VMware SASE 支援互連多個中樞 Edge 和/或中樞叢集,以擴大可彼此通訊的支點 Edge 範圍。此功能允許在連線到一個中樞 Edge/中樞叢集的支點 Edge,與連線到另一個中樞 Edge/中樞叢集的支點 Edge 之間進行通訊 (使用多個覆疊和底層連線)。

在支點 Edge 嘗試連線至中樞叢集時,會選取中樞叢集中的一個成員,來作為指向支點 Edge 的中樞。如果該中樞關閉,則會自動選取同一中樞叢集中的另一個成員,來處理支點 Edge,使用者無需進行任何設定。中樞叢集成員是經由底層 (BGP) 彼此連線,且可以使用此底層連線來交換路由和資料。之後,連線到同一中樞叢集中不同成員的支點 Edge 可以使用此底層連線彼此通訊。這個解決方案可提供更好的復原能力。

協調組態如下所示:
在此例中,對於所有三個設定檔:
  • 必須啟用中樞或叢集互連 (Hub or Cluster Interconnect) 功能。
  • 必須選取分支到中樞站台 (永久 VPN) (Branch to Hub Site (Permanent VPN)) 核取方塊。必須將兩個互連的中樞節點設定為彼此的中樞,如下表所述。
下表介紹了設定檔及對應的中樞指定:
設定檔 中樞指定
hub_profile1 hub2
hub_profile2 hub1 和 hub3
hub_profile3 hub2
備註: 不需要在中樞設定檔中啟用 分支到分支 VPN (傳送和動態) (Branch to Branch VPN (Transit & Dynamic)) 選項。分支是支點設定檔的一部分,其對應的中樞作為 分支到分支 VPN 中樞 (Branch to Branch VPN Hubs)

啟用中樞或叢集互連 (Hub or Cluster Interconnect) 功能後,將形成從一個叢集到另一個叢集的通道,並且在其他叢集中至少有一個對等項。根據條件,一個叢集中的兩個成員可以形成到另一個叢集中相同成員的通道。對於個別中樞和中樞叢集互連,所有叢集成員都會形成到該個別中樞的通道。之後,連線至這些中樞叢集的終端支點 Edge 就可以經由這兩個中樞叢集和中繼 VMware SD-WAN 路由通訊協定躍點,彼此通訊。

叢集內的路由將透過特殊的 BGP 延伸社群進行通告,其中叢集識別碼的最後四個位元組會內嵌在延伸社群中。例如,如果叢集識別碼為 fee2f589-eab6-4738-88f2-8af84b1a3d9c,則 4b1a3d9c 的順序會反轉並用於將叢集社群衍生為 9c3d1a4b00000003。根據此社群標籤,將篩選出叢集內的路由以指向控制器。這可避免反映來自多個叢集成員的備援路由。

在此範例中,叢集 1 (C1) 和叢集 2 (C2) 是中樞叢集,S1 和 S2 是分別連線至 C1 和 C2 的一組支點 Edge。S1 可經由以下連線來與 S2 通訊:
  • S1 與 C1 之間的覆疊連線。
  • S2 與 C2 之間的覆疊連線。
  • C1 與 C2 之間的覆疊連線。
  • C1 內的底層連線。
  • C2 內的底層連線。

如此一來,中樞叢集就可以彼此交換路由,從而讓封包能在連線至不同中樞叢集的支點 Edge 之間流動。

支援的使用案例
  • 在連線至兩個不同叢集或相同叢集的支點之間支援動態分支到分支。
  • 支援支點設定檔中的設定檔隔離。
  • 支援透過叢集的網際網路回傳。

限制

當啟用 中樞或叢集互連 (Hub or Cluster Interconnect) 功能時:
  • 不支援經由閘道進行中樞或叢集互連。
  • 不支援使用 OSPF 在中樞叢集成員之間交換路由。
  • 當兩個叢集互連時,可能會出現非對稱路由。不能啟用 [增強型防火牆服務 (Enhanced Firewall Services)] 或 [可設定狀態的防火牆 (Stateful Firewall)],因為它們可能會由於非對稱路由而封鎖流量。
  • 當兩個叢集成員之間的所有覆疊通道都關閉時,預計會發生流量遭到捨棄的情況,直到它們與對等叢集中的其他成員形成通道為止。
  • 如果有多個 LAN/WAN 路由器對叢集執行 BGP,則在連接 BGP 路由器的叢集 Edge 介面上,必須選取信任的來源 (Trusted Source) 核取方塊,且反向路徑轉送 (Reverse Path Forwarding) 的值必須為未啟用 (Not enabled)。如需詳細資訊,請參閱為 Edge 進行介面設定
  • 如果沒有中樞或叢集互連 (Hub or Cluster Interconnect) 功能,叢集中樞設定檔不能將其他叢集或中樞設定為中樞。

設定中樞或叢集互連

必要條件

  • 請務必將 Orchestrator、閘道以及中樞或中樞叢集升級至 5.4.0.0 版或更高版本。
  • 必須為與 Edge 叢集或中樞相關聯的叢集設定檔啟用雲端 VPN (Cloud VPN) 服務。
  • 不得在互連中樞設定檔中選取分支到分支 VPN (傳送和動態) (Branch to Branch VPN (Transit & Dynamic)) 核取方塊,如下所示。

    在互連設定檔上設定中樞指定 (Hubs Designation) 足以與所有節點進行端對端通訊。您可以為支點設定檔設定透過中樞的分支到分支。

  • 必須在互連過程涉及的所有中樞設定檔中啟用中樞或叢集互連 (Hub or Cluster Interconnect) 功能。
  • 叢集成員必須使用 LAN/L3 路由器執行 BGP,且必須設定路由器以轉送 BGP 延伸社群。
  • 對於合作夥伴閘道指派,所有 Edge (支點和中樞) 必須至少有一個共用閘道。在所有中樞/叢集設定檔中,合作夥伴閘道指派的順序應該相同。
備註: 一旦啟用 中樞或叢集互連 (Hub or Cluster Interconnect) 功能,會對 VMware SD-WAN 路由通訊協定進行根本變更,其中,該通訊協定允許封包周遊網路中的多個躍點。從 5.4.0.0 版開始,支援的最大互連躍點數為 4。若要連接 4 個以上躍點,請連絡 VMware 支援。

程序

  1. 建立新的叢集
    1. 在企業入口網站的 SD-WAN 服務中,移至設定 (Configure) > 網路服務 (Network Services) > 叢集和中樞 (Clusters and Hubs)
    2. 按一下新增 (New),以建立新的叢集。如需詳細資訊,請參閱設定叢集和中樞
    3. 將可用的 Edge 與這些叢集相關聯。
    4. 按一下儲存變更 (Save Changes)
  2. 為這些叢集各建一個設定檔
    1. 移至設定 (Configure) > 設定檔 (Profiles)
    2. 為每一個新叢集各建一個設定檔。如需如何建立設定檔的相關資訊,請參閱建立設定檔
  3. 在叢集設定檔中指定中樞
    1. 設定檔裝置設定 (Profile Device Settings) 畫面上,移至 VPN 服務 (VPN Services),並開啟雲端 VPN (Cloud VPN) 服務。
    2. 選取啟用分支到中樞 (Enable Branch to Hubs) 核取方塊。
    3. 按一下位於中樞指定 (Hubs Designation) 下的編輯中樞 (Edit Hubs)
    4. 按一下更新中樞 (Update Hubs)
  4. 啟用 [中樞或叢集互連 (Hub or Cluster Interconnect)] 功能:在設定檔裝置設定 (Profile Device Settings) 畫面上,導覽至 VPN 服務 (VPN Services) 之下的中樞或叢集互連 (Hub or Cluster Interconnect),然後選取啟用 (Enable) 核取方塊。
    備註: 只能在設定檔層級設定中樞和叢集互連。
    這會啟用該功能,並在中樞叢集之間建立通道,從而允許它們各自的支點 Edge 彼此通訊。
    注意: 一旦啟用或停用 中樞或叢集互連 (Hub or Cluster Interconnect) 功能,會導致與設定檔相關聯的所有 Edge 裝置重新啟動。因此,建議僅在維護模式下設定此功能,以防止流量中斷。

下一步

  • 將設定檔指派給 Edge:導覽至設定 (Configure) > Edge,將設定檔指派給可用的 Edge。
  • 您可以透過導覽至監控 (Monitor) > 事件 (Events) 來監控事件。下表列出了為中樞或叢集互連 (Hub or Cluster Interconnect) 功能新增的新 Orchestrator 事件:
    事件 層級 說明
    CLUSTER_IC_ENABLED 資訊 每當 Edge 與叢集服務相關聯時,將產生此事件。
    CLUSTER_IC_DISABLED 資訊 每當 Edge 與叢集服務解除關聯時,將產生此事件。
    CLUSTER_IC_PEER_UP 警告 每當兩個叢集中樞節點之間的第一個互連通道啟動時,將產生此事件。
    CLUSTER_IC_PEER_DOWN 警告 每當兩個叢集中樞節點之間的最後一個互連通道關閉時,將產生此事件。
    CLUSTER_IC_TUNNEL_UP 警告 每當叢集之間的互連通道啟動時,將產生此事件。
    CLUSTER_IC_TUNNEL_DOWN 警告 每當叢集之間的互連通道關閉時,將產生此事件。
    HUB_CLUSTER_REBALANCE 警告 每當觸發叢集重新平衡動作時,將產生此事件。
備註:
  1. 啟用中樞或叢集互連 (Hub or Cluster Interconnect) 功能後,在 [網路服務 (Network Services)] 下移除或新增叢集成員時,會觸發該特定 Edge 上的服務重新啟動。建議在維護時段內執行此類動作。
  2. 當支點連接到主要中樞叢集和次要中樞叢集並從這兩個叢集中學習相同的路由時,會根據 BGP 屬性來設定路由順序。如果路由屬性相同,則會根據 VPN 中樞順序組態進行路由排序。另一方面,主要中樞和次要中樞或中樞叢集會將支點的子網路重新分配到其芳鄰,度量 (MED) 分別為 33 和 34。您必須在芳鄰路由器中設定「bgp always-compare-med」以進行對稱路由。
  3. 當中樞或中樞叢集透過 CE 連接到 MPLS 核心時,您必須在這些 BGP 芳鄰中設定 UPLINK 標籤。
  4. 在設定了支點、主要中樞和次要中樞的網路中,如果從支點後面起始流量,則會在支點上建立一個本機流量,然後通過主要中樞路由該流量。如果主要中樞關閉,本機流量的路由將更新到次要中樞。由於會檢查本機流量每個封包的路由,因此,當主要中樞恢復啟動時,將相應地更新路由。但是,當流量是對等流量時,行為會有所不同。在這種情況下,如果主要中樞關閉,將透過次要中樞路由對等流量,但在主要中樞恢復啟動時,不會更新對等路由。這是因為對等流量依賴於對等的更新,這是預期行為。此問題的因應措施是排清受影響的流量。