O Backhaul condicional (CBH) é uma funcionalidade concebida para implementações híbridas de ramos SD-WAN que têm pelo menos uma ligação pública e uma privada.

Caso de utilização 1: falha na ligação pública à Internet

Sempre que há uma falha de ligação pública à Internet num VMware SD-WAN Edge, os túneis para o VMware SD-WAN Gateway, o Serviço de Segurança na Cloud (CSS) e o breakout direto à Internet não são estabelecidos. Neste cenário, a funcionalidade Backhaul condicional, se ativada, utilizará a conectividade através de ligações privadas para os hubs Backhaul designados, dando ao SD-WAN Edge a capacidade de recuperar o tráfego ligado à Internet sobre overlays privados ao hub e fornecer alcance aos destinos da Internet.

Sempre que a ligação pública à Internet falhar e o Backhaul condicional estiver ativado, o Edge pode recuperar os seguintes tipos de tráfego ligados à Internet:

  1. Direto à Internet
  2. Internet via SD-WAN Gateway
  3. Tráfego do Serviço de Segurança na Cloud

Em operações normais, a ligação pública é UP e o tráfego ligado à Internet fluirá normalmente direto ou através de SD-WAN Gateway de acordo com as políticas empresariais configuradas.

Quando a ligação pública à Internet fica INATIVA ou o caminho de overlay SD-WAN vai para o estado SILÊNCIO (nenhum pacote recebido de gateway após 7 heartbeats), o tráfego ligado à Internet é dinamicamente interligado ao hub.

A política empresarial configurada no hub determinará como este tráfego é encaminhado assim que chegar ao hub. As opções são:
  • Direto do hub
  • Hub para gateway e, em seguida, breakout do gateway

Quando a ligação pública à Internet voltar, o CBH tentará mover os fluxos de tráfego de volta para a ligação pública. Para evitar uma ligação instável que faz com que o tráfego oscile entre as ligações pública e privada, o CBH tem um temporizador de 30 segundos predefinido. Após o temporizador ser atingido, os fluxos serão recuperados para a ligação pública à Internet.

Caso de utilização 2: falha de ligação do Serviço de Segurança na Cloud (CSS)

Sempre que há uma falha de ligação do CSS (Zscaler) num SD-WAN Edge, enquanto a Internet pública ainda está ativa, os túneis para o CSS não são estabelecidos e faz com que o tráfego fique bloqueado. Neste cenário, a funcionalidade Backhaul condicional, se ativada, permitirá que a política empresarial execute um Backhaul condicional e encaminhe o tráfego para o hub.

O Backhaul condicional baseado em políticas fornece ao SD-WAN Edge a capacidade de ativar pós-falha o tráfego ligado à Internet que utiliza a ligação CSS com base no estado do túnel CSS, independentemente do estado das ligações públicas.

O CBH só será eficaz se:
  • Os túneis de CSS em todo o segmento ficarem inativos no perfil VPN.
  • Enquanto o túnel principal de CSS estiver inativo e se o túnel secundário de CSS estiver configurado, o tráfego da Internet não será interligado condicionalmente, em vez disso, o tráfego passará pelo túnel secundário de CSS.
Quando a ligação CSS ficar INATIVA e a ligação pública à Internet estiver ATIVA, o tráfego ligado à Internet que utiliza a ligação CSS é dinamicamente interligado ao hub, independentemente do estado da ligação pública.

Quando os túneis para a ligação CSS voltarem, o CBH tentará mover os fluxos de tráfego de volta para o CSS e o tráfego não será interligado condicionalmente.

Características comportamentais do Backhaul condicional

  • Quando o Backhaul condicional está ativado, por predefinição todas as regras da política empresarial ao nível do ramo estão sujeitas a recuperação do tráfego através do CBH. É possível excluir o tráfego do Backhaul condicional com base em determinados requisitos para políticas selecionadas, desativando esta funcionalidade ao nível da política empresarial selecionada.
  • O Backhaul condicional não afetará os fluxos existentes que já estão a ser recuados para um hub se as ligações públicas estiverem inativas. Os fluxos existentes continuarão a transmitir dados utilizando o mesmo hub.
  • Se a localização de um ramo tiver ligações públicas de backup, a ligação pública de backup terá precedência sobre o CBH. O CBH só será acionado e utilizará a ligação privada se as ligações primária e de backup estiverem inoperáveis.
  • Se uma ligação privada estiver a funcionar como backup, o tráfego efetuará uma recuperação automática para a ligação privada utilizando a funcionalidade CBH quando a ligação pública ativa falhar e a ligação de backup privada ficar Ativa.
  • Para que a funcionalidade funcione, tanto os ramos como os hubs de Backhaul condicional têm de ter o mesmo nome de rede privada atribuído às suas ligações privadas. (O túnel privado não surgirá de outra forma.)

Configuração do Backhaul condicional

Ao nível do perfil, para configurar o Backhaul condicional, deve ativar a VPN de cloud e, em seguida, estabelecer a ligação VPN entre o ramo e os SD-WAN Hubs executando os seguintes passos:
  1. No SD-WAN Orchestrator, aceda a Configurar > Perfis (Configure > Profiles). É apresentada a página Perfis de configuração (Configuration Profiles).
  2. Selecione um perfil para o qual pretende configurar a VPN de cloud e clique no ícone debaixo da coluna Dispositivo (Device). É apresentada a página Definições do dispositivo (Device Settings) do perfil selecionado.
  3. No menu Configurar segmento (Configure Segment), selecione um segmento de perfil para configurar o Backhaul condicional. Por predefinição, está selecionada a opção Segmento global [Regular] (Global Segment [Regular]).
    Nota: A funcionalidade Backhaul condicional está ciente do segmento e, portanto, deve ser ativada em cada segmento onde se destina a funcionar.
  4. Aceda à área VPN de cloud (Cloud VPN) e ative a VPN de cloud rodando o botão de alternar para Ligado (On).
  5. Para configurar o ramo para SD-WAN Hubs, em Ramo a Hubs (Branch to Hubs), selecione a caixa de verificação Ativar (Enable).
  6. Clique na ligação Selecionar hubs (Select Hubs). É apresentada a página Gerir hubs VPN de cloud (Manage Cloud VPN Hubs) para o perfil selecionado.

    Na área Hubs, selecione os hubs para atuarem como hubs de backhaul e mova-os para a área Hubs de Backhaul (Backhaul Hubs) utilizando a seta >.

  7. Para ativar o Backhaul condicional, selecione a caixa de verificação Ativar BackHaul condicional (Enable Conditional BackHaul).
    Com o Backhaul condicional ativado, o SD-WAN Edge poderá recuperar:
    • Tráfego ligado à Internet (tráfego direto de Internet, Internet via SD-WAN Gateway e tráfego de segurança de cloud via IPsec) para ligações MPLS sempre que não existam ligações públicas de Internet.
    • Tráfego CSS ligado à Internet para o hub sempre que há uma falha de ligação CSS (Zscaler) no SD-WAN Edge, enquanto a ligação pública à Internet ainda está ativa.
    O Backhaul condicional, quando ativado, será aplicado por predefinição a todas as políticas empresariais. Se pretender excluir o tráfego do Backhaul condicional com base em determinados requisitos, poderá desativar o Backhaul condicional para políticas selecionadas para excluir o tráfego selecionado (direto, vários caminhos e CSS) deste comportamento selecionando a caixa de verificação Desativar Backhaul condicional (Turn off Conditional Backhaul) na área Ação (Action) do ecrã Configurar regra (Configure Rule) para a política empresarial selecionada. Para obter mais informações, consulte Configurar o serviço de rede da regra de política empresarial.

    Nota:
    • O Backhaul condicional e a acessibilidade do SD-WAN podem funcionar juntos no mesmo Edge. Tanto o Backhaul condicional como a acessibilidade do SD-WAN apoiam a recuperação do tráfego de gateway ligado à cloud para o MPLS quando a Internet pública está inativa no Edge. Se o Backhaul condicional estiver ativado e não houver caminho para o gateway e houver um caminho para o hub via MPLS, tanto o tráfego ligado direto como o de gateway aplicam Backhaul condicional. Para obter mais informações sobre a acessibilidade do SD-WAN, consulte Acessibilidade do serviço SD-WAN via MPLS.
    • Quando existem vários hubs candidatos, o Backhaul condicional utilizará o primeiro hub da lista, a menos que o hub tenha perdido a conectividade com o gateway.
  8. Clique em Guardar alterações (Save Changes).

Resolução de problemas do Backhaul condicional

Considere um utilizador com as duas seguintes regras de política empresarial criadas ao nível do ramo.
Pode verificar se os pings constantes de cada um destes endereços IP de destino estão ativos para o ramo executando o comando Listar fluxos ativos (List Ative Flows) na secção Diagnóstico remoto.
Se a perda extrema de pacotes ocorrer na ligação pública do ramo e a ligação estiver inativa, os mesmos fluxos mudarão para o Backhaul de Internet no ramo.
Note que a política empresarial no hub determina como o hub encaminha o tráfego. Como o hub não tem nenhuma regra específica para estes fluxos, estes são categorizados como tráfego predefinido. Para este cenário, pode ser criada uma regra de política empresarial ao nível do hub para corresponder aos intervalos de IPs ou sub-rede desejados para definir como os fluxos de um ramo específico são tratados no caso de o CBH se tornar operacional.