Il backhaul condizionale (CBH) è una funzionalità progettata per distribuzioni di filiali SD-WAN ibride che hanno almeno un link pubblico e uno privato. Ogni volta che si verifica un errore di un link Internet pubblico in un VMware SD-WAN Edge, i tunnel per VMware SD-WAN Gateway, il servizio di sicurezza cloud (CSS) e il breakout diretto a Internet non vengono stabiliti. In questo scenario, la funzionalità di backhaul condizionale, se abilitata, utilizzerà la connettività tramite link privati ad hub di backhaul designati, offrendo a SD-WAN Edge la possibilità di eseguire il failover del traffico associato a Internet su overlay privati verso l'hub e fornire la raggiungibilità alle destinazioni Internet.

Ogni volta che il link Internet pubblico non riesce e il backhaul condizionale è abilitato, l'Edge può eseguire il failover dei seguenti tipi di traffico associati a Internet:

  1. Diretto a Internet
  2. Internet tramite SD-WAN Gateway
  3. Traffico del servizio di sicurezza cloud

Caratteristiche del comportamento del backhaul condizionale

  • Quando il backhaul condizionale è abilitato, per impostazione predefinita tutte le regole dei criteri di business a livello di filiale sono soggette al traffico di failover tramite CBH. È possibile escludere il traffico dal backhaul condizionale in base a determinati requisiti per i criteri selezionati disabilitando questa funzionalità a livello del criterio di business selezionato.
  • Il backhaul condizionale non influirà sui flussi esistenti che sono già sottoposti a backhaul in un hub se i link pubblici diventano inattivi. I flussi esistenti continueranno a inoltrare i dati utilizzando lo stesso hub.
  • Se una posizione di filiale ha link pubblici di backup, il link pubblico di backup avrà la precedenza su CBH. Solo se il link primario e i link di backup sono tutti inutilizzabili, CBH viene attivato e utilizza il link privato.
  • Se un link privato agisce come link di backup, viene eseguito il failover del traffico nel link privato utilizzando la funzionalità CBH quando il link pubblico attivo non riesce e il link di backup privato diventa attivo.
  • Affinché la funzionalità venga eseguita correttamente, ai link privati delle filiali e degli hub di backhaul condizionale deve essere assegnato lo stesso nome di rete privata. In caso contrario, il tunnel privato non diventerà attivo.

Flusso operativo

Nelle normali operazioni, il link pubblico è attivo e il traffico associato a Internet scorrerà normalmente direttamente o tramite SD-WAN Gateway in base ai criteri di business configurati.

Quando il link Internet pubblico diventa inattivo, o il percorso dell'overlay SD-WAN passa allo stato non interattivo (ovvero il gateway non riceve alcun pacchetto dopo 7 heartbeat), il traffico associato a Internet viene sottoposto a backhaul dinamico nell'hub.

Il criterio di business configurato nell'hub determinerà la modalità di inoltro del traffico quando raggiunge l'hub. Le opzioni sono:
  • Diretto dall'hub
  • Dall'hub al gateway e quindi breakout dal gateway

Quando il link Internet pubblico torna attivo, CBH tenterà di spostare i flussi di nuovo al link pubblico. Per evitare un link instabile che causa il passaggio del traffico tra i link pubblico e privato, CBH ha un timer di attesa predefinito di 30 secondi. Una volta raggiunto il timer di attesa, verrà eseguito il failback dei flussi al link Internet pubblico.

.

Configurazione del backhaul condizionale

A livello di profilo, per configurare il backhaul condizionale, è necessario abilitare la VPN cloud e quindi stabilire una connessione VPN tra la filiale e SD-WAN Hubs eseguendo i passaggi seguenti:
  1. In SD-WAN Orchestrator, passare a Configura (Configure) > Profili (Profiles). Viene visualizzata la pagina Profili di configurazione (Configuration Profiles).
  2. Selezionare un profilo di cui si desidera configurare la VPN cloud e fare clic sull'icona sotto la colonna Dispositivo (Device). Viene visualizzata la pagina Impostazioni dispositivo (Device Settings) per il profilo selezionato.
  3. Dal menu a discesa Configura segmento (Configure Segment), selezionare un segmento di profilo per configurare il backhaul condizionale. Per impostazione predefinita, è selezionata l'opzione Segmento globale [regolare] (Global Segment [Regular]).
    Nota: La funzionalità di backhaul condizionale è sensibile al segmento e deve pertanto essere abilitata per ogni segmento in cui deve essere applicata.
  4. Passare a VPN cloud (Cloud VPN) e abilitare la VPN cloud impostando l'interruttore su Attivato (On).
  5. Per configurare la VPN dalla filiale a SD-WAN Hubs, in Da filiale ad hub (Branch to Hubs), selezionare la casella di controllo Abilita (Enable).
  6. Fare clic sul link Seleziona hub (Select Hubs). Viene visualizzata la pagina Gestisci hub VPN cloud (Manage Cloud VPN Hubs) per il profilo selezionato.

    Nell'area Hub (Hubs), selezionare gli hub che devono fungere da hub di backhaul e spostarli nell'area Hub di backhaul (Backhaul Hubs) utilizzando la freccia >.

  7. Per abilitare il backhaul condizionale, selezionare la casella di controllo Abilita backhaul condizionale (Enable Conditional BackHaul).

    Con il backhaul condizionale abilitato, l'Edge sarà in grado di eseguire il failover del traffico associato a Internet (traffico Internet diretto, Internet tramite SD-WAN Gateway e traffico di sicurezza cloud tramite IPSec) ai link MPLS ogni volta che non è disponibile alcun link Internet pubblico. Quando è abilitato, il backhaul condizionale viene applicato a tutti i criteri di business per impostazione predefinita. Se si desidera escludere il traffico dal backhaul condizionale in base a determinati requisiti, è possibile disabilitare il backhaul condizionale per i criteri selezionati per escludere il traffico selezionato da questo comportamento selezionando la casella di controllo Disabilita backhaul condizionale (Disable Conditional Backhaul) nell'area Azione (Action) della schermata Configura regola (Configure Rule) per il criterio di business selezionato.

    Nota:
    • Il backhaul condizionale e la raggiungibilità di SD-WAN possono funzionare insieme nello stesso Edge. Sia il backhaul condizionale sia la raggiungibilità di SD-WAN supportano il failover del traffico del gateway associato al cloud verso MPLS quando Internet pubblico è inattivo nell'Edge. Se il backhaul condizionale è abilitato e non è presente alcun percorso per il gateway ma è presente un percorso per l'hub tramite MPLS, il backhaul condizionale viene applicato sia al traffico diretto sia al traffico associato al gateway. Per ulteriori informazioni sulla raggiungibilità di SD-WAN, vedere Raggiungibilità del servizio SD-WAN tramite MPLS.
    • Quando sono presenti più hub candidati, il backhaul condizionale utilizza il primo hub nell'elenco, a meno che l'hub non abbia perso la connettività al gateway.
  8. Fare clic su Salva modifiche (Save Changes).

Risoluzione dei problemi relativi al backhaul condizionale

Si supponga che un utente abbia creato le seguenti due regole dei criteri di business a livello di filiale.
È possibile verificare se i ping costanti per ognuno di questi indirizzi IP di destinazione sono attivi per la filiale eseguendo il comando Elenca flussi attivi (List Active Flows) dalla sezione Diagnostica remota (Remote Diagnostics).
Se si verifica una notevole perdita di pacchetti nel link pubblico della filiale e il link è inattivo, gli stessi flussi vengono passati al backhaul Internet nella filiale.
Si tenga presente che il criterio di business nell'hub determina il modo in cui l'hub inoltra il traffico. Poiché l'hub non ha una regola specifica per questi flussi, vengono classificati come traffico predefinito. Per questo scenario, è possibile creare una regola del criterio di business a livello di hub in modo che corrisponda agli intervalli di IP o subnet desiderati per definire la modalità di gestione dei flussi di una filiale specifica nel caso in cui CBH diventi operativo.