Le déroutement conditionnel (CBH) est une fonctionnalité conçue pour les déploiements de branches SD-WAN hybrides qui disposent d'au moins une liaison publique et une liaison privée.

Cas d'utilisation 1 : panne de la liaison Internet publique

Lors d'une panne d'une liaison Internet publique sur un dispositif VMware SD-WAN Edge, les tunnels vers VMware SD-WAN Gateway, le service de sécurité cloud (CSS) et le point d'accès direct vers Internet ne sont pas établis. Dans ce scénario, la fonctionnalité de déroutement conditionnel, si elle est activée, utilise la connectivité via des liaisons privées vers des Hubs de liaison désignés, ce qui permet au dispositif SD-WAN Edge de basculer le trafic Internet sur des superpositions privées au Hub et de fournir l'accessibilité à des destinations Internet.

Chaque fois que la liaison Internet publique tombe en panne et que le déroutement conditionnel est activé, le dispositif Edge peut basculer les types de trafic Internet suivants :

  1. Directement vers Internet
  2. Internet via SD-WAN Gateway
  3. Trafic du service de sécurité cloud

Dans des opérations normales, la liaison publique est active et le trafic Internet s'effectue normalement soit directement, soit via SD-WAN Gateway selon les stratégies d'entreprise configurées.

Lorsque la liaison Internet publique tombe en panne ou que le chemin de superposition SD-WAN passe à l'état QUIET (aucun paquet reçu de la passerelle après 7 pulsations), le trafic Internet est dérouté dynamiquement vers le Hub.

La stratégie d'entreprise configurée sur le Hub détermine le mode de transfert de ce trafic lorsqu'il atteint le Hub. Les options sont les suivantes :
  • Directement depuis le Hub (Direct from Hub)
  • Hub vers la passerelle, puis point d'accès depuis la passerelle

Lorsque la liaison Internet publique est rétablie, le CBH tente de retransférer les flux de trafic vers la liaison publique. Pour éviter une liaison instable qui entraîne le bagotement du trafic entre les liaisons publiques et privées, le CBH dispose d'un temporisateur de maintien de 30 secondes par défaut. Une fois que ce temporisateur est atteint, les flux rebasculent vers la liaison Internet publique.

Cas d'utilisation 2 : panne de la liaison du service de sécurité Cloud (CSS)

En cas de panne d'une liaison CSS (Zscaler) sur un dispositif SD-WAN Edge, alors que l'Internet public est toujours actif, les tunnels vers CSS ne sont pas établis et le trafic passe alors dans un trou noir. Dans ce scénario, la fonctionnalité de déroutement conditionnel, si elle est activée, permet à la stratégie d'entreprise d'effectuer un déroutement conditionnel et d'acheminer le trafic vers le Hub.

Le déroutement conditionnel basé sur les stratégies fournit au dispositif SD-WAN Edge la possibilité de basculer le trafic lié à Internet qui utilise la liaison CSS basée sur l'état du tunnel CSS, quel que soit l'état des liens publics.

CBH n'est effectif que dans les cas suivants :
  • Les tunnels CSS tombent en panne dans le profil VPN sur le segment entier.
  • Lorsque le tunnel CSS principal tombe en panne et que le tunnel CSS secondaire est configuré, le trafic Internet ne fait pas l'objet d'un déroutement conditionnel. Au lieu de cela, le trafic passe par le tunnel CSS secondaire.
Lorsque le lien CSS tombe en panne et que la liaison Internet publique est active, le trafic lié à Internet qui utilise la liaison CSS est dérouté dynamiquement vers le Hub, quel que soit l'état du lien public.

Lorsque les tunnels vers le lien CSS sont renvoyés, CBH tente de replacer les flux de trafic dans le fichier CSS, et le trafic ne sera pas soumis à un déroutement conditionnel.

Caractéristiques comportementales du déroutement conditionnel

  • Lorsque le déroutement conditionnel est activé, par défaut, toutes les règles de stratégie d'entreprise au niveau de la branche sont soumises au trafic de basculement via le CBH. Vous pouvez exclure le déroutement conditionnel en fonction de certaines exigences pour les stratégies sélectionnées en désactivant cette fonctionnalité au niveau de la stratégie d'entreprise sélectionnée.
  • Le déroutement conditionnel n'a aucune incidence sur les flux existants déjà reliés à un Hub en cas de panne de la ou des liaisons publiques. Les flux existants continuent à transférer les données à l'aide du même Hub.
  • Si un emplacement de la branche dispose de liaisons publiques de sauvegarde, la liaison publique de sauvegarde est prioritaire sur le CBH. Le CBH se déclenche et utilise la liaison privée uniquement si les liaisons principale et de sauvegarde sont toutes inopérantes.
  • Si une liaison privée fait office de sauvegarde, le trafic bascule vers la liaison privée à l'aide de la fonctionnalité CBH lorsque la liaison publique active tombe en panne et que la liaison de sauvegarde privée devient active.
  • Pour que la fonctionnalité soit opérationnelle, le même nom de réseau privé des Hubs de branches et de liaison conditionnelle doit être attribué à leurs liaisons privées. (Sinon, le tunnel privé ne s'active pas.)

Configuration de déroutement conditionnel

Au niveau du profil, pour configurer le déroutement conditionnel, vous devez activer le VPN cloud, puis établir une connexion VPN entre la branche et les Hubs Instances de SD-WAN Hub en procédant comme suit :
  1. Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles). La page Profils de configuration (Configuration Profiles) s'affiche.
  2. Sélectionnez un profil pour configurer le VPN cloud, puis cliquez sur l'icône sous la colonne Périphérique (Device). La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.
  3. Dans le menu déroulant Configurer le segment (Configure Segment), sélectionnez un segment du profil pour configurer le déroutement conditionnel. Par défaut, Segment global [Normal] (Global Segment [Regular]) est sélectionné.
    Note : La fonctionnalité de déroutement conditionnel prend en charge les segments et doit donc être activée sur chaque segment où elle est censée fonctionner.
  4. Accédez à la zone VPN cloud (Cloud VPN) et activez le VPN cloud en définissant le bouton bascule sur Actif (On).
  5. Pour configurer une branche vers les Hubs Instances de SD-WAN Hub, sous Branche vers Hubs (Branch to Hubs), cochez la case Activer (Enable).
  6. Cliquez sur le lien Sélectionner des Hubs (Select Hubs). La page Gérer les Hubs de VPN de cloud (Manage Cloud VPN Hubs) pour le profil sélectionné s'affiche.

    Dans la zone Hubs, sélectionnez les Hubs devant faire office de Hubs de liaison et déplacez-les vers la zone Hubs de liaison (Backhaul Hubs) à l'aide de la flèche >.

  7. Pour activer le déroutement conditionnel, cochez la case Activer le déroutement conditionnel (Enable Conditional BackHaul).
    Lorsque le déroutement conditionnel est activé, le dispositif SD-WAN Edge peut basculer
    • le trafic lié à Internet (trafic Internet direct, trafic Internet via SD-WAN Gateway et trafic de sécurité Cloud via IPsec) vers les liaisons MPLS lorsqu'aucune liaison Internet publique n'est disponible.
    • Trafic CSS lié à Internet vers le Hub en cas d'échec de la liaison CSS (Zscaler) sur le dispositif SD-WAN Edge, alors que la liaison Internet publique est toujours active.
    Lorsqu'il est activé, le déroutement conditionnel s'applique à toutes les stratégies d'entreprise par défaut. Pour exclure le trafic du déroutement conditionnel selon certaines exigences, vous pouvez le désactiver pour les stratégies sélectionnées afin d'exclure le trafic sélectionné (direct, à chemins multiples et CSS) de ce comportement en cochant la case Désactiver le déroutement conditionnel (Turn off Conditional Backhaul) dans la zone Action de l'écran Configurer la règle (Configure Rule) pour la stratégie d'entreprise sélectionnée. Pour plus d'informations, reportez-vous à la section Configurer le service réseau pour la règle de stratégie d'entreprise.

    Note :
    • Le déroutement conditionnel et l'accessibilité SD-WAN peuvent fonctionner ensemble dans le même dispositif Edge. Le déroutement conditionnel et l'accessibilité SD-WAN prennent en charge le basculement du trafic de la passerelle dans le cloud vers MPLS lorsque l'Internet public est en panne sur le dispositif Edge. Si le déroutement conditionnel est activé, qu'il n'y a pas de chemin à la passerelle, mais qu'il existe un chemin au Hub via MPLS, le trafic de la passerelle et le trafic direct appliquent le déroutement conditionnel. Pour plus d'informations sur l'accessibilité SD-WAN, reportez-vous à la section Accessibilité du service SD-WAN via MPLS.
    • Lorsqu'il existe plusieurs Hubs candidats, le déroutement conditionnel utilise le premier Hub de la liste, sauf si celui-ci a perdu la connectivité à la passerelle.
  8. Cliquez sur Enregistrer les modifications (Save Changes).

Dépannage d'un déroutement conditionnel

Prenons l'exemple d'un utilisateur avec les deux règles de stratégie d'entreprise suivantes créées au niveau de la branche.
Vous pouvez vérifier si les pings constants sur chaque adresse IP de destination sont actifs pour la branche en exécutant la commande Répertorier les flux actifs (List Active Flows) dans la section Diagnostics à distance (Remote Diagnostics).
Si une perte extrême de paquets se produit dans la liaison publique de la branche et si la liaison est en panne, les mêmes flux basculent vers la liaison Internet au niveau de la branche.
Notez que la stratégie d'entreprise sur le Hub détermine le mode de transfert du trafic par le Hub. Comme le Hub ne comporte aucune règle spécifique pour ces flux, ils sont classés comme trafic par défaut. Pour ce scénario, vous pouvez créer une règle de stratégie d'entreprise au niveau du Hub pour faire correspondre les adresses IP ou les plages de sous-réseaux souhaitées afin de définir le mode de gestion des flux à partir d'une branche spécifique au cas où le CBH deviendrait opérationnel.