VMware SASE は、複数のハブ Edge またはハブ クラスタの相互接続をサポートし、相互に通信可能なスポーク Edge の範囲を拡大します。この機能は複数のオーバーレイ接続とアンダーレイ接続を使用して、1 つのハブ Edge またはハブ クラスタに接続されているスポーク Edge と、別のハブ Edge またはハブ クラスタに接続されているスポーク Edge 間の通信を可能にします。

スポーク Edge がハブ クラスタに接続しようとすると、ハブ クラスタのメンバーの 1 つがスポーク Edge に対するハブとして選択されます。このハブが停止すると、同じハブ クラスタの別のメンバーが自動的に選択され、ユーザー設定なしでスポーク Edge を提供します。Hub クラスタ メンバーはアンダーレイ (BGP) を介して相互に接続され、このアンダーレイ接続を使用してルートとデータを交換できます。同じハブ クラスタの異なるメンバーに接続されているスポーク Edge は、このアンダーレイ接続を使用して相互に通信できます。このソリューションにより、耐障害性が向上します。

2 つのハブ クラスタが相互に接続されている場合、1 つのクラスタはもう一方のクラスタに対するハブとして機能します(設定によっては、逆方向の関係も存在する可能性があります)。1 つのクラスタの VCE は、もう一方のクラスタから独自のハブを取得します。これらのハブ クラスタに接続されているエンド スポーク Edge は、これらの 2 つのハブ クラスタと中間 VCRP (VeloCloud Route Protocol) ホップを介して相互に通信できます。

次の図に、この概念を示します。
この例では、クラスタ 1 (C1) とクラスタ 2 (C2) はハブ クラスタ、S1 と S2 はそれぞれ C1 および C2 に接続されているスポーク Edge のセットです。S1 は、次の接続を介して S2 と通信できます。
  • S1 と C1 間のオーバーレイ接続。
  • S2 と C2 間のオーバーレイ接続。
  • C1 と C2 間のオーバーレイ接続。
  • C1 内のアンダーレイ接続。
  • C2 内のアンダーレイ接続。

このように、ハブ クラスタでは相互にルートを交換できるので、異なるハブ クラスタに接続されているスポーク Edge 間でパケットがフローする方法が提供されます。

注: カスタマーのすべてのスポーク Edge が、ハブ クラスタ全体で接続されているその他のすべてのスポーク Edge と通信しないようにする場合、カスタマーはこの機能を無効にすることができます。

[制限事項]

[ハブまたはクラスタの相互接続] 機能が有効になっている場合:
  • Edge からハブに対して設定されているブランチのみが、引き続き Edge 間のルートを取得できます。
  • 共通のレイヤー 3 デバイスを使用してハブ クラスタ間でルートを交換すると、BGP メトリックがクラスタ メトリックによって上書きされます。
  • 異なるハブ クラスタに接続されているスポーク Edge 間の動的トンネルはサポートされていません。
  • Gateway を介したハブまたはクラスタの相互接続はサポートされていません。
  • ハブと Gateway を介した Edge 間はサポートされていません。
  • OSPF を使用したハブ クラスタ メンバー間のルートの交換はサポートされていません。
  • コミュニティ文字列がすべてのルートに追加され、相互接続ルーティングがサポートされます。

[ハブまたはクラスタの相互接続の設定]

前提条件

Edge クラスタに関連付けられているクラスタ プロファイルに対し [クラウド VPN] サービスが有効になっていることを確認します。

注: [ハブまたはクラスタの相互接続] 機能を有効にすると、パケットがネットワークの複数のホップを通過できるようにする VMware SD-WAN ルーティング プロトコルに対して、基本的な変更が導入されます。この変更は代表的なトポロジでテストされていますが、発生したすべてのルーティング シナリオでこの変更をテストすることはできません。そのため、 VMware はこの機能を [早期アクセス] としてリリースし、有効化されているデプロイの予期しないルーティング動作を詳細に監視します。

手順

  1. [新規クラスタの作成]
    1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [ネットワーク サービス (Network Services)] > [クラスタとハブ (Clusters and Hubs)] の順に移動します。
    2. [新規 (New)] をクリックして、新しいクラスタを作成します。
    3. 使用可能な Edge をこれらのクラスタに関連付けます。
    4. [変更の保存 (Save Changes)] をクリックします。
  2. [クラスタごとのプロファイルの作成]
    1. [設定 (Configure)] > [プロファイル (Profiles)] の順に移動します。
    2. 新しいクラスタごとに個別のプロファイルを作成します。プロファイルを作成する方法については、プロファイルの作成を参照してください。
  3. [クラスタ プロファイルへのハブの指定:]
    1. [プロファイル デバイス設定 (Profile Device Settings)] 画面で、[VPN サービス (VPN Services)] に移動し、[クラウド VPN (Cloud VPN)] サービスをオンにします。
    2. [ブランチからハブの有効化 (Enable Branch to Hubs)] および [ブランチ間 VPN の有効化 (Enable Branch to Branch VPN)] の各チェック ボックスをオンにします。
    3. [VPN 用のハブ (Hubs for VPN)] を選択してから、[ブランチ間 VPN ハブの指定 (Branch to Branch VPN Hub Designation)] にある [ハブの編集 (Edit Hubs)] をクリックします。
    4. 以下のように、相互にハブとして機能するクラスタを選択できます。
      この例では、クラスタ 1 (C1) はクラスタ 2 (C2) のハブとして機能します。
    5. [ハブの更新 (Update Hubs)] をクリックします。
  4. [Edge へのプロファイルの割り当て:] [設定 (Configure)] > [Edge (Edges)] の順に移動し、プロファイルを使用可能な Edge に割り当てます。
  5. [「ハブまたはクラスタの相互接続」機能の有効化][プロファイルデバイスの設定 (Profile Device Settings)] 画面で、[VPN サービス (VPN Services)] にある [ハブまたはクラスタの相互接続 (Hub or Cluster Interconnect)] に移動してから、[有効化 (Enable)] チェック ボックスをオンにします。
    注: ハブとクラスタの相互接続設定は、プロファイル レベルでのみ実行できます。
    注意: [ハブまたはクラスタの相互接続] 機能を有効または無効にすると、プロファイルに関連付けられているすべての Edge デバイスが再起動します。そのため、トラフィックが中断しないよう、この機能をメンテナンス モードでのみ設定することをお勧めします。
    これにより機能が有効になり、ハブ クラスタ間のトンネルが作成され、それぞれのスポーク Edge が相互通信できるようになります。