条件付きバックホール (CBH) は、少なくとも 1 つのパブリック リンクと 1 つのプライベート リンクを持つハイブリッド SD-WAN ブランチのデプロイ用に設計された機能です。

ユースケース 1:パブリック インターネット リンクの障害

VMware SD-WAN Edge でパブリック インターネット リンクに障害が発生した場合、VMware SD-WAN Gateway へのトンネル、クラウド セキュリティ サービス (CSS)、およびインターネットへの直接のブレイクアウトは確立されません。このシナリオでは、条件付きバックホール機能(有効になっている場合)は指定されたバックホール ハブへのプライベート リンクを介して接続を使用します。これにより、SD-WAN Edge は、プライベート オーバーレイを介してインターネットに送信されたトラフィックをハブにフェイルオーバーし、インターネット宛先に到達可能にできます。

パブリック インターネット リンクに障害が発生し、条件付きバックホールが有効になっている場合、Edge は次のタイプのインターネット向けトラフィックをフェイルオーバーできます。

  1. インターネットへの直接トラフィック
  2. SD-WAN Gateway 経由のインターネット
  3. クラウド セキュリティ サービスのトラフィック

通常の処理では、パブリック リンクがアクティブで、インターネット向けトラフィックは、構成されたビジネス ポリシーに従って、直接または SD-WAN Gateway 経由でフローします。

パブリック インターネット リンクが停止するか、または SD-WAN オーバーレイ パスが QUIET 状態になる(7 ハートビート後に Gateway から受信したパケットがない)場合、インターネット向けトラフィックはハブに動的にバックホールされます。

ハブ上に構成されたビジネス ポリシーによって、ハブに到達した後のこのトラフィックの転送方法が決まります。オプションは次のとおりです。
  • ハブから直接転送
  • ハブから Gateway に、Gateway からブレイクアウト

パブリック インターネット リンクが回復すると、CBH はそのトラフィック フローをパブリック リンクに戻そうとします。不安定なリンクによってパブリック リンクとプライベート リンク間にトラフィックのフラップが発生することを回避するために、CBH にはデフォルトの 30 秒のホールドオフ タイマーがあります。ホールドオフ タイマーに到達すると、フローはパブリック インターネット リンクにフェイルバックされます。

ユースケース 2:クラウド セキュリティ サービス (CSS) リンクの障害

パブリック インターネットがまだ起動しているときに SD-WAN Edge で CSS (Zscaler) リンクの障害が発生すると、CSS へのトンネルが確立されず、トラフィックがブラックホールになります。このシナリオでは、条件付きバックホールが有効になっている場合、ビジネス ポリシーで条件付きバックホールを実行し、トラフィックをハブにルーティングできます。

ポリシーベースの条件付きバックホールによって、SD-WAN Edge はパブリック リンクのステータスに関係なく、CSS トンネルのステータスに基づいて CSS リンクを使用するインターネット向けトラフィックをフェイルオーバーすることができます。

CBH が有効になるのは、次の場合のみです。
  • すべてのセグメントの CSS トンネルが VPN プロファイルで停止している。
  • プライマリ CSS トンネルが停止し、セカンダリ CSS トンネルが構成されている場合に、インターネット トラフィックで条件付きバックホールが有効にならず、トラフィックがセカンダリ CSS トンネルを経由する。
CSS リンクが停止し、パブリック インターネット リンクが起動すると、CSS リンクを使用するインターネット向けトラフィックは、パブリック リンクのステータスに関係なく動的にハブにバックホールされます。

CSS リンクへのトンネルが回復すると、CBH はトラフィック フローを CSS に戻そうとし、トラフィックは条件付きでバックホールされません。

条件付きバックホールの動作特性

  • 条件付きバックホールが有効になっている場合、デフォルトでは、ブランチ レベルのすべてのビジネス ポリシー ルールは、CBH 経由でトラフィックをフェイルオーバーする必要があります。選択されたポリシーの特定の要件に基づいて、条件付きバックホールからトラフィックを除外するには、選択されたビジネス ポリシー レベルでこの機能を無効にします。
  • 条件付きバックホールは、パブリック リンクが停止した場合、すでにハブにバックホールされている既存のフローには影響しません。既存のフローは、引き続き同じハブを使用してデータを転送します。
  • ブランチにバックアップ パブリック リンクがある場合、バックアップ パブリック リンクは CBH よりも優先されます。プライマリ リンクとバックアップ リンクがすべて動作不能になった場合にのみ、CBH がトリガされ、プライベート リンクを使用します。
  • プライベート リンクがバックアップとして機能している場合、アクティブなパブリック リンクに障害が発生し、プライベート バックアップ リンクがアクティブになると、トラフィックは CBH 機能を使用してプライベート リンクにフェイルオーバーします。
  • この機能を使用するには、ブランチと条件付きバックホール ハブの両方で、プライベート リンクに同じプライベート ネットワーク名を割り当てる必要があります(そうしないと、プライベート トンネルは起動しません)。

条件付きバックホールの構成

プロファイル レベルでは、条件付きバックホールを構成するには、次の手順を実行して、クラウド VPN を有効にしてから、ブランチと SD-WAN Hub 間の VPN 接続を確立する必要があります。
  1. SD-WAN Orchestrator から、[構成 (Configure)] > [プロファイル (Profiles)] の順に移動します。[設定プロファイル (Configuration Profiles)] ページが表示されます。
  2. クラウド VPN を構成するプロファイルを選択し、[デバイス (Device)] 列の下にあるアイコンをクリックします。選択したプロファイルの [デバイス設定 (Device Settings)] ページが表示されます。
  3. [セグメントの構成 (Configure Segments)] ドロップダウン メニューから、条件付きバックホールを構成するプロファイル セグメントを選択します。デフォルトでは、[グローバル セグメント [正規] (Global Segment [Regular])] が選択されています。
    注: 条件付きバックホール機能は、セグメントに対応しているため、機能する予定の各セグメントで有効にする必要があります。
  4. [クラウド VPN (Cloud VPN)] 領域に移動し、トグル ボタンを [オン (On)] にしてクラウド VPN を有効にします。
  5. ブランチから SD-WAN Hub への VPN を構成するには、[ブランチからハブ (Branch to Hubs)] で、[有効化 (Enable)] チェックボックスをオンにします。
  6. [ハブの選択 (Select Hubs)] リンクをクリックします。選択したプロファイルの [クラウド VPN ハブの管理 (Manage Cloud VPN Hubs)] ページが表示されます。

    [ハブ (Hubs)] 領域から、バックホール ハブとして機能するハブを選択し、[>] 矢印を使用して、それらを [バックホール ハブ (Backhaul Hubs)] 領域に移動します。

  7. 条件付きバックホールを有効にするには、[条件付きバックホールの有効化 (Enable Conditional BackHaul)] チェックボックスをオンにします。
    条件付きバックホールを有効にすると、 SD-WAN Edge は次のようにフェイルオーバーできます。
    • 利用可能なパブリック インターネット リンクがない場合は常に、インターネット向けトラフィック(直接インターネット トラフィック、SD-WAN Gateway 経由のインターネット、および IPsec 経由のクラウド セキュリティ トラフィック)を MPLS リンクへ。
    • パブリック インターネット リンクがまだ起動しているときに SD-WAN Edge で CSS (Zscaler) リンク障害が発生した場合は、インターネット向け CSS トラフィックをハブへ。
    条件付きバックホールを有効にすると、デフォルトですべてのビジネス ポリシーに適用されます。特定の要件に基づいて条件付きバックホールからトラフィックを除外するには、選択したビジネス ポリシーの [ルールの構成 (Configure Rule)] 画面の [アクション (Action)] 領域で [条件付きバックホールの無効化 (disable conditional backhaul)] チェックボックスをオンにすると、選択したポリシーの条件付きバックホールを無効にして、選択したトラフィック(ダイレクト、マルチパス、CSS)をこの動作から除外できます。詳細については、 ビジネス ポリシー ルールのネットワーク サービスの構成を参照してください。

    注:
    • 条件付きバックホールと SD-WAN 到達可能性は、同じ Edge で連携できます。条件付きバックホールと SD-WAN 到達可能性のどちらでも、パブリック インターネットが Edge 上で停止しているときに、クラウド向けの Gateway トラフィックを MPLS にフェイルオーバーすることができます。条件付きバックホールが有効で、Gateway へのパスがなく、MPLS 経由でのハブへのパスがある場合、直接トラフィックと Gateway 向けトラフィックの両方が条件付きバックホールを適用します。SD-WAN の到達可能性の詳細については、MPLS 経由の SD-WAN サービスの到達可能性を参照してください。
    • 複数のハブの候補がある場合、ハブが Gateway への接続を失っていない限り、条件付きバックホールはリストの最初のハブを使用します。
  8. [変更の保存 (Save Changes)] をクリックします。

条件付きバックホールのトラブルシューティング

ブランチ レベルで作成された次の 2 つのビジネス ポリシー ルールを持つユーザーについて考えてみましょう。
[リモート診断 (Remote Diagnostics)] セクションから [アクティブ フローの一覧表示 (List Active Flows)] コマンドを実行することにより、ブランチでこれらの宛先 IP アドレスに対して定期的な ping が実行されているかどうかを確認できます。
ブランチのパブリック リンクで極端なパケット ロスが発生し、リンクがダウンしている場合、同じフローがブランチのインターネット バックホールに切り替わります。
ハブのビジネス ポリシーによって、ハブによるトラフィックの転送方法が決まります。ハブは、これらのフローに固有のルールを持たないため、デフォルトのトラフィックとして分類されます。このシナリオでは、ビジネス ポリシー ルールをハブ レベルで作成して、目的の IP アドレスまたはサブネット範囲に一致させることができます。これにより、CBH が動作している場合に、特定のブランチからのフローがどのように処理されるかを定義できます。