条件付きバックホール (CBH) は、少なくとも 1 つのパブリック リンクと 1 つのプライベート リンクを持つハイブリッド SD-WAN ブランチのデプロイ用に設計された機能です。

ユースケース 1:パブリック インターネット リンクの障害

VMware SD-WAN Edge でパブリック インターネット リンクに障害が発生した場合、VMware SD-WAN Gateway へのトンネル、クラウド セキュリティ サービス (CSS)、およびインターネットへの直接のブレイクアウトは確立されません。このシナリオでは、条件付きバックホール機能(有効になっている場合)は指定されたバックホール ハブへのプライベート リンクを介して接続を使用します。これにより、SD-WAN Edge は、プライベート オーバーレイを介してインターネットに送信されたトラフィックをハブにフェイルオーバーし、インターネット宛先に到達できるようになります。

パブリック インターネット リンクに障害が発生し、条件付きバックホールが有効になっている場合、Edge は次のタイプのインターネット向けトラフィックをフェイルオーバーできます。

  1. インターネットへの直接トラフィック
  2. SD-WAN Gateway 経由のインターネット
  3. クラウド セキュリティ サービスのトラフィック

通常の処理では、パブリック リンクがアクティブで、インターネット向けトラフィックは、設定されたビジネス ポリシーに従って、直接または SD-WAN Gateway 経由でフローします。

パブリック インターネット リンクがダウンするか、または SD-WAN オーバーレイ パスが QUIET 状態になる(7 ハートビート後に Gateway から受信したパケットがない)場合、インターネット向けトラフィックはハブに動的にバックホールされます。

ハブ上に設定されたビジネス ポリシーによって、ハブに到達した後のこのトラフィックの転送方法が決まります。オプションは次のとおりです。
  • ハブから直接転送
  • ハブから Gateway に、Gateway からブレイクアウト

パブリック インターネット リンクが回復すると、CBH はそのトラフィック フローをパブリック リンクに戻そうとします。不安定なリンクによってパブリック リンクとプライベート リンク間にトラフィックのフラップが発生することを回避するために、CBH にはデフォルトの 30 秒のホールドオフ タイマーがあります。ホールドオフ タイマーに到達すると、フローはパブリック インターネット リンクにフェイルバックされます。

ユースケース 2:クラウド セキュリティ サービス (CSS) リンクの障害

パブリック インターネットがまだ稼動しているときに SD-WAN Edge で CSS (Zscaler) リンクの障害が発生すると、CSS へのトンネルが確立されず、トラフィックがブラックホールになります。このシナリオでは、条件付きバックホールが有効になっている場合、ビジネス ポリシーで条件付きバックホールを実行し、トラフィックをハブにルーティングできます。

ポリシーベースの条件付きバックホールによって、SD-WAN Edge はパブリック リンクの状態に関係なく、CSS トンネルの状態に基づいて CSS リンクを使用するインターネット向けトラフィックをフェイルオーバーすることができます。

CBH が有効になるのは、次の場合のみです。
  • すべてのセグメントの CSS トンネルが VPN プロファイルでダウンしている。
  • プライマリ CSS トンネルがダウンし、セカンダリ CSS トンネルが設定されている場合に、インターネット トラフィックで条件付きバックホールが有効にならず、トラフィックがセカンダリ CSS トンネルを経由する。
CSS リンクがダウンし、パブリック インターネット リンクが起動すると、CSS リンクを使用するインターネット向けトラフィックは、パブリック リンクの状態に関係なく動的にハブにバックホールされます。

CSS リンクへのトンネルが回復すると、CBH はトラフィック フローを CSS に戻そうとし、トラフィックは条件付きでバックホールされません。

条件付きバックホールの動作特性

  • 条件付きバックホールが有効になっている場合、デフォルトでは、ブランチ レベルのすべてのビジネス ポリシー ルールは、CBH 経由でトラフィックをフェイルオーバーする必要があります。選択されたポリシーの特定の要件に基づいて、条件付きバックホールからトラフィックを除外するには、選択されたビジネス ポリシー レベルでこの機能を無効にします。
  • 条件付きバックホールは、パブリック リンクがダウンした場合、すでにハブにバックホールされている既存のフローには影響しません。既存のフローは、引き続き同じハブを使用してデータを転送します。
  • ブランチにバックアップ パブリック リンクがある場合、バックアップ パブリック リンクは CBH よりも優先されます。プライマリ リンクとバックアップ リンクがすべて動作不能になった場合にのみ、CBH がトリガされ、プライベート リンクを使用します。
  • プライベート リンクがバックアップとして機能している場合、アクティブなパブリック リンクに障害が発生し、プライベート バックアップ リンクがアクティブになると、トラフィックは CBH 機能を使用してプライベート リンクにフェイルオーバーします。
  • この機能を使用するには、ブランチと条件付きバックホール ハブの両方で、プライベート リンクに同じプライベート ネットワーク名を割り当てる必要があります(そうしないと、プライベート トンネルは起動しません)。

条件付きバックホールの設定

プロファイル レベルでは、条件付きバックホールを設定するには、次の手順を実行して、 [クラウド VPN] を有効にしてから、ブランチと SD-WAN Hub 間の VPN 接続を確立する必要があります。
  1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [プロファイル (Profiles)] の順に移動します。
  2. プロファイルを選択するか、[デバイス (Device)] 列の [表示 (View)] リンクをクリックします。選択したプロファイルの [デバイス (Device)] 設定ページが表示されます。
  3. [セグメント (Segments)] ドロップダウン メニューから、条件付きバックホールを設定するプロファイル セグメントを選択します。デフォルトでは、[グローバル セグメント [正規] (Global Segment [Regular])] が選択されています。
    注: 条件付きバックホール機能は、セグメントに対応しているため、機能する予定の各セグメントで有効にする必要があります。
  4. [VPN サービス (VPN Services)] 領域に移動し、トグル ボタンを [オン (On)] にして[クラウド VPN (Cloud VPN)] を有効にします。
  5. [ブランチからハブの有効化 (Enable Branch to Hubs)] チェック ボックスをオンにします。
  6. [ハブの編集 (Edit Hubs)] リンクをクリックします。選択したプロファイルの [ハブの追加 (Add Hubs)] ウィンドウが表示されます。

    [ハブ (Hubs)] 領域から、バックホール ハブとして機能するハブを選択し、矢印を使用して、それらを [バックホール ハブ (Backhaul Hubs)] 領域に移動します。

  7. 条件付きバックホールを有効にするには、[条件付きバックホールの有効化 (Enable Conditional BackHaul)] チェックボックスをオンにします。
    条件付きバックホールが有効になっている場合、 SD-WAN Edge はフェイルオーバーできます。
    • 利用可能なパブリック インターネット リンクがない場合は常に、インターネット向けトラフィック(直接インターネット トラフィック、SD-WAN Gateway 経由のインターネット、および IPsec 経由のクラウド セキュリティ トラフィック)を MPLS リンクへ。
    • パブリック インターネット リンクがまだ起動しているときに SD-WAN Edge で CSS (Zscaler) リンク障害が発生した場合は、インターネット向け CSS トラフィックをハブへ。
    条件付きバックホールを有効にすると、デフォルトですべてのビジネス ポリシーに適用されます。特定の要件に基づいて条件付きバックホールからトラフィックを除外する場合は、選択したビジネス ポリシーの [ルールの設定 (Configure Rule)] 画面の [アクション (Action)] 領域で [条件付きバックホールをオフにする (Turn off Conditional Backhaul)] チェックボックスをオンにすることで、選択したポリシーの条件付きバックホールを無効にして、選択したトラフィック(ダイレクト、マルチパス、CSS)をこの動作から除外できます。詳細については、 ビジネス ポリシー ルールのネットワーク サービスの設定を参照してください。

    注:
    • 条件付きバックホールと SD-WAN 到達可能性は、同じ Edge で連携できます。条件付きバックホールと SD-WAN 到達可能性のどちらでも、パブリック インターネットが Edge 上でダウンしているときに、クラウド向けの Gateway トラフィックを MPLS にフェイルオーバーすることができます。条件付きバックホールが有効で、Gateway へのパスがなく、MPLS 経由でのハブへのパスがある場合は、直接トラフィックと Gateway 向けトラフィックの両方が条件付きバックホールを適用します。SD-WAN の到達可能性の詳細については、MPLS 経由の SD-WAN サービスの到達可能性を参照してください。
    • 複数のハブの候補がある場合、ハブが Gateway への接続を失っていない限り、条件付きバックホールはリストの最初のハブを使用します。
  8. [変更の保存 (Save Changes)] をクリックします。

条件付きバックホールのトラブルシューティング

ブランチ レベルで作成されたビジネス ポリシー ルールを持つユーザーの場合を考えてみます。[リモート診断 (Remote Diagnostics)] セクションから [アクティブ フローの一覧表示 (List Active Flows)] コマンドを実行することにより、ブランチでこれらの宛先 IP アドレスに対して定期的な ping が実行されているかどうかを確認できます。

詳細については、https://docs.vmware.com/jp/VMware-SD-WAN/index.htmlで公開されている『VMware SD-WAN トラブルシューティング ガイド』の「Edge でのリモート診断テスト」セクションを参照してください。

ブランチのパブリック リンクで極端なパケット ロスが発生し、リンクがダウンしている場合、同じフローがブランチのインターネット バックホールに切り替わります。
注: ハブのビジネス ポリシーによって、ハブによるトラフィックの転送方法が決まります。ハブは、これらのフローに固有のルールを持たないため、デフォルトのトラフィックとして分類されます。このシナリオでは、ビジネス ポリシー ルールをハブ レベルで作成して、目的の IP アドレスまたはサブネット範囲に一致させることができます。これにより、条件付きバックホールが動作状態になった場合に、特定のブランチからのフローがどのように処理されるかを定義できます。