Bedingter Backhaul (Conditional Backhaul, CBH) ist eine Funktion, die für die Bereitstellung von Hybrid SD-WAN-Zweigstellen entwickelt wurde, die über mindestens eine öffentliche und eine private Verbindung verfügen.
Anwendungsbeispiel 1: Ausfall der öffentlichen Internetverbindung
Bei einem Ausfall der öffentlichen Internetverbindung auf einem VMware SD-WAN Edge werden keine Tunnel zu VMware SD-WAN Gateway, kein Cloud-Security-Service (CSS) und kein direkter Breakout zum Internet eingerichtet. In diesem Szenario nutzt die Funktion „Bedingter Backhaul (Conditional Backhaul)“, wenn sie aktiviert ist, die Konnektivität über private Verbindungen zu bestimmten Backhaul-Hubs. Dadurch erhält der SD-WAN Edge die Möglichkeit, ein Failover des internetgebundenen Datenverkehrs über private Overlays an den Hub durchzuführen und die Erreichbarkeit von Internetzielen zu gewährleisten.
Immer dann, wenn eine öffentliche Internetverbindung ausfällt und „Bedingter Backhaul (Conditional Backhaul)“ aktiviert ist, kann der Edge ein Failover der folgenden internetgebundenen Datenverkehrstypen durchführen:
- Direkt zum Internet
- Internet über SD-WAN Gateway
- Datenverkehr des Cloud-Security-Service
Unter normalen Umständen ist die öffentliche Verbindung verfügbar, und der internetgebundene Datenverkehr fließt normal entweder direkt oder über SD-WAN Gateway gemäß den konfigurierten Einstellungen für Business Policies.
Wenn die öffentliche Internetverbindung ausfällt oder der SD-WAN-Overlay-Pfad in den Ruhezustand (QUIET-Zustand) versetzt wird (vom Gateway werden nach 7 Taktsignalen keine Pakete empfangen), wird der internetgebundene Datenverkehr dynamisch zum Hub zurückgeleitet.
- Direkt vom Hub
- Hub zu Gateway und anschließend Breakout vom Gateway
Wenn die öffentliche Internetverbindung wieder aktiv ist, versucht CBH die Datenverkehrsströme wieder zu der öffentlichen Verbindung zu verschieben. Um zu vermeiden, dass eine instabile Verbindung dazu führt, dass der Datenverkehr zwischen der öffentlichen und der privaten Verbindung ins Stocken gerät, verfügt CBH standardmäßig über einen 30-Sekunden-Holdoff-Timer. Nachdem der Holdoff-Timer erreicht ist, erfolgt ein Failback der Flows zu der öffentlichen Internetverbindung.
Anwendungsbeispiel 2: Ausfall der Verbindung mit dem Cloud-Security-Service (CSS)
Immer dann, wenn eine CSS-Verbindung (Zscaler) auf einem SD-WAN Edge ausfällt, während das öffentliche Internet noch aktiv ist, werden keine Tunnel zu CSS aufgebaut, und der Datenverkehr wird blockiert. In diesem Szenario ermöglicht die Funktion „Bedingter Backhaul (Conditional Backhaul)“, sofern sie aktiviert ist, gemäß der Business Policy die Ausführung eines bedingten Backhauls und Weiterleitung des Datenverkehrs an den Hub.
Der richtlinienbasierte bedingte Backhaul bietet dem SD-WAN Edge die Möglichkeit, ein Failover des internetgebundenen Datenverkehrs, der die CSS-Verbindung nutzt, basierend auf dem Status des CSS-Tunnels, unabhängig vom Status der öffentlichen Verbindungen, durchzuführen.
- CSS-Tunnel auf allen Segmenten im VPN-Profil ausfallen.
- Während der primäre CSS-Tunnel ausfällt und wenn der sekundäre CSS-Tunnel konfiguriert ist, erfolgt für den Internetdatenverkehr kein bedingter Backhaul, sondern der Datenverkehr wird über den sekundären CSS-Tunnel geleitet.
Wenn die Verbindung zwischen den Tunneln und dem CSS wiederhergestellt ist, wird CBH versuchen, die Datenverkehrsströme wieder zum CSS zu verlagern, und für den Datenverkehr wird kein bedingter Backhaul durchgeführt.
Verhaltenseigenschaften des bedingten Backhauls
- Wenn die Funktion „Bedingter Backhaul (Conditional Backhaul)“ aktiviert ist, unterliegen standardmäßig alle Business Policy-Regeln auf der Zweigstellenebene dem Failover des Datenverkehrs über CBH. Sie können den Datenverkehr vom bedingten Backhaul basierend auf bestimmten Anforderungen für ausgewählte Richtlinien ausschließen, indem Sie diese Funktionen auf der ausgewählten Business Policy-Ebene deaktivieren.
- Der bedingte Backhaul wirkt sich nicht auf vorhandene Flows aus, die bereits im Hintergrund auf einen Hub zurückgeleitet werden, wenn die öffentliche Verbindung ausfällt bzw. die öffentlichen Verbindungen ausfallen. Die vorhandenen Flows leiten weiterhin Daten über denselben Hub weiter.
- Wenn ein Zweigstellenstandort über Backups öffentlicher Verbindungen verfügt, hat das Backup der öffentlichen Verbindung Vorrang vor CBH. Nur wenn alle primären und Backup-Verbindungen nicht funktionsfähig sind, wird der CBH ausgelöst und die private Verbindung verwendet.
- Wenn eine private Verbindung als Backup fungiert, wird mithilfe der CBH-Funktion ein Failover des Datenverkehr zu der privaten Verbindung durchgeführt, wenn die aktive öffentliche Verbindung ausfällt und die private Backup-Verbindung aktiv wird.
- Damit die Funktion korrekt arbeitet, müssen sowohl Zweigstellen als auch CBH-Hubs (Conditional Backhaul, bedingter Backhaul) den gleichen privaten Netzwerknamen für ihre privaten Verbindungen haben. (Andernfalls wird der Tunnel „Privat“ nicht aktiviert.)
Konfigurieren von bedingtem Backhaul
- Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu .
- Wählen Sie ein Profil aus oder klicken Sie auf den Link Anzeigen (View) in der Spalte Gerät (Device). Die Einstellungsseite Gerät (Device) wird für das ausgewählte Profil angezeigt.
- Wählen Sie im Dropdown-Menü Segment ein Profilsegment aus, um den bedingten Backhaul zu konfigurieren. Standardmäßig ist Globales Segment [Normal] (Global Segment [Regular]) ausgewählt.
Hinweis: Die Funktion „Bedingter Backhaul (Conditional Backhaul)“ ist segmentfähig und muss daher in jedem Segment aktiviert werden, in dem sie funktionieren soll.
- Navigieren Sie zum Bereich VPN-Dienste (VPN Services) und aktivieren Sie Cloud-VPN (Cloud VPN), indem Sie die Umschaltfläche auf Ein (On) festlegen.
- Aktivieren Sie das Kontrollkästchen „Zweigstelle-zu-Hub“ aktivieren (Enable Branch to Hubs).
- Klicken Sie auf den Link Hubs bearbeiten (Edit Hubs). Die Seite Hubs hinzufügen (Add Hubs) wird für das ausgewählte Profil angezeigt.
Wählen Sie im Bereich Hubs die Hubs aus, die als Backhaul-Hubs fungieren sollen, und verschieben Sie sie mit der Pfeilschaltfläche > in den Bereich Backhaul-Hubs (Backhaul Hubs).
- Zum Aktivieren von bedingtem Backhaul aktivieren Sie das Kontrollkästchen Bedingten Backhaul aktivieren (Enable Conditional Backhaul).
Wenn der bedingte Backhaul aktiviert ist, kann der SD-WAN Edge ein Failover durchführen:
- Internetgebundener Datenverkehr (direkter Internetdatenverkehr, Internet über SD-WAN Gateway und Datenverkehr für Cloud-Sicherheit über IPsec) zu MPLS-Verbindungen, wenn keine öffentlichen Internetverbindungen verfügbar sind.
- Internetgebundener CSS-Datenverkehr zum Hub, immer dann, wenn eine CSS-Verbindung (Zscaler) auf dem SD-WAN Edge ausgefallen ist, während die öffentliche Internetverbindung weiterhin aktiv ist.
Hinweis:- Der bedingte Backhaul und die SD-WAN-Erreichbarkeit können in demselben Edge zusammenarbeiten. Sowohl der bedingte Backhaul als auch die SD-WAN-Erreichbarkeit unterstützen das Failover von Cloud-gebundenem Gateway-Datenverkehr zu MPLS, wenn das öffentliche Internet auf dem Edge ausgefallen ist. Wenn der bedingte Backhaul aktiviert ist und es keinen Pfad zum Gateway und einen Pfad zum Hub über MPLS gibt, gilt der bedingte Backhaul sowohl für den direkten als auch für den Gateway-gebundenen Datenverkehr. Weitere Informationen zur Erreichbarkeit von SD-WAN finden Sie unter Erreichbarkeit des SD-WAN-Diensts über MPLS.
- Wenn mehrere Kandidaten-Hubs vorhanden sind, verwendet der bedingte Backhaul den ersten Hub in der Liste, es sei denn, die Verbindung zwischen Hub und Gateway ist unterbrochen.
- Klicken Sie auf Änderungen speichern (Save Changes).
Fehlerbehebung bei bedingtem Backhaul
Angenommen, ein Benutzer hat zwei Business Policy-Regeln auf Zweigstellenebene erstellt. Sie können überprüfen, ob die konstanten Pings an jede dieser Ziel-IP-Adressen für die Zweigstelle aktiv sind, indem Sie im Abschnitt Remote-Diagnose (Remote Diagnostics) den Befehl Aktive Flows auflisten (List Active Flows) ausführen.
Weitere Informationen finden Sie im Abschnitt Remote-Diagnosetests auf Edges im VMware SD-WAN-Handbuch zur Fehlerbehebung, das unter https://docs.vmware.com/de/VMware-SD-WAN/index.html veröffentlicht wurde.