VMware SASE admite la interconexión de varias instancias de Edge de hub y/o clústeres de hub para aumentar el rango de instancias de Edge de radios que se pueden comunicar entre sí. Esta función permite la comunicación entre las instancias de Edge de radios conectadas a una instancia de Edge de hub o a un clúster de hub, y las instancias de Edge de radios conectadas a otra instancia de Edge de hub o a otro clúster de hub, mediante varias conexiones superpuestas y subyacentes.

Cuando una instancia de Edge de radios intenta conectarse a un clúster de hub, se selecciona uno de los miembros del clúster de hub como hub a la instancia de Edge de radios. Si este hub deja de funcionar, se selecciona automáticamente otro miembro del mismo clúster de hub para prestar servicio a la instancia de Edge de radios, sin ninguna configuración de usuario. Los miembros del clúster de hub se conectan entre sí a través de una red subyacente (BGP) y pueden intercambiar las rutas y los datos mediante esta conexión subyacente. Las instancias de Edge de radios conectadas a diferentes miembros del mismo clúster de hub pueden comunicarse entre sí mediante esta conexión subyacente. Esta solución proporciona una mejor resistencia.

A continuación se muestra la configuración de Orchestrator:
En este caso, para los tres perfiles:
  • La función Hub o Interconexión de clúster (Hub o Cluster Interconnect) debe estar activada.
  • La casilla de verificación Sitio de sucursal a hub (VPN permanente) (Branch to Hub Site (Permanent VPN)) debe estar seleccionada. Los dos nodos de hub interconectados deben configurarse como hubs entre sí, como se explica en la siguiente tabla.
En la siguiente tabla se explica el perfil y la designación de hubs correspondiente:
Perfil Designación de hubs
hub_profile1 hub2
hub_profile2 hub1 y hub3
hub_profile3 hub2
Nota: No es necesario activar la opción VPN de sucursal a sucursal (de tránsito y dinámica) (Branch to Branch VPN (Transit & Dynamic)) en los perfiles de hub. Las sucursales forman parte del perfil de radios con sus hubs correspondientes como Hubs de VPN de sucursal a sucursal (Branch to Branch VPN Hubs).

Cuando se activa la función Hub o Interconexión de clúster (Hub or Cluster Interconnect), los túneles se forman de un clúster a otro clúster con al menos un elemento del mismo nivel en otro clúster. Según la condición, dos miembros de un clúster pueden formar túneles a los mismos miembros de otro clúster. En el caso de una interconexión de hub y clúster de hub individual, todos los miembros del clúster forman túneles a ese hub individual. A continuación, las instancias de Edge de radios finales conectadas a estos clústeres de hub se pueden comunicar entre sí a través de estos dos clústeres de hubs y los saltos intermedios del protocolo de enrutamiento de VMware SD-WAN.

Las rutas dentro del clúster se anuncian con una comunidad extendida de BGP especial, en la que los últimos cuatro bytes del identificador de clúster están integrados en la comunidad extendida. Por ejemplo, si el identificador de clúster es fee2f589-eab6-4738-88f2-8af84b1a3d9c, 4b1a3d9c se revierte y se utiliza para derivar la comunidad del clúster como 9c3d1a4b00000003. En función de esta etiqueta de comunidad, las rutas dentro del clúster se filtran hacia el controlador. Esto evita que se reflejen rutas redundantes de varios miembros del clúster.

En el ejemplo anterior, el clúster 1 (C1) y el clúster 2 (C2) son clústeres de hub, y S1 y S2 son el conjunto de instancias de Edge de radios conectadas a C1 y C2, respectivamente. S1 puede comunicarse con S2 a través de las siguientes conexiones:
  • Conexión de superposición entre S1 y C1.
  • Conexión de superposición entre S2 y C2.
  • Conexión de superposición entre C1 y C2.
  • Conexión subyacente dentro de C1.
  • Conexión subyacente dentro de C2.

De esta manera, los clústeres de hub pueden intercambiar rutas entre sí, lo cual proporciona una forma de que los paquetes fluya entre las instancias de Edge de radios conectadas a diferentes clústeres de hub.

Casos de uso admitidos:
  • Se admite la opción de sucursal a sucursal dinámica entre radios conectadas a dos clústeres diferentes o iguales.
  • Se admite el aislamiento del perfil en el perfil de radios.
  • Se admite una red de retorno de Internet a través del clúster.

Limitaciones:

Cuando se activa la función Hub o Interconexión de clúster (Hub or Cluster Interconnect):
  • No se admite la interconexión de hub o clúster a través de Gateway.
  • No se admite el intercambio de rutas entre los miembros del clúster de hub mediante OSPF.
  • El enrutamiento asimétrico puede producirse cuando dos clústeres están interconectados. Los servicios de firewall mejorados o el firewall con estado no deben activarse, ya que pueden bloquear el tráfico debido al enrutamiento asimétrico.
  • Cuando todos los túneles superpuestos se desactivan entre dos miembros del clúster, se espera que el tráfico se descarte hasta que formen un túnel con otros miembros del clúster del mismo nivel.
  • Si hay más de un enrutador de LAN/WAN que ejecutan BGP con el clúster, la casilla de verificación Origen de confianza (Trusted Source) debe estar seleccionada y el valor de Reenvío de ruta inversa (Reverse Path Forwarding) debe estar No habilitado (Not Enabled) en las interfaces de Edge del clúster que conectan enrutadores BGP. Para obtener más información, consulte Configurar los ajustes de interfaz para instancias de Edge.
  • Sin la función Hub o Interconexión de clúster (Hub o Cluster Interconnect), un perfil de hub de clúster no puede tener otro clúster u otro hub configurado como hub.

Configuración de Hub o Interconexión de clúster (Hub or Cluster Interconnect)

Requisitos previos

  • Asegúrese de actualizar las instancias de Orchestrator, Gateway y hub o los clústeres de hub a la versión 5.4.0.0 o superior.
  • El servicio VPN de nube (Cloud VPN) debe estar activado para el perfil de clúster asociado con los hubs o los clústeres de Edge.
  • La casilla de verificación VPN de sucursal a sucursal (de tránsito y dinámica) (Branch to Branch VPN (transit & dynamic)) no debe seleccionarse en los perfiles de hub de interconexión, como se muestra a continuación.

    Configurar la Designación de hubs (Hubs Designation) en los perfiles de interconexión es suficiente para la comunicación de extremo a extremo con todos los nodos. Puede configurar Sucursal a sucursal (Branch to Branch) a través de hubs para perfiles de radios.

  • La función Hub o Interconexión de clúster (Hub or Cluster Interconnect) debe activarse en todos los perfiles de hub implicados en el proceso de interconexión.
  • Los miembros del clúster deben ejecutar BGP con el enrutador LAN/L3, y el enrutador debe estar configurado para reenviar las comunidades extendidas de BGP.
  • Debe haber al menos una puerta de enlace común para todas las instancias de Edge (radios y hubs) en caso de que se asigne una puerta de enlace de socio. El orden de asignación de puertas de enlace de socio debe ser el mismo en todos los perfiles de hub/clúster.
Nota: La activación de Hub o Interconexión de clúster (Hub or Cluster Interconnect) introduce un cambio fundamental en el protocolo de enrutamiento de VMware SD-WAN, permitiendo que los paquetes atraviese más de un salto de la red. A partir de la versión 5.4.0.0, los saltos de interconexión máximos admitidos son 4. Para conectar más de 4 saltos, póngase en contacto con el soporte técnico de VMware.

Procedimiento

  1. Crear nuevos clústeres:
    1. En el servicio SD-WAN del portal de empresas, vaya a Configurar (Configure) > Servicios de red (Network Services) > Clústeres y hubs (Clusters and Hubs).
    2. Haga clic en Nuevo (New) para crear nuevos clústeres. Para obtener más información, consulte Configurar clústeres y hubs.
    3. Asocie las instancias de Edge disponibles a estos clústeres.
    4. Haga clic en Guardar cambios (Save Changes).
  2. Crear un perfil para cada uno de estos clústeres:
    1. Vaya a Configurar (Configure) > Perfiles (Profiles).
    2. Cree un perfil independiente para cada clúster nuevo. Para obtener más información sobre cómo crear un perfil, consulte Crear perfil.
  3. Diseñar un hub para el perfil de clúster:
    1. En la pantalla Configuración del dispositivo de perfil (Profile Device Settings), acceda a Servicios VPN (VPN Services) y active el servicio VPN de nube (Cloud VPN).
    2. Seleccione la casilla de verificación Habilitar sucursal a hubs (Enable Branch to Hubs).
    3. Haga clic en Editar hubs (Edit Hubs) que se encuentra en Designación de hub (Hub Designation).
    4. Haga clic en Actualizar Hubs (Update Hubs).
  4. Activar la función "Hub o Interconexión de clúster" (Hub or Cluster Interconnect): en la pantalla Configuración del dispositivo de perfil (Profile Device Settings), desplácese hasta Hub o Interconexión de clúster (Hub or Cluster Interconnect), ubicado en Servicios VPN (VPN Services) y, a continuación, seleccione la casilla de verificación Habilitar (Enable).
    Nota: Las configuraciones para la interconexión de hubs y clústeres solo se pueden realizar en el nivel de perfil.
    Esto activa la función y crea un túnel entre los clústeres de hub, lo cual permite que sus respectivas instancias de Edge de radios se comuniquen entre sí.
    Precaución: La activación o desactivación de la función Hub o Interconexión de clúster (Hub or Cluster Interconnect) hace que se reinicien todos los dispositivos Edge asociados con el perfil. Por lo tanto, se recomienda configurar la función solo en modo de mantenimiento, para evitar la interrupción del tráfico.

Qué hacer a continuación

  • Asignar perfiles a las instancias de Edge: desplácese hasta Configurar (Configure) > Instancias de Edge (Edges) para asignar perfiles a las instancias de Edge disponibles.
  • Para supervisar los eventos, desplácese hasta Monitor (Supervisar) > Eventos (Events). En la siguiente tabla, se enumeran los nuevos eventos de Orchestrator agregados para la función Hub o Interconexión de clúster (Hub or Cluster Interconnect):
    Evento Nivel Descripción
    CLUSTER_IC_ENABLED Información Este evento se genera cada vez que se asocia una instancia de Edge con un servicio de clúster.
    CLUSTER_IC_DISABLED Información Este evento se genera cada vez que se desasocia una instancia de Edge de un servicio de clúster.
    CLUSTER_IC_PEER_UP Advertencia Este evento se genera cada vez que se activa el primer túnel de interconexión entre dos nodos de hub del clúster.
    CLUSTER_IC_PEER_DOWN Advertencia Este evento se genera cada vez que se desactiva el último túnel de interconexión entre dos nodos de hub del clúster.
    CLUSTER_IC_TUNNEL_UP Advertencia Este evento se genera cada vez que aparecen túneles de interconexión entre los clústeres.
    CLUSTER_IC_TUNNEL_DOWN Advertencia Este evento se genera cada vez que los túneles de interconexión entre los clústeres se desactivan.
    HUB_CLUSTER_REBALANCE Advertencia Este evento se genera cada vez que se activa una acción de reequilibrio del clúster.
Nota:
  1. Después de activar la función Hub o Interconexión de clúster (Hub or Cluster Interconnect), al eliminar o agregar un miembro del clúster en Servicios de red (Network Services), se activa el reinicio del servicio en esa instancia de Edge en particular. Se recomienda realizar estas acciones durante el período de mantenimiento.
  2. Cuando un radio está conectado al clúster de hub principal y secundario y aprende la misma ruta de ambos, el orden de ruta se basa en atributos BGP. Si los atributos de enrutamiento son los mismos, la ordenación de rutas se realiza en función de la configuración del orden del hub de VPN. Por otro lado, las subredes de radios se redistribuyen mediante el hub principal y secundario o el clúster de hubs a su vecino con las métricas (MED) 33 y 34, respectivamente. Debe configurar "bgp always-compare-med" en el enrutador vecino para el enrutamiento simétrico.
  3. Cuando un hub o clústeres de hub están conectados al núcleo de MPLS a través de CE, se debe configurar la etiqueta UPLINK en esos vecinos de BGP.
  4. En una red configurada con un radio, un hub principal y un hub secundario, el inicio de un flujo desde detrás del radio crea un flujo local en el radio que, a continuación, se enruta a través del hub principal. Si el hub principal deja de funcionar, la ruta del flujo local se actualiza al hub secundario. Dado que en los flujos locales la ruta se comprueba con cada paquete, cuando el hub principal vuelve a estar activo, la ruta se actualizará según corresponda. Sin embargo, el comportamiento es diferente cuando el flujo es un flujo del mismo nivel. En este caso, si el hub principal deja de funcionar, el flujo del mismo nivel se enruta a través del hub secundario, pero cuando el hub principal vuelve a estar activo, la ruta del mismo nivel no se actualiza. Esto se debe a que el flujo del mismo nivel se basa en las actualizaciones del elemento del mismo nivel, que es el comportamiento esperado. La solución alternativa a este problema es vaciar los flujos afectados.