Una red de retorno condicional (Conditional Backhaul, CBH) es una función diseñada para implementaciones de sucursal de SD-WAN híbridas que tienen, al menos, un vínculo privado y uno público. Cada vez que se produce un error en un vínculo de Internet público en una instancia de VMware SD-WAN Edge, no se establecen los túneles para VMware SD-WAN Gateway, el servicio de seguridad de nube (Cloud Security Service, CSS) ni el desglose directo a Internet. En este escenario, la función Red de retorno condicional, si está habilitada, utilizará la conectividad a través de vínculos privados a los hubs de red de retorno designados. Esto proporciona a SD-WAN Edge la capacidad de realizar una conmutación por error en el tráfico enlazado a Internet a través de superposiciones privadas hacia el hub y proporcionar disponibilidad a los destinos de Internet.

Cuando se produce un error en el vínculo de Internet público y se habilita una red de retorno condicional, Edge puede realizar la conmutación por error de los siguientes tipos de tráfico enlazado a Internet:

  1. Directo a Internet
  2. Internet a través de SD-WAN Gateway
  3. Tráfico del servicio de seguridad de nube

Características de comportamiento de una red de retorno condicional

  • Cuando una red de retorno condicional está habilitada, todas las reglas de la directiva empresarial en el nivel de sucursal están sujetas de forma predeterminada al tráfico de conmutación por error a través de CBH. Si deshabilita esta función en el nivel de la directiva empresarial seleccionada, puede excluir el tráfico de una red de retorno condicional en función de ciertos requisitos para las directivas seleccionadas.
  • La red de retorno condicional no afectará a los flujos existentes que ya se están retornando a un hub si los vínculos públicos se desactivan. Los flujos existentes seguirán reenviando datos con el mismo hub.
  • Si una ubicación de sucursal tiene vínculos públicos de copia de seguridad, ese vínculo tendrá prioridad sobre CBH. Solo si los vínculos principal y de copia de seguridad no están operativos, se activará la CBH y se utilizará el vínculo privado.
  • Si un vínculo privado actúa como copia de seguridad, el tráfico se conmutará por error al vínculo privado mediante la función CBH cuando se produce un error en el vínculo público activo y el vínculo de copia de seguridad privado se activa.
  • Para que la función sea operativa, tanto las sucursales como los hubs de red de retorno condicional deben tener el mismo nombre de red privada asignado a sus vínculos privados. (De lo contrario, el túnel privado no aparecerá).

Flujo operativo

En las operaciones normales, el vínculo público está activo (UP) y el tráfico enlazado a Internet fluye normalmente de forma directa o a través de SD-WAN Gateway según las directivas empresariales configuradas.

Cuando el vínculo de Internet público deja de funcionar (DOWN) o la ruta de acceso de superposición de SD-WAN pasa al estado silencioso (QUIET) (no se reciben paquetes de la puerta de enlace después de 7 latidos), el tráfico enlazado a Internet retorna de forma dinámica al hub.

La directiva empresarial configurada en el hub determinará cómo se reenvía este tráfico una vez que llega al hub. Las opciones son las siguientes:
  • Directo del hub
  • Del hub a la puerta de enlace y, a continuación, abandona la puerta de enlace

Cuando el vínculo de Internet público regrese, CBH intentará mover los flujos de regreso al vínculo público. Para evitar un vínculo inestable que provoca que el tráfico se pueda solapar entre los vínculos públicos y privados, CBH tiene un temporizador de interrupción predeterminado de 30 segundos. Una vez alcanzado el temporizador de interrupción, los flujos regresarán al vínculo de Internet público.

.

Configurar una red de retorno condicional

En el nivel del perfil, para configurar una red de retorno condicional, debe habilitar la VPN de nube y, a continuación, establecer la conexión VPN entre sucursales y SD-WAN Hubs mediante los siguientes pasos:
  1. En SD-WAN Orchestrator, vaya a Configurar (Configure) > Perfiles (Profiles). Al realizar esta acción, aparece la página Perfiles de configuración (Configuration Profiles).
  2. Seleccione el perfil en el que desee configurar la red VPN de nube y haga clic en el icono de la columna Dispositivo (Device). Se mostrará la página Configuración del dispositivo (Device Settings) para el perfil seleccionado.
  3. En el menú desplegable Configurar segmento (Configure Segment), seleccione un segmento de perfil para configurar la red de retorno condicional. De forma predeterminada, la opción Segmento global [regular] (Global Segment [Regular]) se encuentra seleccionada.
    Nota: La función Red de retorno condicional reconoce segmentos y, por lo tanto, debe habilitarse en cada segmento en el que esté previsto que funcione.
  4. Vaya al área VPN de nube (Cloud VPN) y habilite la red VPN de nube. Para ello, coloque el botón de alternancia en Activado (On).
  5. Para configurar Sucursal a SD-WAN Hubs, en Sucursal a hubs (Branch to Hubs), seleccione la casilla de verificación Habilitar (Enable).
  6. Haga clic en el vínculo Seleccionar hubs (Select Hubs). Se mostrará la página Administrar hubs de VPN de nube (Manage Cloud VPN Hubs) para el perfil seleccionado.

    En el área Hubs, seleccione los hubs para que actúen como hubs de una red de retorno y muévalos al área Hub de red de retorno (Backhaul Hubs) mediante la flecha >.

  7. Para habilitar una red de retorno condicional, seleccione la casilla de verificación Habilitar red de retorno condicional (Enable Conditional Backhaul).

    Una vez habilitada, Edge podrá realizar una conmutación por error del tráfico de Internet (tráfico de Internet directo, tráfico de Internet a través de SD-WAN Gateway y tráfico de seguridad de nube a través de IPsec) a vínculos de MPLS siempre que no haya vínculos de Internet públicos disponibles. Cuando se habilita una red de retorno condicional, esta se aplica a todas las directivas empresariales de forma predeterminada. Si desea excluir el tráfico de la red de retorno condicional según ciertos requisitos, puede deshabilitar la red de retorno condicional para directivas seleccionadas con el fin de excluir el tráfico de este comportamiento. Para ello, seleccione la casilla de verificación Deshabilitar red de retorno condicional (Disable Conditional Backhaul) en el área Acción (Action) de la pantalla Configurar regla (Configure Rule) correspondiente a la directiva empresarial seleccionada.

    Nota:
    • La accesibilidad de SD-WAN y la red de retorno condicional pueden funcionar juntas en la misma instancia de Edge. Tanto la red de retorno condicional como la accesibilidad de SD-WAN admiten la conmutación por error del tráfico de puerta de enlace de nube a MPLS cuando la red de Internet pública está inactiva en la instancia de Edge. Si se habilita la red de retorno condicional y no existe ninguna ruta a la puerta de enlace, pero existe una ruta al hub a través de MPLS, el tráfico directo y el tráfico de puerta de enlace aplican la red de retorno condicional. Para obtener más información sobre la accesibilidad de SD-WAN, consulte Disponibilidad del servicio SD-WAN a través de MPLS.
    • Cuando existen varios hubs candidatos, la red de retorno condicional usará el primer hub de la lista a menos que este haya perdido conectividad con la puerta de enlace.
  8. Haga clic en Guardar cambios (Save Changes).

Solución de problemas de una red de retorno condicional

Imagine un usuario con las siguientes dos reglas de directiva empresarial creadas en el nivel de sucursal.
Puede comprobar si los constantes pings a cada una de estas direcciones IP de destino están activos para la sucursal. Para ello, ejecute, el comando Enumerar flujos activos (List Active Flows) desde la sección de diagnósticos remotos.
Si se produce una pérdida de paquetes extrema en el vínculo público de la sucursal y el vínculo está inactivo, los mismos flujos se activan en una red de retorno de Internet en la sucursal.
Tenga en cuenta que la directiva empresarial del hub determina el modo en el que el hub reenvía el tráfico. Dado que el hub no tiene ninguna regla específica para estos flujos, se los clasifica como tráfico predeterminado. En este escenario, se puede crear una regla de directiva empresarial en el nivel del hub de modo que coincida con los rangos de direcciones IP o de subred deseados para definir cómo se controlan los flujos de una sucursal específica en caso de que CBH se encuentre en funcionamiento.