O Backhaul condicional (CBH) é uma funcionalidade concebida para implementações híbridas de ramos SD-WAN que têm pelo menos uma ligação pública e uma privada.
Caso de utilização 1: falha na ligação pública à Internet
Sempre que há uma falha de ligação pública à Internet num VMware SD-WAN Edge, os túneis para o VMware SD-WAN Gateway, o Serviço de Segurança na Cloud (CSS) e o breakout direto à Internet não são estabelecidos. Neste cenário, a funcionalidade Backhaul condicional, se ativada, utilizará a conectividade através de ligações privadas para os hubs Backhaul designados, dando ao SD-WAN Edge a capacidade de recuperar o tráfego ligado à Internet sobre overlays privados ao hub e fornecer alcance aos destinos da Internet.
Sempre que a ligação pública à Internet falhar e o Backhaul condicional estiver ativado, o Edge pode recuperar os seguintes tipos de tráfego ligados à Internet:
- Direto à Internet
- Internet via SD-WAN Gateway
- Tráfego do Serviço de Segurança na Cloud
Em operações normais, a ligação pública é UP e o tráfego ligado à Internet fluirá normalmente direto ou através de SD-WAN Gateway de acordo com as políticas empresariais configuradas.
Quando a ligação pública à Internet fica INATIVA ou o caminho de overlay SD-WAN vai para o estado SILÊNCIO (nenhum pacote recebido de gateway após 7 heartbeats), o tráfego ligado à Internet é dinamicamente interligado ao hub.
- Direto do hub
- Hub para gateway e, em seguida, breakout do gateway
Quando a ligação pública à Internet voltar, o CBH tentará mover os fluxos de tráfego de volta para a ligação pública. Para evitar uma ligação instável que faz com que o tráfego oscile entre as ligações pública e privada, o CBH tem um temporizador de 30 segundos predefinido. Após o temporizador ser atingido, os fluxos serão recuperados para a ligação pública à Internet.
Caso de utilização 2: falha de ligação do Serviço de Segurança na Cloud (CSS)
Sempre que há uma falha de ligação do CSS (Zscaler) num SD-WAN Edge, enquanto a Internet pública ainda está ativa, os túneis para o CSS não são estabelecidos, o que faz com que o tráfego fique bloqueado. Neste cenário, a funcionalidade Backhaul condicional, se ativada, permitirá que a política empresarial execute um Backhaul condicional e encaminhe o tráfego para o hub.
O Backhaul condicional baseado em políticas fornece ao SD-WAN Edge a capacidade de ativar pós-falha o tráfego ligado à Internet que utiliza a ligação CSS com base no estado do túnel CSS, independentemente do estado das ligações públicas.
- Os túneis de CSS em todo o segmento ficarem inativos no perfil VPN.
- Enquanto o túnel principal de CSS estiver inativo e se o túnel secundário de CSS estiver configurado, o tráfego da Internet não será interligado condicionalmente, em vez disso, o tráfego passará pelo túnel secundário de CSS.
Quando os túneis para a ligação CSS voltarem, o CBH tentará mover os fluxos de tráfego de volta para o CSS e o tráfego não será interligado condicionalmente.
Características comportamentais do Backhaul condicional
- Quando o Backhaul condicional está ativado, por predefinição todas as regras da política empresarial ao nível do ramo estão sujeitas a recuperação do tráfego através do CBH. É possível excluir o tráfego do Backhaul condicional com base em determinados requisitos para políticas selecionadas, desativando esta funcionalidade ao nível da política empresarial selecionada.
- O Backhaul condicional não afetará os fluxos existentes que já estão a ser recuados para um hub se as ligações públicas estiverem inativas. Os fluxos existentes continuarão a transmitir dados utilizando o mesmo hub.
- Se a localização de um ramo tiver ligações públicas de backup, a ligação pública de backup terá precedência sobre o CBH. O CBH só será acionado e utilizará a ligação privada se as ligações primária e de backup estiverem inoperáveis.
- Se uma ligação privada estiver a funcionar como backup, o tráfego efetuará uma recuperação automática para a ligação privada utilizando a funcionalidade CBH quando a ligação pública ativa falhar e a ligação de backup privada ficar Ativa.
- Para que a funcionalidade funcione, tanto os ramos como os hubs de Backhaul condicional têm de ter o mesmo nome de rede privada atribuído às suas ligações privadas. (O túnel privado não surgirá de outra forma.)
Configuração do Backhaul condicional
- No SD-WAN Orchestrator, aceda a Configurar > Perfis (Configure > Profiles). É apresentada a página Perfis de configuração (Configuration Profiles).
- Selecione um perfil para o qual pretende configurar a VPN de cloud e clique no ícone debaixo da coluna Dispositivo (Device). É apresentada a página Definições do dispositivo (Device Settings) do perfil selecionado.
- No menu Configurar segmento (Configure Segment), selecione um segmento de perfil para configurar o Backhaul condicional. Por predefinição, está selecionada a opção Segmento global [Regular] (Global Segment [Regular]).
Nota: A funcionalidade Backhaul condicional está ciente do segmento e, portanto, deve ser ativada em cada segmento onde se destina a funcionar.
- Aceda à área VPN de cloud (Cloud VPN) e ative a VPN de cloud rodando o botão de alternar para Ligado (On).
- Para configurar o ramo para SD-WAN Hubs, em Ramo a Hubs (Branch to Hubs), selecione a caixa de verificação Ativar (Enable).
- Clique na ligação Selecionar hubs (Select Hubs). É apresentada a página Gerir hubs VPN de cloud (Manage Cloud VPN Hubs) para o perfil selecionado.
Na área Hubs, selecione os hubs para atuarem como hubs de backhaul e mova-os para a área Hubs de Backhaul (Backhaul Hubs) utilizando a seta >.
- Para ativar o Backhaul condicional, selecione a caixa de verificação Ativar BackHaul condicional (Enable Conditional BackHaul).
Com o Backhaul condicional ativado, o SD-WAN Edge poderá recuperar:
- Tráfego ligado à Internet (tráfego direto de Internet, Internet via SD-WAN Gateway e tráfego de segurança de cloud via IPsec) para ligações MPLS sempre que não existam ligações públicas de Internet.
- Tráfego CSS ligado à Internet para o hub sempre que há uma falha de ligação CSS (Zscaler) no SD-WAN Edge, enquanto a ligação pública à Internet ainda está ativa.
Nota:- O Backhaul condicional e a acessibilidade do SD-WAN podem funcionar juntos no mesmo Edge. Tanto o Backhaul condicional como a acessibilidade do SD-WAN apoiam a recuperação do tráfego de gateway ligado à cloud para o MPLS quando a Internet pública está inativa no Edge. Se o Backhaul condicional estiver ativado e não houver caminho para o gateway e houver um caminho para o hub via MPLS, tanto o tráfego ligado direto como o de gateway aplicam Backhaul condicional. Para obter mais informações sobre a acessibilidade do SD-WAN, consulte Acessibilidade do serviço SD-WAN via MPLS.
- Quando existem vários hubs candidatos, o Backhaul condicional utilizará o primeiro hub da lista, a menos que o hub tenha perdido a conectividade com o gateway.
- Clique em Guardar alterações (Save Changes).