VMware SASE prend en charge l'interconnexion de plusieurs dispositifs Edge Hub et/ou clusters Hub afin d'augmenter la plage de dispositifs Spoke Edge pouvant communiquer entre eux. Cette fonctionnalité permet la communication entre les dispositifs Spoke Edge connectés à un dispositif Edge Hub/cluster Hub et les dispositifs Spoke Edge connectés à un autre dispositif Edge Hub/cluster Hub, à l'aide de plusieurs connexions d'overlay et d'underlay.

Lorsqu'un dispositif Spoke Edge tente de se connecter à un cluster Hub, l'un des membres du cluster Hub est sélectionné comme Hub vers le dispositif Spoke Edge. Si ce Hub tombe en panne, un autre membre du même cluster Hub est automatiquement sélectionné pour servir le dispositif Spoke Edge, sans aucune configuration utilisateur. Les membres du cluster Hub sont connectés entre eux via la sous-couche (BGP), et peuvent échanger les routes et les données à l'aide de cette connexion de sous-couche. Les dispositifs Spoke Edge connectés à différents membres du même cluster Hub peuvent ensuite communiquer entre eux à l'aide de cette connexion de sous-couche. Cette solution permet une meilleure résilience.

La configuration d'orchestration est indiquée ci-dessous.
Dans ce cas, pour les trois profils :
  • La fonctionnalité Interconnexion du Hub ou du cluster (Hub or Cluster Interconnect) doit être activée.
  • La case Site distant vers le site du Hub (VPN permanent) (Branch to Hub Site [Permanent VPN]) doit être cochée. Les deux nœuds du Hub interconnectés doivent être configurés en tant que Hubs l'un par rapport à l'autre, comme expliqué dans le tableau ci-dessous.
Le tableau suivant décrit le profil et la désignation des Hubs correspondante :
Profil Désignation des Hubs
hub_profile1 hub2
hub_profile2 hub1 et hub3
hub_profile3 hub2
Note : L'activation de l'option VPN site distant vers site distant (transit et dynamique) (Branch to Branch VPN [Transit & Dynamic]) n'est pas requise dans les profils du Hub. Les sites distants font partie du profil de spoke avec leurs Hubs correspondants comme Hubs de VPN site distant vers site distant (Branch to Branch VPN Hubs).

Lorsque la fonctionnalité Interconnexion du Hub ou du cluster (Hub or Cluster Interconnect) est activée, les tunnels sont formés d'un cluster vers un autre cluster avec au moins un peer dans un autre cluster. En fonction de la condition, deux membres d'un cluster peuvent former des tunnels vers les mêmes membres dans un autre cluster. En cas d'interconnexion du Hub individuel et du cluster Hub, tous les membres du cluster forment des tunnels vers ce Hub individuel. Les dispositifs Spoke Edge d'extrémité connectés à ces clusters Hub peuvent ensuite communiquer entre eux par le biais de ces deux clusters Hub et des tronçons du protocole de routage VMware SD-WAN intermédiaires.

Les routes à l'intérieur du cluster sont annoncées avec une communauté étendue BGP spéciale, dans laquelle les quatre derniers octets de l'ID de cluster sont intégrés dans la communauté étendue. Par exemple, si l'ID de cluster est fee2f589-eab6-4738-88f2-8af84b1a3d9c, 4b1a3d9c est inversé et utilisé pour obtenir la communauté du cluster sous la forme 9c3d1a4b00000003. En fonction de cette balise de communauté, les routes à l'intérieur du cluster sont filtrées vers le contrôleur. Cela évite d'indiquer des routes redondantes à partir de plusieurs membres du cluster.

Dans l'exemple ci-dessus, Cluster 1 (C1) et Cluster 2 (C2) sont des clusters du Hub, et S1 et S2 sont l'ensemble des dispositifs Spoke Edge connectés respectivement à C1 et C2. S1 peut communiquer avec S2 via les connexions suivantes :
  • Connexion d'overlay entre S1 et C1.
  • Connexion d'overlay entre S2 et C2.
  • Connexion d'overlay entre C1 et C2.
  • Connexion de sous-couche dans C1.
  • Connexion de sous-couche dans C2.

De cette manière, les clusters du Hub peuvent échanger des routes entre eux, ce qui permet aux paquets de circuler entre les dispositifs Spoke Edge connectés à différents clusters du Hub.

Cas d'utilisation pris en charge :
  • Le système dynamique site distant vers site distant est pris en charge entre les spokes connectés à deux clusters différents ou identiques.
  • L'isolation de profil dans le profil de spoke est prise en charge.
  • Le backhaul Internet via le cluster est pris en charge.

Limitations :

Lorsque la fonctionnalité Interconnexion du Hub ou du cluster (Hub or Cluster Interconnect) est activée :
  • L'interconnexion du Hub ou du cluster via la passerelle n'est pas prise en charge.
  • L'échange de routes entre les membres du cluster de Hub à l'aide d'OSPF n'est pas pris en charge.
  • Le routage asymétrique peut se produire lorsque deux clusters sont interconnectés. Les services de pare-feu améliorés ou le pare-feu avec état ne doivent pas être activés, car ils peuvent bloquer le trafic en raison d'un routage asymétrique.
  • Lorsque tous les tunnels d'overlay se désactivent entre deux membres du cluster, un abandon de trafic est attendu jusqu'à ce qu'ils forment un tunnel avec d'autres membres du cluster peer.
  • Si plusieurs routeurs LAN/WAN exécutent BGP avec un cluster, l'option Source approuvée (Trusted Source) doit être cochée et la valeur de Reverse Path Forwarding doit être Non activé (Not enabled), sur les interfaces Edge de cluster qui connectent les routeurs BGP. Pour plus d'informations, reportez-vous à la section Configurer les paramètres de l'interface pour les dispositifs Edge.
  • Sans fonctionnalité Interconnexion du Hub ou du cluster (Hub or Cluster Interconnect), un profil de Hub de cluster ne peut pas comporter un autre cluster ou Hub configuré comme un Hub.

Configuration de l'interconnexion du Hub ou du cluster

Conditions préalables

  • Veillez à mettre à niveau Orchestrator, les passerelles et les Hubs, ou les clusters Hub vers la version 5.4.0.0 ou une version ultérieure.
  • Le service VPN cloud (Cloud VPN) doit être activé pour le profil de cluster associé aux clusters ou aux Hubs Edge.
  • La case VPN site distant vers site distant (transit et dynamique) (Branch to Branch VPN [Transit & Dynamic]) ne doit pas être cochée dans les profils du Hub d'interconnexion, comme indiqué ci-dessous.

    La configuration de la Désignation des Hubs (Hubs Designation) sur les profils d'interconnexion est suffisante pour la communication de bout en bout avec tous les nœuds. Vous pouvez configurer site distant vers site distant via des Hubs pour les profils de spoke.

  • La fonctionnalité Interconnexion du Hub ou du cluster (Hub or Cluster Interconnect) doit être activée dans tous les profils de Hub impliqués dans le processus d'interconnexion.
  • Les membres du cluster doivent exécuter le BGP avec le routeur LAN/L3, et ce dernier doit être configuré pour transférer les communautés étendues BGP.
  • Au moins une passerelle commune doit être présente pour tous les dispositifs Edge (spokes et Hubs) en cas d'attribution de passerelle de partenaires. L'ordre d'attribution des passerelles de partenaires doit être le même sur tous les profils de Hub/cluster.
Note : L'activation de la fonctionnalité Interconnexion du Hub ou du cluster (Hub or Cluster Interconnect) ajoute une modification fondamentale du protocole de routage de VMware SD-WAN dans lequel il permet aux paquets de traverser plusieurs tronçons du réseau. À partir de la version 5.4.0.0, le nombre maximal de tronçons d'interconnexion pris en charge est de  4. Pour connecter plus de 4 tronçons, contactez le support VMware.

Procédure

  1. Créer des clusters (Create new Clusters) :
    1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Services réseau (Network Services) > Clusters et Hubs (Clusters and Hubs).
    2. Cliquez sur Nouveau (New) pour créer des clusters. Pour plus d'informations, reportez-vous à la section Configurer des clusters et des Hubs.
    3. Associez les dispositifs Edge disponibles à ces clusters.
    4. Cliquez sur Enregistrer les modifications (Save Changes).
  2. Créer un profil pour chacun de ces clusters (Create a Profile for each of these Clusters) :
    1. Accédez à Configurer (Configure) > Profils (Profiles).
    2. Créez un profil distinct pour chaque nouveau cluster. Pour plus d'informations sur la création d'un profil, reportez-vous à la section Créer un profil.
  3. Désigner le profil du Hub vers le cluster (Designate Hub to the Cluster Profile) :
    1. Dans l'écran Paramètres du périphérique de profil (Profile Device Settings), accédez à Services VPN (VPN Services) et activez le service VPN cloud (Cloud VPN).
    2. Cochez la case Activer Site distant vers Hubs (Enable Branch to Hubs).
    3. Cliquez sur Modifier les Hubs (Edit Hubs) se trouvant sous Désignation du Hub (Hub Designation).
    4. Cliquez sur Mettre à jour les Hubs (Update Hubs).
  4. Activer la fonctionnalité « Interconnexion du Hub ou du cluster » (Activate 'Hub or Cluster Interconnect' feature) : dans l'écran Paramètres du périphérique de profil (Profile Device Settings), accédez à l'option Interconnexion du Hub ou du cluster (Hub or Cluster Interconnect) située sous Services VPN (VPN Services), puis sélectionnez Activer (Enable).
    Note : Les configurations d'interconnexion du Hub et du cluster ne peuvent être effectuées qu'au niveau du profil.
    Cela active la fonctionnalité et crée un tunnel entre les clusters du Hub qui permet à leurs dispositifs Spoke Edge correspondants de communiquer entre eux.
    Attention : L'activation ou la désactivation de la fonctionnalité Interconnexion du Hub ou du cluster (Hub or Cluster Interconnect) entraîne le redémarrage de tous les périphériques Edge associés au profil. Par conséquent, il est recommandé de configurer la fonctionnalité uniquement en mode de maintenance afin d'éviter une interruption du trafic.

Que faire ensuite

  • Attribuer des profils aux dispositifs Edge (Assign Profiles to the Edges) : accédez à Configurer (Configure) > Dispositifs Edge (Edges) pour attribuer des profils aux dispositifs Edge disponibles.
  • Vous pouvez surveiller les événements en accédant à Surveiller (Monitor) > Événements (Events). Le tableau suivant répertorie les nouveaux événements Orchestrator ajoutés pour la fonctionnalité Interconnexion du Hub ou du cluster (Hub or Cluster Interconnect) :
    Événement Niveau Description
    CLUSTER_IC_ENABLED Infos Cet événement est généré lorsqu'un dispositif Edge est associé à un service de cluster.
    CLUSTER_IC_DISABLED Infos Cet événement est généré lorsqu'un dispositif Edge est dissocié d'un service de cluster.
    CLUSTER_IC_PEER_UP Avertissement Cet événement est généré lorsque le premier tunnel d'interconnexion entre deux nœuds de Hub de cluster s'active.
    CLUSTER_IC_PEER_DOWN Avertissement Cet événement est généré lorsque le dernier tunnel d'interconnexion entre deux nœuds de Hub de cluster se désactive.
    CLUSTER_IC_TUNNEL_UP Avertissement Cet événement est généré chaque fois que des tunnels d'interconnexion entre les clusters s'activent.
    CLUSTER_IC_TUNNEL_DOWN Avertissement Cet événement est généré chaque fois que les tunnels d'interconnexion entre les clusters se désactivent.
    HUB_CLUSTER_REBALANCE Avertissement Cet événement est généré chaque fois qu'une action de rééquilibrage du cluster est déclenchée.
Note :
  1. Une fois la fonctionnalité Interconnexion du Hub ou du cluster (Hub or Cluster Interconnect) activée, la suppression ou l'ajout d'un membre du cluster sous Services réseau (Network Services) déclenche le redémarrage du service sur ce dispositif Edge particulier. Il est recommandé d'effectuer ces actions pendant la période de maintenance.
  2. Lorsqu'un spoke est connecté à un cluster Hub principal et secondaire et apprend la même route de l'un et de l'autre, l'ordre des routes est basé sur les attributs BGP. Si les attributs de routage sont identiques, le tri des routes se produit en fonction de la configuration de l'ordre des Hubs VPN. En revanche, les sous-réseaux du spoke sont redistribués par le Hub principal et secondaire, ou le cluster Hub vers leur neighbor, respectivement avec les mesures (MED) 33 et 34. Vous devez configurer « bgp always-compare-med » dans le routeur neighbor pour le routage symétrique.
  3. Lorsqu'un Hub ou des clusters Hub sont connectés au noyau MPLS via CE, vous devez configurer la balise LIEN MONTANT (UPLINK) dans ces BGP Neighbors.
  4. Dans un réseau configuré avec un spoke, un Hub principal et un Hub secondaire, le lancement d'un flux derrière le spoke crée un flux local sur le spoke qui est ensuite routé via le Hub principal. Si le Hub principal devient inactif, la route du flux local est mise à jour vers le Hub secondaire. Étant donné que la route est vérifiée avec chaque paquet pour les flux locaux, la route est mise à jour en conséquence lorsque le Hub principal redevient actif. Toutefois, le comportement est différent lorsque le flux est un flux de peer. Dans ce cas, si le Hub principal devient inactif, le flux du peer est routé via le Hub secondaire, mais la route du peer n'est pas mise à jour lorsque le Hub principal redevient actif. Cela est dû au fait que le flux du peer repose sur les mises à jour du peer, ce qui correspond au comportement attendu. La solution à ce problème consiste à vider les flux affectés.