Il backhaul condizionale (CBH) è una funzionalità progettata per distribuzioni di filiali SD-WAN ibride che hanno almeno un link pubblico e uno privato.
Caso d'uso 1: errore del link Internet pubblico
Ogni volta che si verifica un errore di un link Internet pubblico in un VMware SD-WAN Edge, i tunnel per VMware SD-WAN Gateway, il servizio di sicurezza cloud (CSS) e il breakout diretto a Internet non vengono stabiliti. In questo scenario, la funzionalità di backhaul condizionale, se abilitata, utilizzerà la connettività tramite link privati ad hub di backhaul designati, offrendo a SD-WAN Edge la possibilità di eseguire il failover del traffico associato a Internet su overlay privati verso l'hub e fornire la raggiungibilità alle destinazioni Internet.
Ogni volta che il link Internet pubblico non riesce e il backhaul condizionale è abilitato, l'Edge può eseguire il failover dei seguenti tipi di traffico associati a Internet:
- Diretto a Internet
- Internet tramite SD-WAN Gateway
- Traffico del servizio di sicurezza cloud
Nelle normali operazioni, il link pubblico è attivo e il traffico associato a Internet scorrerà normalmente direttamente o tramite SD-WAN Gateway in base ai criteri di business configurati.
Quando il link Internet pubblico diventa inattivo, o il percorso dell'overlay SD-WAN passa allo stato non interattivo (ovvero il gateway non riceve alcun pacchetto dopo 7 heartbeat), il traffico associato a Internet viene sottoposto a backhaul dinamico nell'hub.
- Diretto dall'hub
- Dall'hub al gateway e quindi breakout dal gateway
Quando il link Internet pubblico torna attivo, CBH tenterà di spostare i flussi del traffico di nuovo al link pubblico. Per evitare un link instabile che causa il passaggio del traffico tra i link pubblico e privato, CBH ha un timer di attesa predefinito di 30 secondi. Una volta raggiunto il timer di attesa, verrà eseguito il failback dei flussi al link Internet pubblico.
Caso d'uso 2: errore del link del servizio di sicurezza cloud (CSS)
Ogni volta che si verifica un errore del link CSS (Zscaler) in un SD-WAN Edge, mentre la connessione Internet pubblica è ancora attiva, i tunnel verso CSS non vengono stabiliti e il traffico viene bloccato. In questo scenario, la funzionalità di backhaul condizionale, se abilitata, consentirà al criterio di business di eseguire il backhaul condizionale e instradare il traffico verso l'hub.
Il backhaul condizionale basato su criteri consente a SD-WAN Edge di eseguire il failover del traffico associato a Internet che utilizza il link CSS in base allo stato del tunnel CSS, indipendentemente dallo stato dei link pubblici.
- I tunnel CSS in tutti i segmenti diventano inattivi nel profilo VPN.
- Mentre il tunnel CSS primario diventa inattivo e se il tunnel CSS secondario è configurato, il traffico Internet non sarà sottoposto a backhaul condizionale, ma passerà attraverso il tunnel CSS secondario.
Quando i tunnel verso il link CSS diventano nuovamente attivi, CBH tenterà di spostare i flussi del traffico di nuovo in CSS e il traffico non verrà sottoposto a backhaul condizionale.
Caratteristiche del comportamento del backhaul condizionale
- Quando il backhaul condizionale è abilitato, per impostazione predefinita tutte le regole dei criteri di business a livello di filiale sono soggette al traffico di failover tramite CBH. È possibile escludere il traffico dal backhaul condizionale in base a determinati requisiti per i criteri selezionati disattivando questa funzionalità a livello del criterio di business selezionato.
- Il backhaul condizionale non influirà sui flussi esistenti che sono già sottoposti a backhaul in un hub se i link pubblici diventano inattivi. I flussi esistenti continueranno a inoltrare i dati utilizzando lo stesso hub.
- Se una posizione di filiale ha link pubblici di backup, il link pubblico di backup avrà la precedenza su CBH. Solo se il link primario e i link di backup sono tutti inutilizzabili, CBH viene attivato e utilizza il link privato.
- Se un link privato agisce come link di backup, viene eseguito il failover del traffico nel link privato utilizzando la funzionalità CBH quando il link pubblico attivo non riesce e il link di backup privato diventa attivo.
- Affinché la funzionalità venga eseguita correttamente, ai link privati delle filiali e degli hub di backhaul condizionale deve essere assegnato lo stesso nome di rete privata. In caso contrario, il tunnel privato non diventerà attivo.
Configurazione del backhaul condizionale
- In SD-WAN Orchestrator, passare a Configura (Configure) > Profili (Profiles). Viene visualizzata la pagina Profili di configurazione (Configuration Profiles).
- Selezionare un profilo di cui si desidera configurare la VPN cloud e fare clic sull'icona sotto la colonna Dispositivo (Device). Viene visualizzata la pagina Impostazioni dispositivo (Device Settings) per il profilo selezionato.
- Dal menu a discesa Configura segmento (Configure Segment), selezionare un segmento di profilo per configurare il backhaul condizionale. Per impostazione predefinita, è selezionata l'opzione Segmento globale [regolare] (Global Segment [Regular]).
Nota: La funzionalità di backhaul condizionale è sensibile al segmento e deve pertanto essere abilitata per ogni segmento in cui deve essere applicata.
- Passare a VPN cloud (Cloud VPN) e abilitare la VPN cloud impostando l'interruttore su Attivato (On).
- Per configurare la VPN dalla filiale a SD-WAN Hub, in Da filiale ad hub (Branch to Hubs), selezionare la casella di controllo Abilita (Enable).
- Fare clic sul link Seleziona hub (Select Hubs). Viene visualizzata la pagina Gestisci hub VPN cloud (Manage Cloud VPN Hubs) per il profilo selezionato.
Nell'area Hub (Hubs), selezionare gli hub che devono fungere da hub di backhaul e spostarli nell'area Hub di backhaul (Backhaul Hubs) utilizzando la freccia >.
- Per abilitare il backhaul condizionale, selezionare la casella di controllo Abilita backhaul condizionale (Enable Conditional BackHaul).
Con il backhaul condizionale abilitato, SD-WAN Edge sarà in grado di eseguire il failover di quanto segue:
- Traffico associato a Internet (traffico Internet diretto, Internet tramite SD-WAN Gateway e traffico Sicurezza cloud tramite IPsec) verso i link MPLS ogni volta che non sono disponibili link Internet pubblici.
- Traffico CSS associato a Internet verso l'hub ogni volta che si verifica un errore del link CSS (Zscaler) in SD-WAN Edge, mentre il link Internet pubblico è ancora attivo.
Nota:- Il backhaul condizionale e la raggiungibilità di SD-WAN possono funzionare insieme nello stesso Edge. Sia il backhaul condizionale sia la raggiungibilità di SD-WAN supportano il failover del traffico del gateway associato al cloud verso MPLS quando Internet pubblico è inattivo nell'Edge. Se il backhaul condizionale è abilitato e non è presente alcun percorso per il gateway ma è presente un percorso per l'hub tramite MPLS, il backhaul condizionale viene applicato sia al traffico diretto sia al traffico associato al gateway. Per ulteriori informazioni sulla raggiungibilità di SD-WAN, vedere Raggiungibilità del servizio SD-WAN tramite MPLS.
- Quando sono presenti più hub candidati, il backhaul condizionale utilizza il primo hub nell'elenco, a meno che l'hub non abbia perso la connettività al gateway.
- Fare clic su Salva modifiche (Save Changes).