Le backhaul conditionnel (CBH) est une fonctionnalité conçue pour les déploiements de sites distants SD-WAN hybrides qui disposent d'au moins une liaison publique et une liaison privée.
Cas d'utilisation 1 : panne de la liaison Internet publique
Lors d'une panne d'une liaison Internet publique sur un dispositif VMware SD-WAN Edge, les tunnels vers VMware SD-WAN Gateway, le service de sécurité cloud (CSS) et le point d'accès direct vers Internet ne sont pas établis. Dans ce scénario, la fonctionnalité de backhaul conditionnel, si elle est activée, utilise la connectivité via des liaisons privées vers des Hubs de backhaul désignés, ce qui permet au dispositif SD-WAN Edge de basculer le trafic Internet sur des superpositions privées au Hub et de fournir l'accessibilité à des destinations Internet.
Chaque fois que la liaison Internet publique tombe en panne et que le backhaul conditionnel est activé, le dispositif Edge peut basculer les types de trafic Internet suivants :
- Directement vers Internet
- Internet via SD-WAN Gateway
- Trafic du service de sécurité cloud
Dans des opérations normales, la liaison publique est active et le trafic Internet s'effectue normalement soit directement, soit via SD-WAN Gateway selon les business policies configurées.
Lorsque la liaison Internet publique tombe en panne ou que le chemin de superposition SD-WAN passe à l'état QUIET (aucun paquet reçu de la passerelle après 7 pulsations), le trafic Internet est dérouté dynamiquement vers le Hub.
- Directement depuis le Hub (Direct from Hub)
- Hub vers la passerelle, puis point d'accès depuis la passerelle
Lorsque la liaison Internet publique est rétablie, le CBH tente de retransférer les flux de trafic vers la liaison publique. Pour éviter une liaison instable qui entraîne le bagotement du trafic entre les liaisons publiques et privées, le CBH dispose d'un temporisateur de maintien de 30 secondes par défaut. Une fois que ce temporisateur est atteint, les flux rebasculent vers la liaison Internet publique.
Cas d'utilisation 2 : panne de la liaison du service de sécurité Cloud (CSS)
En cas de panne d'une liaison CSS (Zscaler) sur un dispositif SD-WAN Edge, alors que l'Internet public est toujours actif, les tunnels vers CSS ne sont pas établis et le trafic passe alors dans un trou noir. Dans ce scénario, la fonctionnalité de backhaul conditionnel, si elle est activée, permet à la business policy d'effectuer un backhaul conditionnel et de router le trafic vers le Hub.
Le backhaul conditionnel basé sur les stratégies fournit au dispositif SD-WAN Edge la possibilité de basculer le trafic lié à Internet qui utilise la liaison CSS basée sur l'état du tunnel CSS, quel que soit l'état des liens publics.
- Les tunnels CSS tombent en panne dans le profil VPN sur le segment entier.
- Lorsque le tunnel CSS principal tombe en panne et que le tunnel CSS secondaire est configuré, le trafic Internet ne fait pas l'objet d'un backhaul conditionnel. Au lieu de cela, le trafic passe par le tunnel CSS secondaire.
Lorsque les tunnels vers le lien CSS sont renvoyés, CBH tente de replacer les flux de trafic dans le fichier CSS, et le trafic ne sera pas soumis à un backhaul conditionnel.
Caractéristiques comportementales du backhaul conditionnel
- Lorsque le backhaul conditionnel est activé, par défaut, toutes les règles de Business Policy au niveau du site distant sont soumises au trafic de basculement via le CBH. Vous pouvez exclure le backhaul conditionnel en fonction de certaines exigences pour les stratégies sélectionnées en désactivant cette fonctionnalité au niveau de la business policy sélectionnée.
- Le backhaul conditionnel n'a aucune incidence sur les flux existants déjà reliés à un Hub en cas de panne de la ou des liaisons publiques. Les flux existants continuent à transférer les données à l'aide du même Hub.
- Si un emplacement du site distant dispose de liaisons publiques de sauvegarde, la liaison publique de sauvegarde est prioritaire sur le CBH. Le CBH se déclenche et utilise la liaison privée uniquement si les liaisons principale et de sauvegarde sont toutes inopérantes.
- Si une liaison privée fait office de sauvegarde, le trafic bascule vers la liaison privée à l'aide de la fonctionnalité CBH lorsque la liaison publique active tombe en panne et que la liaison de sauvegarde privée devient active.
- Pour que la fonctionnalité soit opérationnelle, le même nom de réseau privé des Hubs de sites distants et de backhaul conditionnel doit être attribué à leurs liaisons privées. (Sinon, le tunnel privé ne s'active pas.)
Configuration de backhaul conditionnel
- Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles). La page Profils de configuration (Configuration Profiles) s'affiche.
- Sélectionnez un profil pour configurer le VPN cloud, puis cliquez sur l'icône sous la colonne Périphérique (Device). La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.
- Dans le menu déroulant Configurer le segment (Configure Segment), sélectionnez un segment du profil pour configurer le backhaul conditionnel. Par défaut, Segment global [Normal] (Global Segment [Regular]) est sélectionné.
Note : La fonctionnalité de backhaul conditionnel prend en charge les segments et doit donc être activée sur chaque segment où elle est censée fonctionner.
- Accédez à la zone VPN cloud (Cloud VPN) et activez le VPN cloud en définissant le bouton bascule sur Actif (On).
- Pour configurer un site distant vers les Hubs Instances de SD-WAN Hub, sous Site distant vers Hubs (Branch to Hubs), cochez la case Activer (Enable).
- Cliquez sur le lien Sélectionner des Hubs (Select Hubs). La page Gérer les Hubs VPN cloud (Manage Cloud VPN Hubs) pour le profil sélectionné s'affiche.
Dans la zone Hubs, sélectionnez les Hubs devant faire office de Hubs de backhaul et déplacez-les vers la zone Hubs de backhaul (Backhaul Hubs) à l'aide de la flèche >.
- Pour activer le backhaul conditionnel, cochez la case Activer le backhaul conditionnel (Enable Conditional BackHaul).
Lorsque le backhaul conditionnel est activé, le dispositif SD-WAN Edge peut basculer
- le trafic lié à Internet (trafic Internet direct, trafic Internet via SD-WAN Gateway et trafic de sécurité Cloud via IPsec) vers les liaisons MPLS lorsqu'aucune liaison Internet publique n'est disponible.
- Trafic CSS lié à Internet vers le Hub en cas d'échec de la liaison CSS (Zscaler) sur le dispositif SD-WAN Edge, alors que la liaison Internet publique est toujours active.
Note :- Le backhaul conditionnel et l'accessibilité SD-WAN peuvent fonctionner ensemble dans le même dispositif Edge. Le backhaul conditionnel et l'accessibilité SD-WAN prennent en charge le basculement du trafic de la passerelle dans le cloud vers MPLS lorsque l'Internet public est en panne sur le dispositif Edge. Si le backhaul conditionnel est activé, qu'il n'y a pas de chemin à la passerelle, mais qu'il existe un chemin au Hub via MPLS, le trafic de la passerelle et le trafic direct appliquent le backhaul conditionnel. Pour plus d'informations sur l'accessibilité SD-WAN, reportez-vous à la section Accessibilité du service SD-WAN via MPLS.
- Lorsqu'il existe plusieurs Hubs candidats, le backhaul conditionnel utilise le premier Hub de la liste, sauf si celui-ci a perdu la connectivité à la passerelle.
- Cliquez sur Enregistrer les modifications (Save Changes).