条件付きバックホール (CBH) は、少なくとも 1 つのパブリック リンクと 1 つのプライベート リンクを持つハイブリッド SD-WAN ブランチの展開用に設計された機能です。VMware SD-WAN Edge でパブリック インターネット リンクに障害が発生した場合、VMware SD-WAN Gateway へのトンネル、クラウド セキュリティ サービス (CSS)、およびインターネットへの直接のブレイクアウトは確立されません。このシナリオでは、条件付きバックホール機能(有効になっている場合)は指定されたバックホール ハブへのプライベート リンクを介して接続を使用します。これにより、SD-WAN Edge は、プライベート オーバーレイを介してインターネットに送信されたトラフィックをハブにフェイルオーバーし、インターネット宛先に到達可能にできます。
パブリック インターネット リンクに障害が発生し、条件付きバックホールが有効になっている場合、Edge は次のタイプのインターネット向けトラフィックをフェイルオーバーできます。
- インターネットへの直接トラフィック
- SD-WAN Gateway 経由のインターネット
- クラウド セキュリティ サービスのトラフィック
条件付きバックホールの動作特性
- 条件付きバックホールが有効になっている場合、デフォルトでは、ブランチ レベルのすべてのビジネス ポリシー ルールは、CBH 経由でトラフィックをフェイルオーバーする必要があります。選択されたポリシーの特定の要件に基づいて、条件付きバックホールからトラフィックを除外するには、選択されたビジネス ポリシー レベルでこの機能を無効にします。
- 条件付きバックホールは、パブリック リンクが停止した場合、すでにハブにバックホールされている既存のフローには影響しません。既存のフローは、引き続き同じハブを使用してデータを転送します。
- ブランチにバックアップ パブリック リンクがある場合、バックアップ パブリック リンクは CBH よりも優先されます。プライマリ リンクとバックアップ リンクがすべて動作不能になった場合にのみ、CBH がトリガされ、プライベート リンクを使用します。
- プライベート リンクがバックアップとして機能している場合、アクティブなパブリック リンクに障害が発生し、プライベート バックアップ リンクがアクティブになると、トラフィックは CBH 機能を使用してプライベート リンクにフェイルオーバーします。
- この機能を使用するには、ブランチと条件付きバックホール ハブの両方で、プライベート リンクに同じプライベート ネットワーク名を割り当てる必要があります(そうしないと、プライベート トンネルは起動しません)。
処理フロー
通常の処理では、パブリック リンクがアクティブで、インターネット向けトラフィックは、構成されたビジネス ポリシーに従って、直接または SD-WAN Gateway 経由でフローします。
パブリック インターネット リンクが停止するか、または SD-WAN オーバーレイ パスが QUIET 状態になる(7 ハートビート後にゲートウェイから受信したパケットがない)場合、インターネット向けトラフィックはハブに動的にバックホールされます。
- ハブから直接転送
- ハブからゲートウェイに、ゲートウェイからブレイクアウト
パブリック インターネット リンクが回復すると、CBH はそのフローをパブリック リンクに戻しようとします。不安定なリンクによってパブリック リンクとプライベート リンク間にトラフィックのフラップが発生することを回避するために、CBH にはデフォルトの 30 秒のホールドオフ タイマーがあります。ホールドオフ タイマーに到達すると、フローはパブリック インターネット リンクにフェイルバックされます。
.
条件付きバックホールの構成
- SD-WAN Orchestrator から、[構成 (Configure)] > [プロファイル (Profiles)] の順に移動します。[構成プロファイル (Configuration Profiles)] ページが表示されます。
- クラウド VPN を構成するプロファイルを選択し、[デバイス (Device)] 列の下にあるアイコンをクリックします。選択したプロファイルの [デバイス設定 (Device Settings)] ページが表示されます。
- [セグメントの構成 (Configure Segments)] ドロップダウン メニューから、条件付きバックホールを構成するプロファイル セグメントを選択します。デフォルトでは、[グローバル セグメント [正規] (Global Segment [Regular])] が選択されています。
注: 条件付きバックホール機能は、セグメントに対応しているため、機能する予定の各セグメントで有効にする必要があります。
- [クラウド VPN (Cloud VPN)] 領域に移動し、トグル ボタンを [オン (On)] にしてクラウド VPN を有効にします。
- ブランチから SD-WAN Hubs への VPN を構成するには、[ブランチからハブ (Branch to Hubs)] で、[有効化 (Enable)] チェックボックスをオンにします。
- [ハブの選択 (Select Hubs)] リンクをクリックします。選択したプロファイルの [クラウド VPN ハブの管理 (Manage Cloud VPN Hubs)] ページが表示されます。
[ハブ (Hubs)] 領域から、バックホール ハブとして機能するハブを選択し、[>] 矢印を使用して、それらを [バックホール ハブ (Backhaul Hubs)] 領域に移動します。
- 条件付きバックホールを有効にするには、[条件付きバックホールの有効化 (Enable Conditional BackHaul)] チェックボックスをオンにします。
条件付きバックホールを有効にすると、使用可能なパブリック インターネット リンクがない場合に、Edge はインターネット向けのトラフィック(直接インターネット トラフィック、SD-WAN Gateway を介したインターネット トラフィック、および IPsec を介したクラウド セキュリティ トラフィック)を常に MPLS リンクにフェイルオーバーすることができます。条件付きバックホールを有効にすると、デフォルトですべてのビジネス ポリシーに適用されます。特定の要件に基づいて条件付きバックホールからトラフィックを除外するには、選択したビジネス ポリシーの [ルールの構成 (Configure Rule)] 画面の [アクション (Action)] 領域で [条件付きバックホールの無効化 (Disable Conditional Backhaul)] チェックボックスをオンにすると、選択したポリシーの条件付きバックホールを無効にして、選択したトラフィックをこの動作から除外できます。
注:- 条件付きバックホールと SD-WAN 到達可能性は、同じ Edge で連携できます。条件付きバックホールと SD-WAN 到達可能性のどちらでも、パブリック インターネットが Edge 上で停止しているときに、クラウド向けのゲートウェイ トラフィックを MPLS にフェイルオーバーすることができます。条件付きバックホールが有効で、ゲートウェイへのパスがなく、MPLS 経由でのハブへのパスがある場合、直接トラフィックとゲートウェイ向けトラフィックの両方が条件付きバックホールを適用します。SD-WAN の到達可能性の詳細については、MPLS 経由の SD-WAN サービスの到達可能性を参照してください。
- 複数のハブの候補がある場合、ハブがゲートウェイへの接続を失っていない限り、条件付きバックホールはリストの最初のハブを使用します。
- [変更の保存 (Save Changes)] をクリックします。