkehr. Weitere Informationen zur Erreichbarkeit von SD-WAN finden Sie unter Erreichbarkeit des SD-WAN-Diensts über MPLS.
    • Wenn mehrere Kandidaten-Hubs vorhanden sind, verwendet der bedingte Backhaul den ersten Hub in der Liste, es sei denn, die Verbindung zwischen Hub und Gateway ist unterbrochen.
  8. Klicken Sie auf Änderungen speichern (Save Changes).

Fehlerbehebung bei bedingtem Backhaul

Angenommen, ein Benutzer hat die folgenden zwei Unternehmensrichtlinienregeln auf Zweigstellenebene erstellt.
Sie können überprüfen, ob die konstanten Pings an jede dieser Ziel-IP-Adressen für die Zweigstelle aktiv sind, indem Sie im Abschnitt „Remote-Diagnose (Remote Diagnostics)“ den Befehl Aktive Flows auflisten (List Active Flows) ausführen.
Falls in der öffentlichen Verbindung der Zweigstelle ein extremer Paketverlust auftritt und die Verbindung unterbrochen ist, wechseln dieselben Flows in der Zweigstelle zu Internet-Backhaul.
Beachten Sie, dass die Unternehmensrichtlinie auf dem Hub bestimmt, wie der Hub den Datenverkehr weiterleitet. Da der Hub keine bestimmte Regel für diese Flows aufweist, werden sie als Standarddatenverkehr kategorisiert. In diesem Szenario kann eine Unternehmensrichtlinienregel auf der Hub-Ebene erstellt werden, die den gewünschten IPs oder Subnetzbereichen entspricht, um festzulegen, wie Flows von einer bestimmten Zweigstelle gehandhabt werden, falls CBH einsatzbereit wird.