Una red de retorno condicional (Conditional Backhaul, CBH) es una función diseñada para implementaciones de sucursal de SD-WAN híbridas que tienen, al menos, un vínculo privado y uno público.

Caso práctico 1: error de vínculo de Internet público

Cada vez que se produce un error en un vínculo de Internet público en una instancia de VMware SD-WAN Edge, no se establecen los túneles para VMware SD-WAN Gateway, el servicio de seguridad de nube (Cloud Security Service, CSS) ni el desglose directo a Internet. En este escenario, la función Red de retorno condicional, si está activada, utilizará la conectividad a través de vínculos privados a los hubs de red de retorno designados. Esto proporciona a SD-WAN Edge la capacidad de realizar una conmutación por error en el tráfico enlazado a Internet a través de superposiciones privadas hacia el hub y proporcionar disponibilidad a los destinos de Internet.

Cuando se produce un error en el vínculo de Internet público y se activa una red de retorno condicional, Edge puede realizar la conmutación por error de los siguientes tipos de tráfico enlazado a Internet:

  1. Directo a Internet
  2. Internet a través de SD-WAN Gateway
  3. Tráfico del servicio de seguridad de nube

En las operaciones normales, el vínculo público está activo (UP) y el tráfico enlazado a Internet fluye normalmente de forma directa o a través de SD-WAN Gateway según las directivas empresariales configuradas.

Cuando el vínculo de Internet público deja de funcionar (DOWN) o la ruta de acceso de superposición de SD-WAN pasa al estado silencioso (QUIET) (no se reciben paquetes de la puerta de enlace después de 7 latidos), el tráfico enlazado a Internet retorna de forma dinámica al hub.

La directiva empresarial configurada en el hub determinará cómo se reenvía este tráfico una vez que llega al hub. Las opciones son las siguientes:
  • Directo del hub
  • Del hub a la puerta de enlace y, a continuación, abandona la puerta de enlace

Cuando el vínculo de Internet público regrese, CBH intentará mover los flujos de tráfico de regreso al vínculo público. Para evitar un vínculo inestable que provoca que el tráfico se pueda solapar entre los vínculos públicos y privados, CBH tiene un temporizador de interrupción predeterminado de 30 segundos. Una vez alcanzado el temporizador de interrupción, los flujos regresarán al vínculo de Internet público.

Caso práctico 2: error en el vínculo del servicio de seguridad de nube (CSS)

Cada vez que se produce un error en el vínculo CSS (Zscaler) en SD-WAN Edge, mientras la red de Internet pública sigue activa, los túneles a CSS no se establecen y esto provoca que el tráfico entre en un agujero negro. En este escenario, la función de red de retorno condicional, si está activada, permitirá a la directiva empresarial realizar una red de retorno condicional y enrutar el tráfico al hub.

La red de retorno condicional basada en directivas proporciona a SD-WAN Edge la capacidad de realizar una conmutación por error en el tráfico enlazado a Internet que utiliza el vínculo de CSS en función del estado del túnel de CSS, independientemente del estado de los vínculos públicos.

CBH solo se aplicará si:
  • Los túneles de CSS de todo el segmento se desactivan en el perfil de VPN.
  • Mientras el túnel de CSS principal esté desactivado, y si se configura un túnel CSS secundario, el tráfico de Internet no pasará por la red de retorno condicional, sino por el túnel CSS secundario.
Cuando el vínculo de CSS se desactiva y el vínculo de Internet público está activo, el tráfico enlazado a Internet que utiliza el vínculo de CSS regresa de forma dinámica al hub, independientemente del estado del vínculo público.

Cuando los túneles al vínculo de CSS regresen, CBH intentará mover los flujos de tráfico de nuevo a CSS y el tráfico no retornará de forma condicional.

Características de comportamiento de una red de retorno condicional

  • Cuando una red de retorno condicional está activada, todas las reglas de la directiva empresarial en el nivel de sucursal están sujetas de forma predeterminada al tráfico de conmutación por error a través de CBH. Si desactiva esta función en el nivel de la directiva empresarial seleccionada, puede excluir el tráfico de una red de retorno condicional en función de ciertos requisitos para las directivas seleccionadas.
  • La red de retorno condicional no afectará a los flujos existentes que ya se están retornando a un hub si los vínculos públicos se desactivan. Los flujos existentes seguirán reenviando datos con el mismo hub.
  • Si una ubicación de sucursal tiene vínculos públicos de copia de seguridad, ese vínculo tendrá prioridad sobre CBH. Solo si los vínculos principal y de copia de seguridad no están operativos, se activará la CBH y se utilizará el vínculo privado.
  • Si un vínculo privado actúa como copia de seguridad, el tráfico se conmutará por error al vínculo privado mediante la función CBH cuando se produce un error en el vínculo público activo y el vínculo de copia de seguridad privado se activa.
  • Para que la función sea operativa, tanto las sucursales como los hubs de red de retorno condicional deben tener el mismo nombre de red privada asignado a sus vínculos privados. (De lo contrario, el túnel privado no aparecerá).

Configurar una red de retorno condicional

En el nivel del perfil, para configurar una red de retorno condicional, debe activar la VPN de nube y, a continuación, establecer la conexión VPN entre sucursales y Instancias de SD-WAN Hub mediante los siguientes pasos:
  1. En SD-WAN Orchestrator, vaya a Configurar (Configure) > Perfiles (Profiles). Al realizar esta acción, aparece la página Perfiles de configuración (Configuration Profiles).
  2. Seleccione el perfil en el que desee configurar la red VPN de nube y haga clic en el icono de la columna Dispositivo (Device). Se mostrará la página Configuración del dispositivo (Device Settings) para el perfil seleccionado.
  3. En el menú desplegable Configurar segmento (Configure Segment), seleccione un segmento de perfil para configurar la red de retorno condicional. De forma predeterminada, la opción Segmento global [regular] (Global Segment [Regular]) se encuentra seleccionada.
    Nota: La función de red de retorno condicional reconoce segmentos y, por lo tanto, debe activarse en cada segmento en el que esté previsto que funcione.
  4. Vaya al área VPN de nube (Cloud VPN) y active la red VPN de nube. Para ello, coloque el botón de alternancia en Activado (On).
  5. Para configurar Sucursal a Instancias de SD-WAN Hub, en Sucursal a hubs (Branch to Hubs), active la casilla de verificación Habilitar (Enable).
  6. Haga clic en el vínculo Seleccionar hubs (Select Hubs). Se mostrará la página Administrar hubs de VPN de nube (Manage Cloud VPN Hubs) para el perfil seleccionado.

    En el área Hubs, seleccione los hubs para que actúen como hubs de una red de retorno y muévalos al área Hubs de red de retorno (Backhaul Hubs) mediante la flecha >.

  7. Para activar una red de retorno condicional, seleccione la casilla de verificación Habilitar red de retorno condicional (Enable Conditional Backhaul).
    Con una red de retorno condicional activada, SD-WAN Edge podrá realizar la conmutación por error de lo siguiente:
    • Tráfico enlazado a Internet (tráfico de Internet directo, Internet a través de SD-WAN Gateway y tráfico de seguridad en la nube a través de IPsec) a los vínculos de MPLS cuando no hay vínculos de Internet públicos disponibles.
    • Tráfico de CSS enlazado a Internet al hub cada vez que se produce un error de vínculo de CSS (Zscaler) en SD-WAN Edge, mientras que el vínculo de Internet público sigue activo.
    Cuando se activa una red de retorno condicional, esta se aplica a todas las directivas empresariales de forma predeterminada. Si desea excluir el tráfico de la red de retorno condicional según ciertos requisitos, puede desactivar la red de retorno condicional para directivas seleccionadas con el fin de excluir el tráfico seleccionado (Directo, Múltiples rutas y CSS) de este comportamiento. Para ello, seleccione la casilla de verificación Desactivar red de retorno condicional (Turn off Conditional Backhaul) en el área Acción (Action) de la pantalla Configurar regla (Configure Rule) correspondiente a la directiva empresarial seleccionada. Para obtener más información, consulte Configurar el servicio de red para la regla de directiva empresarial.

    Nota:
    • La accesibilidad de SD-WAN y la red de retorno condicional pueden funcionar juntas en la misma instancia de Edge. Tanto la red de retorno condicional como la accesibilidad de SD-WAN admiten la conmutación por error del tráfico de puerta de enlace de nube a MPLS cuando la red de Internet pública está inactiva en la instancia de Edge. Si se activa la red de retorno condicional y no existe ninguna ruta a la puerta de enlace, pero existe una ruta al hub a través de MPLS, el tráfico directo y el tráfico de puerta de enlace aplican la red de retorno condicional. Para obtener más información sobre la accesibilidad de SD-WAN, consulte Disponibilidad del servicio SD-WAN a través de MPLS.
    • Cuando existen varios hubs candidatos, la red de retorno condicional usará el primer hub de la lista a menos que este haya perdido conectividad con la puerta de enlace.
  8. Haga clic en Guardar cambios (Save Changes).

Solución de problemas de una red de retorno condicional

Imagine un usuario con las siguientes dos reglas de directiva empresarial creadas en el nivel de sucursal.
Puede comprobar si los constantes pings a cada una de estas direcciones IP de destino están activos para la sucursal. Para ello, ejecute, el comando Enumerar flujos activos (List Active Flows) desde la sección de diagnósticos remotos.
Si se produce una pérdida de paquetes extrema en el vínculo público de la sucursal y el vínculo está inactivo, los mismos flujos se activan en una red de retorno de Internet en la sucursal.
Tenga en cuenta que la directiva empresarial del hub determina el modo en el que el hub reenvía el tráfico. Dado que el hub no tiene ninguna regla específica para estos flujos, se los clasifica como tráfico predeterminado. En este escenario, se puede crear una regla de directiva empresarial en el nivel del hub de modo que coincida con los rangos de direcciones IP o de subred deseados para definir cómo se controlan los flujos de una sucursal específica en caso de que CBH se encuentre en funcionamiento.