Le backhaul conditionnel (CBH) est une fonctionnalité conçue pour les déploiements de sites distants SD-WAN hybrides qui disposent d'au moins une liaison publique et une liaison privée.

Cas d'utilisation 1 : panne de la liaison Internet publique

Lors d'une panne d'une liaison Internet publique sur un dispositif VMware SD-WAN Edge, les tunnels vers VMware SD-WAN Gateway, le service de sécurité cloud (CSS) et le point d'accès direct vers Internet ne sont pas établis. Dans ce scénario, la fonctionnalité de backhaul conditionnel, si elle est activée, utilise la connectivité via des liens privés vers des Hubs de backhaul désignés, ce qui permet au dispositif SD-WAN Edge de basculer le trafic Internet sur des overlays privés vers le Hub et de fournir l'accessibilité à des destinations Internet.

Chaque fois que le lien Internet public tombe en panne et que le backhaul conditionnel est activé, le dispositif Edge peut basculer les types de trafic Internet suivants :

  1. Directement vers Internet
  2. Internet via SD-WAN Gateway
  3. Trafic du service de sécurité cloud

Dans des opérations normales, la liaison publique est active et le trafic Internet s'effectue normalement soit directement, soit via SD-WAN Gateway selon les business policies configurées.

Lorsque la liaison Internet publique tombe en panne ou que le chemin de superposition SD-WAN passe à l'état QUIET (aucun paquet reçu de la passerelle après 7 pulsations), le trafic Internet est dérouté dynamiquement vers le Hub.

La Business Policy configurée sur le Hub détermine le mode de transfert de ce trafic lorsqu'il atteint le Hub. Les options sont les suivantes :
  • Directement depuis le Hub (Direct from Hub)
  • Hub vers la passerelle, puis point d'accès depuis la passerelle

Lorsque la liaison Internet publique est rétablie, le CBH tente de retransférer les flux de trafic vers la liaison publique. Pour éviter une liaison instable qui entraîne le bagotement du trafic entre les liaisons publiques et privées, le CBH dispose d'un temporisateur de maintien de 30 secondes par défaut. Une fois que ce temporisateur est atteint, les flux rebasculent vers la liaison Internet publique.

Cas d'utilisation 2 : panne de la liaison du service de sécurité Cloud (CSS)

En cas de panne d'un lien CSS (Zscaler) sur un dispositif SD-WAN Edge, alors que l'Internet public est toujours actif, les tunnels vers CSS ne sont pas établis. Cela entraîne alors le blocage du trafic. Dans ce scénario, la fonctionnalité de backhaul conditionnel, si elle est activée, permet à la Business Policy d'effectuer un backhaul conditionnel et de router le trafic vers le Hub.

Le backhaul conditionnel basé sur les stratégies fournit au dispositif SD-WAN Edge la possibilité de basculer le trafic lié à Internet qui utilise la liaison CSS basée sur l'état du tunnel CSS, quel que soit l'état des liens publics.

CBH n'est effectif que dans les cas suivants :
  • Les tunnels CSS tombent en panne dans le profil VPN sur le segment entier.
  • Lorsque le tunnel CSS principal tombe en panne et que le tunnel CSS secondaire est configuré, le trafic Internet ne fait pas l'objet d'un backhaul conditionnel. Au lieu de cela, le trafic passe par le tunnel CSS secondaire.
Lorsque le lien CSS tombe en panne et que la liaison Internet publique est active, le trafic lié à Internet qui utilise la liaison CSS est dérouté dynamiquement vers le Hub, quel que soit l'état du lien public.

Lorsque les tunnels vers le lien CSS sont renvoyés, CBH tente de replacer les flux de trafic dans le fichier CSS, et le trafic ne sera pas soumis à un backhaul conditionnel.

Caractéristiques comportementales du backhaul conditionnel

  • Lorsque le backhaul conditionnel est activé, par défaut, toutes les règles de Business Policy au niveau du site distant sont soumises au trafic de basculement via le CBH. Vous pouvez exclure le backhaul conditionnel en fonction de certaines exigences pour les stratégies sélectionnées en désactivant cette fonctionnalité au niveau de la business policy sélectionnée.
  • Le backhaul conditionnel n'a aucune incidence sur les flux existants déjà reliés à un Hub en cas de panne de la ou des liaisons publiques. Les flux existants continuent à transférer les données à l'aide du même Hub.
  • Si un emplacement du site distant dispose de liaisons publiques de sauvegarde, la liaison publique de sauvegarde est prioritaire sur le CBH. Le CBH se déclenche et utilise la liaison privée uniquement si les liaisons principale et de sauvegarde sont toutes inopérantes.
  • Si une liaison privée fait office de sauvegarde, le trafic bascule vers la liaison privée à l'aide de la fonctionnalité CBH lorsque la liaison publique active tombe en panne et que la liaison de sauvegarde privée devient active.
  • Pour que la fonctionnalité soit opérationnelle, le même nom de réseau privé des Hubs de sites distants et de backhaul conditionnel doit être attribué à leurs liaisons privées. (Sinon, le tunnel privé ne s'active pas.)

Configuration de backhaul conditionnel

Au niveau du profil, pour configurer le backhaul conditionnel, vous devez activer le VPN cloud, puis établir une connexion VPN entre le site distant et les Hubs Instances de SD-WAN Hub en procédant comme suit :
  1. Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles). La page Profils de configuration (Configuration Profiles) s'affiche.
  2. Sélectionnez un profil pour configurer le VPN cloud, puis cliquez sur l'icône sous la colonne Périphérique (Device). La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.
  3. Dans le menu déroulant Configurer le segment (Configure Segment), sélectionnez un segment du profil pour configurer le backhaul conditionnel. Par défaut, Segment global [Normal] (Global Segment [Regular]) est sélectionné.
    Note : La fonctionnalité de backhaul conditionnel prend en charge les segments et doit donc être activée sur chaque segment où elle est censée fonctionner.
  4. Accédez à la zone VPN cloud (Cloud VPN) et activez le VPN cloud en définissant le bouton bascule sur Actif (On).
  5. Pour configurer un site distant vers les Hubs Instances de SD-WAN Hub, sous Site distant vers Hubs (Branch to Hubs), cochez la case Activer (Enable).
  6. Cliquez sur le lien Sélectionner des Hubs (Select Hubs). La page Gérer les Hubs VPN cloud (Manage Cloud VPN Hubs) pour le profil sélectionné s'affiche.

    Dans la zone Hubs, sélectionnez les Hubs devant faire office de Hubs de backhaul et déplacez-les vers la zone Hubs de backhaul (Backhaul Hubs) à l'aide de la flèche >.

  7. Pour activer le backhaul conditionnel, cochez la case Activer le backhaul conditionnel (Enable Conditional BackHaul).
    Lorsque le backhaul conditionnel est activé, le dispositif SD-WAN Edge peut basculer :
    • le trafic lié à Internet (trafic Internet direct, trafic Internet via SD-WAN Gateway et trafic de sécurité Cloud via IPsec) vers les liaisons MPLS lorsqu'aucune liaison Internet publique n'est disponible.
    • Trafic CSS lié à Internet vers le Hub en cas d'échec de la liaison CSS (Zscaler) sur le dispositif SD-WAN Edge, alors que la liaison Internet publique est toujours active.
    Lorsqu'il est activé, le backhaul conditionnel s'applique à toutes les Business Policies par défaut. Pour exclure le trafic du backhaul conditionnel selon certaines exigences, vous pouvez le désactiver pour les stratégies sélectionnées afin d'exclure le trafic sélectionné (direct, à chemins multiples et CSS) de ce comportement en cochant la case Désactiver le backhaul conditionnel (Turn off Conditional Backhaul) dans la zone Action de l'écran Configurer la règle (Configure Rule) pour la Business Policy sélectionnée. Pour plus d'informations, reportez-vous à la section Configurer le service réseau pour la règle de Business Policy.

    Note :
    • Le backhaul conditionnel et l'accessibilité SD-WAN peuvent fonctionner ensemble dans le même dispositif Edge. Le backhaul conditionnel et l'accessibilité SD-WAN prennent en charge le basculement du trafic de la passerelle dans le cloud vers MPLS lorsque l'Internet public est en panne sur le dispositif Edge. Si le backhaul conditionnel est activé, qu'il n'y a pas de chemin d'accès à la passerelle, mais qu'il existe un chemin d'accès au Hub via MPLS, le trafic lié par la passerelle et le trafic direct appliquent le backhaul conditionnel. Pour plus d'informations sur l'accessibilité SD-WAN, reportez-vous à la section Accessibilité du service SD-WAN via MPLS.
    • Lorsqu'il existe plusieurs Hubs candidats, le backhaul conditionnel utilise le premier Hub de la liste, sauf si celui-ci a perdu la connectivité à la passerelle.
  8. Cliquez sur Enregistrer les modifications (Save Changes).

Dépannage d'un backhaul conditionnel

Prenons l'exemple d'un utilisateur avec les deux règles de Business Policy suivantes créées au niveau du site distant.
Vous pouvez vérifier si les pings constants sur chaque adresse IP de destination sont actifs pour le site distant en exécutant la commande Répertorier les flux actifs (List Active Flows) dans la section Diagnostics à distance (Remote Diagnostics).
Si une perte extrême de paquets se produit dans la liaison publique du site distant et si la liaison est en panne, les mêmes flux basculent vers le backhaul Internet au niveau du site distant.
Notez que la business policy sur le Hub détermine le mode de transfert du trafic par le Hub. Comme le Hub ne comporte aucune règle spécifique pour ces flux, ils sont classés comme trafic par défaut. Pour ce scénario, vous pouvez créer une règle de Business Policy au niveau du Hub pour faire correspondre les adresses IP ou les plages de sous-réseaux souhaitées afin de définir le mode de gestion des flux à partir d'un site distant spécifique au cas où le CBH deviendrait opérationnel.