VMware SASE は、複数のハブ Edge またはハブ クラスタの相互接続をサポートし、相互に通信可能なスポーク Edge の範囲を拡大します。この機能は複数のオーバーレイ接続とアンダーレイ接続を使用して、1 つのハブ Edge またはハブ クラスタに接続されているスポーク Edge と、別のハブ Edge またはハブ クラスタに接続されているスポーク Edge 間の通信を可能にします。

スポーク Edge がハブ クラスタに接続しようとすると、ハブ クラスタのメンバーの 1 つがスポーク Edge に対するハブとして選択されます。このハブが停止すると、同じハブ クラスタの別のメンバーが自動的に選択され、ユーザー設定なしでスポーク Edge を提供します。Hub クラスタ メンバーはアンダーレイ (BGP) を介して相互に接続され、このアンダーレイ接続を使用してルートとデータを交換できます。同じハブ クラスタの異なるメンバーに接続されているスポーク Edge は、このアンダーレイ接続を使用して相互に通信できます。このソリューションにより、耐障害性が向上します。

オーケストレーション設定は次のとおりです。
この場合、3 つのプロファイルすべてに対して次の手順を実行します。
  • [ハブまたはクラスタの相互接続 (Hub or Cluster Interconnect)] 機能を有効にする必要があります。
  • [ブランチからハブ サイト (常時接続 VPN) (Branch to Hub Site (Permanent VPN))] チェック ボックスをオンにする必要があります。次の表で説明するように、相互接続された 2 つのハブ ノードを相互にハブとして設定する必要があります。
次の表に、プロファイルと対応するハブの指定について説明します。
プロファイル (Profile) ハブの指定
hub_profile1 hub2
hub_profile2 hub1 および hub3
hub_profile3 hub2
注: ハブ プロファイルで [ブランチ間 VPN (トランジットと動的) (Branch to Branch VPN (Transit & Dynamic))] オプションを有効にする必要はありません。ブランチは、 [ブランチ間 VPN ハブ (Branch to Branch VPN Hubs)] として対応するハブを持つスポーク プロファイルの一部です。

[ハブまたはクラスタの相互接続 (Hub or Cluster Interconnect)] 機能が有効になっている場合、1 つのクラスタから別のクラスタへのトンネルが形成され、他のクラスタに少なくとも 1 つのピアが設定されます。条件に基づいて、1 つのクラスタの 2 つのメンバーが別のクラスタ内の同じメンバーへのトンネルを形成できます。個々のハブとハブ クラスタの相互接続の場合、すべてのクラスタ メンバーがその個々のハブへのトンネルを形成します。これらのハブ クラスタに接続されているエンド スポーク Edge は、これらの 2 つのハブ クラスタと中間 VMware SD-WAN ルーティング プロトコル ホップを介して相互に通信できます。

クラスタ内ルートは、クラスタ ID の最後の 4 バイトが拡張コミュニティに組み込まれている、特別な BGP 拡張コミュニティでアドバタイズされます。たとえば、クラスタ ID が fee2f589-eab6-4738-88f2-8af84b1a3d9c の場合、4b1a3d9c は逆になり、クラスタ コミュニティを 9c3d1a4b00000003 として取得するために使用されます。このコミュニティ タグに基づいて、クラスタ内ルートはコントローラに対して除外されます。これにより、複数のクラスタ メンバーからの冗長ルートが反映されなくなります。

上記の例では、クラスタ 1 (C1) とクラスタ 2 (C2) はハブ クラスタ、S1 と S2 はそれぞれ C1 と C2 に接続されたスポーク Edge のセットです。S1 は、次の接続を介して S2 と通信できます。
  • S1 と C1 間のオーバーレイ接続。
  • S2 と C2 間のオーバーレイ接続。
  • C1 と C2 間のオーバーレイ接続。
  • C1 内のアンダーレイ接続。
  • C2 内のアンダーレイ接続。

このように、ハブ クラスタでは相互にルートを交換できるので、異なるハブ クラスタに接続されているスポーク Edge 間でパケットがフローする方法が提供されます。

[サポートされる使用方法:]
  • 動的なブランチ間は、2 つの異なるクラスタまたは同じクラスタに接続されたスポーク間でサポートされます。
  • スポーク プロファイルでのプロファイルの分離がサポートされています。
  • クラスタ経由のインターネット バックホールはサポートされています。

[制限:]

[ハブまたはクラスタの相互接続] 機能が有効になっている場合:
  • Gateway を介したハブまたはクラスタの相互接続はサポートされていません。
  • OSPF を使用したハブ クラスタ メンバー間のルートの交換はサポートされていません。
  • 非対称ルーティングは、2 つのクラスタが相互接続されている場合に発生する可能性があります。非対称ルーティングが原因でトラフィックがブロックされる可能性があるため、拡張ファイアウォール サービスまたはステートフル ファイアウォールを有効にしないでください。
  • 2 つのクラスタ メンバー間ですべてのオーバーレイ トンネルが停止すると、ピア クラスタ内の他のメンバーとのトンネルが形成されるまで、トラフィックのドロップが予想されます。
  • クラスタを使用して BGP を実行している LAN/WAN ルーターが複数ある場合は、[信頼できる送信元 (Trusted Source)] チェック ボックスをオンにし、BGP ルーターを接続するクラスタ Edge インターフェイスで [リバース パス フォワーディング (Reverse Path Forwarding)] の値を [無効 (Not enabled)] にする必要があります。詳細については、Edge のインターフェイスの設定を参照してください。
  • [ハブまたはクラスタの相互接続 (Hub or Cluster Interconnect)] 機能がない場合、クラスタ ハブ プロファイルに別のクラスタまたはハブをハブとして設定することはできません。

[ハブまたはクラスタの相互接続の設定]

前提条件

  • Orchestrator、Gateway、およびハブまたはハブ クラスタをバージョン 5.4.0.0 以降にアップグレードしてください。
  • [クラウド VPN (Cloud VPN)] サービスは、Edge クラスタまたはハブに関連付けられているクラスタ プロファイルに対して有効にする必要があります。
  • 次に示すように、[ブランチ間 VPN (トランジットと動的) (Branch to Branch VPN (Transit & Dynamic))] チェック ボックスは、相互接続ハブ プロファイルでオンにしないでください。

    相互接続プロファイルで [ハブの指定 (Hubs Designation)] を設定するだけで、すべてのノードとのエンドツーエンドの通信を行うことができます。スポーク プロファイルのハブ経由のブランチ間を設定できます。

  • [ハブまたはクラスタの相互接続 (Hub or Cluster Interconnect)] 機能は、相互接続プロセスに含まれるすべてのハブ プロファイルで有効にする必要があります。
  • クラスタ メンバーは、LAN/L3 ルーターを使用して BGP を実行し、BGP 拡張コミュニティを転送するようにルーターを設定する必要があります。
  • Partner Gateway が割り当てられている場合は、すべての Edge(スポークとハブ)に少なくとも 1 つの共通 Gateway が必要です。Partner Gateway の割り当ての順序は、すべてのハブ/クラスタ プロファイルで同じである必要があります。
注: [ハブまたはクラスタの相互接続] 機能を有効にすると、パケットがネットワークの複数のホップを通過できるようにする VMware SD-WAN ルーティング プロトコルに対して、基本的な変更が導入されます。5.4.0.0 リリース以降、サポートされる相互接続ホップの最大数は [4] です。4 ホップを超える接続の場合は、 VMware サポートにお問い合わせください。

手順

  1. [新規クラスタの作成]
    1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [ネットワーク サービス (Network Services)] > [クラスタとハブ (Clusters and Hubs)] の順に移動します。
    2. [新規 (New)] をクリックして、新しいクラスタを作成します。詳細については、クラスタとハブの設定を参照してください。
    3. 使用可能な Edge をこれらのクラスタに関連付けます。
    4. [変更の保存 (Save Changes)] をクリックします。
  2. [クラスタごとのプロファイルの作成]
    1. [設定 (Configure)] > [プロファイル (Profiles)] の順に移動します。
    2. 新しいクラスタごとに個別のプロファイルを作成します。プロファイルを作成する方法については、プロファイルの作成を参照してください。
  3. [クラスタ プロファイルへのハブの指定:]
    1. [プロファイル デバイス設定 (Profile Device Settings)] 画面で、[VPN サービス (VPN Services)] に移動し、[クラウド VPN (Cloud VPN)] サービスをオンにします。
    2. [ブランチからハブの有効化 (Enable Branch to Hubs)] チェック ボックスをオンにします。
    3. [ハブの指定 (Hub Designation)] にある [ハブの編集 (Edit Hubs)] をクリックします。
    4. [ハブの更新 (Update Hubs)] をクリックします。
  4. [「ハブまたはクラスタの相互接続」機能の有効化][プロファイルデバイスの設定 (Profile Device Settings)] 画面で、[VPN サービス (VPN Services)] にある [ハブまたはクラスタの相互接続 (Hub or Cluster Interconnect)] に移動してから、[有効化 (Enable)] チェック ボックスをオンにします。
    注: ハブとクラスタの相互接続設定は、プロファイル レベルでのみ実行できます。
    これにより機能が有効になり、ハブ クラスタ間のトンネルが作成され、それぞれのスポーク Edge が相互通信できるようになります。
    注意: [ハブまたはクラスタの相互接続] 機能を有効または無効にすると、プロファイルに関連付けられているすべての Edge デバイスが再起動します。そのため、トラフィックが中断しないよう、この機能をメンテナンス モードでのみ設定することをお勧めします。

次のタスク

  • [Edge へのプロファイルの割り当て:] [設定 (Configure)] > [Edge (Edges)] の順に移動し、プロファイルを使用可能な Edge に割り当てます。
  • イベントを監視するには、[監視 (Monitor)] > [イベント (Events)] の順に移動します。次の表に、[ハブまたはクラスタの相互接続 (Hub or Cluster Interconnect)] 機能に追加された新しい Orchestrator イベントを示します。
    イベント (Event) レベル 説明
    CLUSTER_IC_ENABLED 情報 このイベントは、Edge がクラスタ サービスに関連付けられている場合に毎回生成されます。
    CLUSTER_IC_DISABLED 情報 このイベントは、Edge がクラスタ サービスとの関連付けを解除されるたびに生成されます。
    CLUSTER_IC_PEER_UP 警告 このイベントは、2 つのクラスタ ハブ ノード間の最初の相互接続トンネルが起動するたびに生成されます。
    CLUSTER_IC_PEER_DOWN 警告 このイベントは、2 つのクラスタ ハブ ノード間の最後の相互接続トンネルが停止するたびに生成されます。
    CLUSTER_IC_TUNNEL_UP 警告 このイベントは、クラスタ間の相互接続トンネルが起動するたびに生成されます。
    CLUSTER_IC_TUNNEL_DOWN 警告 このイベントは、クラスタ間の相互接続トンネルが停止するたびに生成されます。
    HUB_CLUSTER_REBALANCE 警告 このイベントは、クラスタのリバランス アクションがトリガされるたびに生成されます。
注:
  1. [ハブまたはクラスタの相互接続 (Hub or Cluster Interconnect)] 機能を有効にした後、[ネットワーク サービス (Network Services)] でクラスタ メンバーを削除または追加すると、その特定の Edge でサービスの再起動がトリガされます。メンテナンス期間中は、このようなアクションを実行することをお勧めします。
  2. スポークがプライマリおよびセカンダリハブ クラスタに接続され、両方から同じルートを学習する場合、ルートの順序は BGP 属性に基づいています。ルーティング属性が同じ場合、ルートの並べ替えは VPN ハブの順序の設定に基づいて実行されます。一方、スポークのサブネットはそれぞれメトリック (MED) 33 および 34 を使用して、プライマリおよびセカンダリ ハブまたはハブ クラスタによってネイバーに再配分されます。対称ルーティング用にネイバー ルーターで「bgp always-compare-med」を設定する必要があります。
  3. ハブまたはハブ クラスタが CE を介して MPLS コアに接続されている場合は、これらの BGP ネイバーで UPLINK タグを設定する必要があります。
  4. スポーク、プライマリ ハブ、およびセカンダリ ハブを使用して設定されたネットワークで、スポークの背後からフローを開始すると、スポークにローカル フローが作成され、プライマリ ハブを経由してルーティングされます。プライマリ ハブがダウンすると、ローカル フローのルートがセカンダリ ハブに更新されます。ルートはローカル フローの各パケットでチェックされるため、プライマリ ハブが復帰すると、それに応じてルートが更新されます。ただし、フローがピア フローの場合の動作は異なります。この場合、プライマリ ハブがダウンすると、ピア フローはセカンダリ ハブを経由してルーティングされますが、プライマリ ハブが復帰してもピア ルートは更新されません。これはピア フローがピアの更新に依存しているためで、想定される動作です。この問題を回避するには、影響を受けるフローをフラッシュします。