VMware SASE 支援互連多個中樞 Edge 和/或中樞叢集,以擴大可彼此通訊的支點 Edge 範圍。此功能允許在連線到一個中樞 Edge/中樞叢集的支點 Edge,與連線到另一個中樞 Edge/中樞叢集的支點 Edge 之間進行通訊 (使用多個覆疊和底層連線)。
在支點 Edge 嘗試連線至中樞叢集時,會選取中樞叢集中的一個成員,來作為指向支點 Edge 的中樞。如果該中樞關閉,則會自動選取同一中樞叢集中的另一個成員,來處理支點 Edge,使用者無需進行任何設定。中樞叢集成員是經由底層 (BGP) 彼此連線,且可以使用此底層連線來交換路由和資料。之後,連線到同一中樞叢集中不同成員的支點 Edge 可以使用此底層連線彼此通訊。這個解決方案可提供更好的復原能力。
- 必須啟用中樞或叢集互連 (Hub or Cluster Interconnect) 功能。
- 必須選取分支到中樞站台 (永久 VPN) (Branch to Hub Site (Permanent VPN)) 核取方塊。必須將兩個互連的中樞節點設定為彼此的中樞,如下表所述。
設定檔 | 中樞指定 |
---|---|
hub_profile1 | hub2 |
hub_profile2 | hub1 和 hub3 |
hub_profile3 | hub2 |
啟用中樞或叢集互連 (Hub or Cluster Interconnect) 功能後,將形成從一個叢集到另一個叢集的通道,並且在其他叢集中至少有一個對等項。根據條件,一個叢集中的兩個成員可以形成到另一個叢集中相同成員的通道。對於個別中樞和中樞叢集互連,所有叢集成員都會形成到該個別中樞的通道。之後,連線至這些中樞叢集的終端支點 Edge 就可以經由這兩個中樞叢集和中繼 VMware SD-WAN 路由通訊協定躍點,彼此通訊。
叢集內的路由將透過特殊的 BGP 延伸社群進行通告,其中叢集識別碼的最後四個位元組會內嵌在延伸社群中。例如,如果叢集識別碼為 fee2f589-eab6-4738-88f2-8af84b1a3d9c
,則 4b1a3d9c
的順序會反轉並用於將叢集社群衍生為 9c3d1a4b00000003
。根據此社群標籤,將篩選出叢集內的路由以指向控制器。這可避免反映來自多個叢集成員的備援路由。
- S1 與 C1 之間的覆疊連線。
- S2 與 C2 之間的覆疊連線。
- C1 與 C2 之間的覆疊連線。
- C1 內的底層連線。
- C2 內的底層連線。
如此一來,中樞叢集就可以彼此交換路由,從而讓封包能在連線至不同中樞叢集的支點 Edge 之間流動。
- 在連線至兩個不同叢集或相同叢集的支點之間支援動態分支到分支。
- 支援支點設定檔中的設定檔隔離。
- 支援透過叢集的網際網路回傳。
限制:
- 不支援經由閘道進行中樞或叢集互連。
- 不支援使用 OSPF 在中樞叢集成員之間交換路由。
- 當兩個叢集互連時,可能會出現非對稱路由。不能啟用 [增強型防火牆服務 (Enhanced Firewall Services)] 或 [可設定狀態的防火牆 (Stateful Firewall)],因為它們可能會由於非對稱路由而封鎖流量。
- 當兩個叢集成員之間的所有覆疊通道都關閉時,預計會發生流量遭到捨棄的情況,直到它們與對等叢集中的其他成員形成通道為止。
- 如果有多個 LAN/WAN 路由器對叢集執行 BGP,則在連接 BGP 路由器的叢集 Edge 介面上,必須選取信任的來源 (Trusted Source) 核取方塊,且反向路徑轉送 (Reverse Path Forwarding) 的值必須為未啟用 (Not enabled)。如需詳細資訊,請參閱為 Edge 進行介面設定。
- 如果沒有中樞或叢集互連 (Hub or Cluster Interconnect) 功能,叢集中樞設定檔不能將其他叢集或中樞設定為中樞。
設定中樞或叢集互連
必要條件
- 請務必將 Orchestrator、閘道以及中樞或中樞叢集升級至 5.4.0.0 版或更高版本。
- 必須為與 Edge 叢集或中樞相關聯的叢集設定檔啟用雲端 VPN (Cloud VPN) 服務。
- 不得在互連中樞設定檔中選取分支到分支 VPN (傳送和動態) (Branch to Branch VPN (Transit & Dynamic)) 核取方塊,如下所示。
在互連設定檔上設定中樞指定 (Hubs Designation) 足以與所有節點進行端對端通訊。您可以為支點設定檔設定透過中樞的分支到分支。
- 必須在互連過程涉及的所有中樞設定檔中啟用中樞或叢集互連 (Hub or Cluster Interconnect) 功能。
- 叢集成員必須使用 LAN/L3 路由器執行 BGP,且必須設定路由器以轉送 BGP 延伸社群。
- 對於合作夥伴閘道指派,所有 Edge (支點和中樞) 必須至少有一個共用閘道。在所有中樞/叢集設定檔中,合作夥伴閘道指派的順序應該相同。
程序
下一步
- 將設定檔指派給 Edge:導覽至 ,將設定檔指派給可用的 Edge。
- 您可以透過導覽至中樞或叢集互連 (Hub or Cluster Interconnect) 功能新增的新 Orchestrator 事件:
事件 層級 說明 CLUSTER_IC_ENABLED 資訊 每當 Edge 與叢集服務相關聯時,將產生此事件。 CLUSTER_IC_DISABLED 資訊 每當 Edge 與叢集服務解除關聯時,將產生此事件。 CLUSTER_IC_PEER_UP 警告 每當兩個叢集中樞節點之間的第一個互連通道啟動時,將產生此事件。 CLUSTER_IC_PEER_DOWN 警告 每當兩個叢集中樞節點之間的最後一個互連通道關閉時,將產生此事件。 CLUSTER_IC_TUNNEL_UP 警告 每當叢集之間的互連通道啟動時,將產生此事件。 CLUSTER_IC_TUNNEL_DOWN 警告 每當叢集之間的互連通道關閉時,將產生此事件。 HUB_CLUSTER_REBALANCE 警告 每當觸發叢集重新平衡動作時,將產生此事件。
來監控事件。下表列出了為
- 啟用中樞或叢集互連 (Hub or Cluster Interconnect) 功能後,在 [網路服務 (Network Services)] 下移除或新增叢集成員時,會觸發該特定 Edge 上的服務重新啟動。建議在維護時段內執行此類動作。
- 當支點連接到主要中樞叢集和次要中樞叢集並從這兩個叢集中學習相同的路由時,會根據 BGP 屬性來設定路由順序。如果路由屬性相同,則會根據 VPN 中樞順序組態進行路由排序。另一方面,主要中樞和次要中樞或中樞叢集會將支點的子網路重新分配到其芳鄰,度量 (MED) 分別為 33 和 34。您必須在芳鄰路由器中設定「bgp always-compare-med」以進行對稱路由。
- 當中樞或中樞叢集透過 CE 連接到 MPLS 核心時,您必須在這些 BGP 芳鄰中設定 UPLINK 標籤。
- 在設定了支點、主要中樞和次要中樞的網路中,如果從支點後面起始流量,則會在支點上建立一個本機流量,然後通過主要中樞路由該流量。如果主要中樞關閉,本機流量的路由將更新到次要中樞。由於會檢查本機流量每個封包的路由,因此,當主要中樞恢復啟動時,將相應地更新路由。但是,當流量是對等流量時,行為會有所不同。在這種情況下,如果主要中樞關閉,將透過次要中樞路由對等流量,但在主要中樞恢復啟動時,不會更新對等路由。這是因為對等流量依賴於對等的更新,這是預期行為。此問題的因應措施是排清受影響的流量。