Il backhaul condizionale (CBH) è una funzionalità progettata per distribuzioni di filiali SD-WAN ibride che hanno almeno un link pubblico e uno privato.

Caso d'uso 1: errore del link Internet pubblico

Ogni volta che si verifica un errore di un link Internet pubblico in un VMware SD-WAN Edge, i tunnel per VMware SD-WAN Gateway, il servizio di sicurezza cloud (CSS) e il breakout diretto a Internet non vengono stabiliti. In questo scenario, la funzionalità di backhaul condizionale, se attivata, utilizzerà la connettività tramite link privati ad hub di backhaul designati, offrendo a SD-WAN Edge la possibilità di eseguire il failover del traffico associato a Internet su overlay privati verso l'hub e fornire la raggiungibilità alle destinazioni Internet.

Ogni volta che il link Internet pubblico non riesce e il backhaul condizionale è attivato, l'Edge può eseguire il failover dei seguenti tipi di traffico associati a Internet:

  1. Diretto a Internet
  2. Internet tramite SD-WAN Gateway
  3. Traffico del servizio di sicurezza cloud

Nelle normali operazioni, il link pubblico è attivo e il traffico associato a Internet scorrerà normalmente direttamente o tramite SD-WAN Gateway in base ai criteri di business configurati.

Quando il link Internet pubblico diventa inattivo, o il percorso dell'overlay SD-WAN passa allo stato non interattivo (ovvero il gateway non riceve alcun pacchetto dopo 7 heartbeat), il traffico associato a Internet viene sottoposto a backhaul dinamico nell'hub.

Il criterio di business configurato nell'hub determinerà la modalità di inoltro del traffico quando raggiunge l'hub. Le opzioni sono:
  • Diretto dall'hub
  • Dall'hub al gateway e quindi breakout dal gateway

Quando il link Internet pubblico torna attivo, CBH tenterà di spostare i flussi del traffico di nuovo al link pubblico. Per evitare un link instabile che causa il passaggio del traffico tra i link pubblico e privato, CBH ha un timer di attesa predefinito di 30 secondi. Una volta raggiunto il timer di attesa, verrà eseguito il failback dei flussi al link Internet pubblico.

Caso d'uso 2: errore del link del servizio di sicurezza cloud (CSS)

Ogni volta che si verifica un errore del link CSS (Zscaler) in un SD-WAN Edge, mentre la connessione Internet pubblica è ancora attiva, i tunnel verso CSS non vengono stabiliti e il traffico viene bloccato. In questo scenario, la funzionalità di backhaul condizionale, se attivata, consentirà al criterio di business di eseguire il backhaul condizionale e instradare il traffico verso l'hub.

Il backhaul condizionale basato su criteri consente a SD-WAN Edge di eseguire il failover del traffico associato a Internet che utilizza il link CSS in base allo stato del tunnel CSS, indipendentemente dallo stato dei link pubblici.

CBH sarà efficace solo se:
  • I tunnel CSS in tutti i segmenti diventano inattivi nel profilo VPN.
  • Mentre il tunnel CSS primario diventa inattivo e se il tunnel CSS secondario è configurato, il traffico Internet non sarà sottoposto a backhaul condizionale, ma passerà attraverso il tunnel CSS secondario.
Quando il link CSS diventa INATTIVO e il link Internet pubblico è ATTIVO, il traffico associato a Internet che utilizza il link CSS viene dinamicamente sottoposto a backhaul nell'hub, indipendentemente dallo stato del link pubblico.

Quando i tunnel verso il link CSS diventano nuovamente attivi, CBH tenterà di spostare i flussi del traffico di nuovo in CSS e il traffico non verrà sottoposto a backhaul condizionale.

Caratteristiche del comportamento del backhaul condizionale

  • Quando il backhaul condizionale è attivato, per impostazione predefinita tutte le regole dei criteri di business a livello di filiale sono soggette al traffico di failover tramite CBH. È possibile escludere il traffico dal backhaul condizionale in base a determinati requisiti per i criteri selezionati disattivando questa funzionalità a livello del criterio di business selezionato.
  • Il backhaul condizionale non influirà sui flussi esistenti che sono già sottoposti a backhaul in un hub se i link pubblici diventano inattivi. I flussi esistenti continueranno a inoltrare i dati utilizzando lo stesso hub.
  • Se una posizione di filiale ha link pubblici di backup, il link pubblico di backup avrà la precedenza su CBH. Solo se il link primario e i link di backup sono tutti inutilizzabili, CBH viene attivato e utilizza il link privato.
  • Se un link privato agisce come link di backup, viene eseguito il failover del traffico nel link privato utilizzando la funzionalità CBH quando il link pubblico attivo non riesce e il link di backup privato diventa attivo.
  • Affinché la funzionalità venga eseguita correttamente, ai link privati delle filiali e degli hub di backhaul condizionale deve essere assegnato lo stesso nome di rete privata. In caso contrario, il tunnel privato non diventerà attivo.

Configurazione del backhaul condizionale

A livello di profilo, per configurare il backhaul condizionale, è necessario attivare la VPN cloud e quindi stabilire una connessione VPN tra la filiale e SD-WAN Hub eseguendo i passaggi seguenti:
  1. In SD-WAN Orchestrator, passare a Configura (Configure) > Profili (Profiles). Viene visualizzata la pagina Profili di configurazione (Configuration Profiles).
  2. Selezionare un profilo di cui si desidera configurare la VPN cloud e fare clic sull'icona sotto la colonna Dispositivo (Device). Viene visualizzata la pagina Impostazioni dispositivo (Device Settings) per il profilo selezionato.
  3. Dal menu a discesa Configura segmento (Configure Segment), selezionare un segmento di profilo per configurare il backhaul condizionale. Per impostazione predefinita, è selezionata l'opzione Segmento globale [regolare] (Global Segment [Regular]).
    Nota: La funzionalità di backhaul condizionale è sensibile al segmento e deve pertanto essere attivata per ogni segmento in cui deve essere applicata.
  4. Passare a VPN cloud (Cloud VPN) e attivare la VPN cloud impostando l'interruttore su On.
  5. Per configurarla dalla filiale a SD-WAN Hub, in Da filiale ad hub (Branch to Hubs), selezionare la casella di controllo Abilita (Enable).
  6. Fare clic sul link Seleziona hub (Select Hubs). Viene visualizzata la pagina Gestisci hub VPN cloud (Manage Cloud VPN Hubs) per il profilo selezionato.

    Nell'area Hub (Hubs), selezionare gli hub che devono fungere da hub di backhaul e spostarli nell'area Hub di backhaul (Backhaul Hubs) utilizzando la freccia >.

  7. Per attivare il backhaul condizionale, selezionare la casella di controllo Abilita backhaul condizionale (Enable Conditional BackHaul).
    Con il backhaul condizionale attivato, SD-WAN Edge sarà in grado di eseguire il failover di quanto segue:
    • Traffico associato a Internet (traffico Internet diretto, Internet tramite SD-WAN Gateway e traffico Sicurezza cloud tramite IPsec) verso i link MPLS ogni volta che non sono disponibili link Internet pubblici.
    • Traffico CSS associato a Internet verso l'hub ogni volta che si verifica un errore del link CSS (Zscaler) in SD-WAN Edge, mentre il link Internet pubblico è ancora attivo.
    Quando è attivato, il backhaul condizionale viene applicato a tutti i criteri di business per impostazione predefinita. Se si desidera escludere il traffico dal backhaul condizionale in base a determinati requisiti, è possibile disattivare il backhaul condizionale per i criteri selezionati per escludere il traffico selezionato (Diretto, Percorso multiplo e CSS) da questo comportamento selezionando la casella di controllo Disattiva backhaul condizionale (Turn off Conditional Backhaul) nell'area Azione (Action) della schermata Configura regola (Configure Rule) per il criterio di business selezionato. Per ulteriori informazioni, vedere Configurazione del servizio di rete per la regola del criterio di business.

    Nota:
    • Il backhaul condizionale e la raggiungibilità di SD-WAN possono funzionare insieme nello stesso Edge. Sia il backhaul condizionale sia la raggiungibilità di SD-WAN supportano il failover del traffico del gateway associato al cloud verso MPLS quando Internet pubblico è inattivo nell'Edge. Se il backhaul condizionale è attivato e non è presente alcun percorso per il gateway ma è presente un percorso per l'hub tramite MPLS, il backhaul condizionale viene applicato sia al traffico diretto sia al traffico associato al gateway. Per ulteriori informazioni sulla raggiungibilità di SD-WAN, vedere Raggiungibilità del servizio SD-WAN tramite MPLS.
    • Quando sono presenti più hub candidati, il backhaul condizionale utilizza il primo hub nell'elenco, a meno che l'hub non abbia perso la connettività al gateway.
  8. Fare clic su Salva modifiche (Save Changes).

Risoluzione dei problemi relativi al backhaul condizionale

Si supponga che un utente abbia creato le seguenti due regole dei criteri di business a livello di filiale.
È possibile verificare se i ping costanti per ognuno di questi indirizzi IP di destinazione sono attivi per la filiale eseguendo il comando Elenca flussi attivi (List Active Flows) dalla sezione Diagnostica remota (Remote Diagnostics).
Se si verifica una notevole perdita di pacchetti nel link pubblico della filiale e il link è inattivo, gli stessi flussi vengono passati al backhaul Internet nella filiale.
Si tenga presente che il criterio di business nell'hub determina il modo in cui l'hub inoltra il traffico. Poiché l'hub non ha una regola specifica per questi flussi, vengono classificati come traffico predefinito. Per questo scenario, è possibile creare una regola del criterio di business a livello di hub in modo che corrisponda agli intervalli di IP o subnet desiderati per definire la modalità di gestione dei flussi di una filiale specifica nel caso in cui CBH diventi operativo.