Η οπισθόζευξη υπό όρους (CBH) είναι μια δυνατότητα που έχει σχεδιαστεί για υβριδικές αναπτύξεις διακλάδωσης SD-WAN που έχουν τουλάχιστον μία δημόσια και μία ιδιωτική σύνδεση.

Υπόθεση χρήσης 1: Διακοπή δημόσιας σύνδεσης στο Internet

Κάθε φορά που διακόπτεται μια δημόσια σύνδεση στο Internet σε VMware SD-WAN Edge, δεν δημιουργούνται διοχετεύσεις προς Πύλη VMware SD-WAN, Υπηρεσία ασφαλείας Cloud (CSS) και άμεση διαφυγή στο Internet. Σε αυτό το σενάριο, αν ενεργοποιηθεί η δυνατότητα οπισθόζευξης υπό όρους, θα χρησιμοποιήσει τη συνδεσιμότητα μέσω ιδιωτικών συνδέσεων σε καθορισμένους διανομείς οπισθόζευξης, παρέχοντας στο SD-WAN Edge τη δυνατότητα να ανακατευθύνει την κυκλοφορία προς το Internet μέσω ιδιωτικών επικαλύψεων στον διανομέα και να παρέχει δυνατότητα πρόσβασης σε προορισμούς Internet.

Κάθε φορά που διακόπτεται η δημόσια σύνδεση προς το Internet και ενεργοποιείται η οπισθόζευξη υπό όρους, το Edge μπορεί να ανακατευθύνει τους ακόλουθους τύπους κυκλοφορίας που συνδέονται με το Internet:

  1. Απευθείας στο Internet
  2. Internet με Πύλη SD-WAN
  3. Κυκλοφορία υπηρεσίας ασφαλείας Cloud

Υπό κανονικές συνθήκες, η δημόσια σύνδεση λειτουργεί και η κυκλοφορία προς το Internet θα ρέει κανονικά είτε απευθείας είτε μέσω Πύλη SD-WAN σύμφωνα με τις πολιτικές επιχείρησης που έχουν ρυθμιστεί.

Όταν η δημόσια σύνδεση Internet διακόπτεται ή αν η διαδρομή επικάλυψης SD-WAN μεταβαίνει σε κατάσταση QUIET (δεν λαμβάνονται πακέτα από την πύλη έπειτα από 7 παλμούς), γίνεται δυναμική οπισθόζευξη της κυκλοφορίας του Internet προς τον διανομέα.

Η πολιτική επιχείρησης που έχει ρυθμιστεί στον διανομέα θα καθορίσει τον τρόπο προώθησης αυτής της κυκλοφορίας μόλις φτάσει στον διανομέα. Οι επιλογές είναι:
  • Απευθείας από τον διανομέα
  • Διανομέας προς πύλη και, στη συνέχεια, διαφυγή από την πύλη

Όταν αποκατασταθεί η δημόσια σύνδεση Internet, η CBH θα προσπαθήσει να μετακινήσει τις ροές κυκλοφορίας και πάλι προς τη δημόσια σύνδεση. Για να αποφευχθεί μια ασταθής σύνδεση που μεταφέρει την κυκλοφορία μεταξύ των δημόσιων και ιδιωτικών συνδέσεων, η CBH έχει ένα προεπιλεγμένο χρονόμετρο καθυστέρησης 30 δευτερολέπτων. Αφού ολοκληρωθεί ο χρόνος καθυστέρησης, οι ροές ανακατευθύνονται στη δημόσια σύνδεση Internet.

Υπόθεση χρήσης 2: Διακοπή σύνδεσης Υπηρεσίας ασφαλείας Cloud (CSS)

Κάθε φορά που υπάρχει διακοπή σύνδεσης CSS (Zscaler) σε ένα SD-WAN Edge, ενώ η δημόσια σύνδεση Internet εξακολουθεί να λειτουργεί, δεν δημιουργούνται διοχετεύσεις προς τη CSS και προκαλείται οπισθόζευξη της κυκλοφορίας. Σε αυτό το σενάριο, η δυνατότητα οπισθόζευξης υπό όρους, εάν ενεργοποιηθεί, θα επιτρέψει στην πολιτική επιχείρησης να εκτελέσει οπισθόζευξη υπό όρους και να δρομολογήσει την κυκλοφορία στον διανομέα.

Η οπισθόζευξη υπό όρους που βασίζεται σε πολιτική παρέχει στο SD-WAN Edge τη δυνατότητα ανακατεύθυνσης της κυκλοφορίας Internet που χρησιμοποιεί τη σύνδεση CSS με βάση την κατάσταση της διοχέτευσης CSS, ανεξάρτητα από την κατάσταση των δημόσιων συνδέσεων.

Η CBH θα είναι αποτελεσματική μόνο εάν:
  • Οι διοχετεύσεις CSS σε όλο το τμήμα διακόπτονται στο προφίλ VPN.
  • Όταν η πρωτεύουσα διοχέτευση CSS διακόπτεται και αν έχουν ρυθμιστεί οι παράμετροι δευτερεύουσας διοχέτευσης CSS, δεν γίνεται οπισθόζευξη υπό όρους της κυκλοφορίας Internet, αντίθετα η κυκλοφορία περνά από τη δευτερεύουσα διοχέτευση CSS.
Όταν η σύνδεση CSS ΔΙΑΚΟΠΤΕΤΑΙ και η δημόσια σύνδεση Internet λειτουργεί, γίνεται δυναμική οπισθόζευξη υπό όρους της κυκλοφορίας Internet που χρησιμοποιεί σύνδεση CSS προς τον διανομέα, ανεξάρτητα από την κατάσταση της δημόσιας σύνδεσης.

Όταν αποκατασταθούν οι διοχετεύσεις προς τη σύνδεση CSS, η CBH θα προσπαθήσει να μετακινήσει τις ροές κυκλοφορίας και πάλι προς τη CSS και δεν θα γίνεται οπισθόζευξη υπό όρους της κυκλοφορίας.

Χαρακτηριστικά συμπεριφοράς οπισθόζευξης υπό όρους

  • Όταν είναι ενεργοποιημένη η οπισθόζευξη υπό όρους, από προεπιλογή όλοι οι κανόνες πολιτικής επιχείρησης σε επίπεδο διακλάδωσης υπόκεινται σε ανακατεύθυνση κυκλοφορίας μέσω CBH. Μπορείτε να εξαιρέσετε την κυκλοφορία από την οπισθόζευξη υπό όρους με βάση ορισμένες απαιτήσεις για επιλεγμένες πολιτικές, απενεργοποιώντας αυτήν τη δυνατότητα στο επιλεγμένο επίπεδο πολιτικής επιχείρησης.
  • Η οπισθόζευξη υπό όρους δεν θα επηρεάσει τις υπάρχουσες ροές στις οποίες γίνεται ήδη οπισθόζευξη προς έναν διανομέα, εάν οι δημόσιες συνδέσεις διακοπούν. Οι υπάρχουσες ροές θα εξακολουθούν να προωθούν δεδομένα χρησιμοποιώντας τον ίδιο διανομέα.
  • Εάν μια θέση διακλάδωσης έχει εφεδρικές δημόσιες συνδέσεις, η εφεδρική δημόσια σύνδεση θα έχει προτεραιότητα έναντι της CBH. Μόνο όταν η πρωτεύουσα και η εφεδρική σύνδεση τεθούν όλες εκτός λειτουργίας ενεργοποιείται η CBH και χρησιμοποιεί την ιδιωτική σύνδεση.
  • Εάν μια ιδιωτική σύνδεση λειτουργεί ως εφεδρική, η κυκλοφορία θα ανακατευθυνθεί προς την ιδιωτική σύνδεση, χρησιμοποιώντας τη δυνατότητα CBH, όταν διακοπεί η ενεργή δημόσια σύνδεση, και η ιδιωτική εφεδρική σύνδεση θα γίνει ενεργή.
  • Για να λειτουργήσει η δυνατότητα, τόσο οι διανομείς διακλάδωσης όσο και οι διανομέας οπισθόζευξης υπό όρους πρέπει να έχουν αντιστοιχίσει το ίδιο όνομα ιδιωτικού δικτύου στις ιδιωτικές συνδέσεις τους. (Διαφορετικά, η ιδιωτική διοχέτευση δεν θα λειτουργήσει.)

Διαμόρφωση οπισθόζευξης υπό όρους

Σε επίπεδο προφίλ, για να διαμορφώσετε την οπισθόζευξη υπό όρους, θα πρέπει να ενεργοποιήσετε το Cloud VPN και, στη συνέχεια, να δημιουργήσετε σύνδεση VPN ανάμεσα στη διακλάδωση και στους Διανομείς SD-WAN εκτελώντας τα ακόλουθα βήματα:
  1. Από το SD-WAN Orchestrator, μεταβείτε στις επιλογές Διαμόρφωση > Προφίλ (Configure > Profiles). Θα εμφανιστεί η σελίδα Προφίλ διαμόρφωσης (Configuration Profiles).
  2. Επιλέξτε ένα προφίλ για το οποίο θέλετε να διαμορφώσετε το Cloud VPN και κάντε κλικ στο εικονίδιο κάτω από τη στήλη «Συσκευή». Θα εμφανιστεί η σελίδα Ρυθμίσεις συσκευής (Device Settings) για το επιλεγμένο προφίλ.
  3. Από το αναπτυσσόμενο μενού Διαμόρφωση τμήματος (Configure Segment), επιλέξτε ένα τμήμα προφίλ για να διαμορφώσετε την οπισθόζευξη υπό όρους. Από προεπιλογή, είναι επιλεγμένο το Καθολικό τμήμα [Κανονικό] (Global Segment [Regular]).
    Σημείωση: Στη δυνατότητα οπισθόζευξης υπό όρους γίνεται διάκριση τμήματος και, ως εκ τούτου, πρέπει να είναι ενεργοποιημένη σε κάθε τμήμα στο οποίο προορίζεται να λειτουργήσει.
  4. Μεταβείτε στην περιοχή Cloud VPN και ενεργοποιήστε το Cloud VPN, ρυθμίζοντας το κουμπί εναλλαγής σε Ενεργό (On).
  5. Για να διαμορφώσετε τη διακλάδωση σε Διανομείς SD-WAN, στην περιοχή Διακλάδωση προς διανομέα (Branch to Hubs), επιλέξτε το πλαίσιο ελέγχου Ενεργοποίηση (Enable).
  6. Κάντε κλικ στη σύνδεση Επιλογή διανομέων (Select Hubs). Εμφανίζεται η σελίδα Διαχείριση διανομέων Cloud VPN (Manage Cloud VPN Hubs) για το επιλεγμένο προφίλ.

    Από την περιοχή Διανομείς (Hubs), επιλέξτε τους διανομείς που θα λειτουργήσουν ως διανομείς οπισθόζευξης και μετακινήστε τους στην περιοχή Διανομείς οπισθόζευξης (Backhaul Hubs) χρησιμοποιώντας το βέλος >.

  7. Για να ενεργοποιήσετε την οπισθόζευξη υπό όρους, επιλέξτε το πλαίσιο ελέγχου Ενεργοποίηση οπισθόζευξης υπό όρους (Enable Conditional BackHaul).
    Όταν είναι ενεργοποιημένη η οπισθόζευξη υπό όρους, το SD-WAN Edge θα είναι σε θέση να ανακατευθύνει:
    • Κυκλοφορία Internet (απευθείας κυκλοφορία Internet, Internet από Πύλη SD-WAN και κυκλοφορία ασφαλείας cloud μέσω IPsec) προς συνδέσεις MPLS όποτε δεν υπάρχουν διαθέσιμες δημόσιες συνδέσεις Internet.
    • Κυκλοφορία CSS του Internet προς τον διανομέα κάθε φορά που διακόπτεται η σύνδεση CSS (Zscaler) στο SD-WAN Edge, ενώ εξακολουθεί να λειτουργεί η δημόσια σύνδεση Internet.
    Όταν είναι ενεργοποιημένη η οπισθόζευξη υπό όρους, ισχύει για όλες τις πολιτικές επιχείρησης από προεπιλογή. Εάν θέλετε να εξαιρέσετε την κυκλοφορία από την οπισθόζευξη υπό όρους με βάση ορισμένες απαιτήσεις, μπορείτε να απενεργοποιήσετε την οπισθόζευξη υπό όρους για επιλεγμένες πολιτικές για να εξαιρεθεί η επιλεγμένη κυκλοφορία (άμεση, πολλαπλών διαδρομών και CSS) από αυτήν τη συμπεριφορά, επιλέγοντας το πλαίσιο ελέγχου Απενεργοποίηση οπισθόζευξης υπό όρους (Turn off Conditional Backhaul) στην περιοχή Ενέργεια (Action) της οθόνης Διαμόρφωση κανόνα (Configure Rule) για την επιλεγμένη πολιτική επιχείρησης. Για περισσότερες πληροφορίες, δείτε Διαμόρφωση της υπηρεσίας δικτύου για κανόνα πολιτικής επιχείρησης.

    Σημείωση:
    • Η οπισθόζευξη υπό όρους και η δυνατότητα πρόσβασης SD-WAN μπορούν να λειτουργήσουν μαζί στο ίδιο Edge. Τόσο η οπισθόζευξη υπό όρους όσο και η δυνατότητα πρόσβασης SD-WAN υποστηρίζουν την ανακατεύθυνση της κυκλοφορίας πύλης από το cloud προς το MPLS όταν διακόπτεται η δημόσια σύνδεση Internet στο Edge. Εάν η οπισθόζευξη υπό όρους είναι ενεργοποιημένη, δεν υπάρχει διαδρομή προς την πύλη και υπάρχει διαδρομή προς διανομέα μέσω MPLS, τότε τόσο η άμεση κυκλοφορία όσο και η κυκλοφορία από την πύλη χρησιμοποιούν οπισθόζευξη υπό όρους. Για περισσότερες πληροφορίες σχετικά με τη δυνατότητα πρόσβασης SD-WAN, δείτε Προσβασιμότητα υπηρεσίας SD-WAN μέσω MPLS.
    • Όταν υπάρχουν πολλοί υποψήφιοι διανομείς, η οπισθόζευξη υπό όρους θα χρησιμοποιήσει τον πρώτο διανομέα στη λίστα, εκτός και αν έχει διακοπεί η σύνδεση μεταξύ διανομέα και πύλης.
  8. Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).

Αντιμετώπιση προβλημάτων οπισθόζευξης υπό όρους

Ας πάρουμε έναν χρήστη με τους ακόλουθους δύο κανόνες πολιτικής επιχείρησης που δημιουργήθηκαν σε επίπεδο διακλάδωσης.
Μπορείτε να ελέγξετε αν οι σταθερές ping σε καθεμία από αυτές τις διευθύνσεις IP προορισμού είναι ενεργές για τη διακλάδωση, εκτελώντας την εντολή Παράθεση ενεργών ροών (List Active Flows) από την ενότητα απομακρυσμένων διαγνωστικών.
Εάν υπάρξει ακραία απώλεια πακέτων στη δημόσια σύνδεση της διακλάδωσης και η σύνδεση διακοπεί, τότε οι ίδιες ροές εναλλάσσονται σε οπισθόζευξη Internet στη διακλάδωση.
Έχετε υπόψη ότι η πολιτική επιχείρησης στον διανομέα καθορίζει τον τρόπο προώθησης της κυκλοφορίας από τον διανομέα. Δεδομένου ότι ο διανομέας δεν έχει συγκεκριμένο κανόνα για αυτές τις ροές, κατηγοριοποιούνται ως προεπιλεγμένη κυκλοφορία. Για αυτό το σενάριο, μπορεί να δημιουργηθεί ένας κανόνας πολιτικής επιχείρησης σε επίπεδο διανομέα που θα ταιριάζει με τις επιθυμητές IP ή περιοχές υποδικτύου, ώστε να καθοριστεί ο τρόπος χειρισμού των ροών από μια συγκεκριμένη διακλάδωση σε περίπτωση λειτουργίας της CBH.