條件式回傳 (CBH) 是專為至少具有一個公用和一個私人連結的混合 SD-WAN 分支部署而設計的功能。

使用案例 1:公用網際網路連結失敗

VMware SD-WAN Edge 發生公用網際網路連結失敗時,將不會建立 VMware SD-WAN 閘道、雲端安全服務 (CSS) 和直接分流至網際網路的通道。在此案例中,如果啟用了條件式回傳功能,則會透過私人連結連線至指定的回傳中樞,讓 SD-WAN Edge 能夠透過私人覆疊將網際網路繫結流量容錯移轉至中樞,並提供對網際網路目的地的可連線性。

當公用網際網路連結失敗,而條件式回傳已啟用時,Edge 可以容錯移轉下列網際網路繫結流量類型:

  1. 直接導向網際網路
  2. 透過 SD-WAN 閘道導向網際網路
  3. 雲端安全服務流量

在一般作業下,公用連結會啟動,而網際網路繫結流量會根據已設定的商務原則直接或透過 SD-WAN 閘道進行傳輸。

當公用網際網路連結關閉,或 SD-WAN 覆疊路徑進入安靜狀態時 (在 7 個活動訊號後未收到來自閘道的封包),網際網路繫結流量將會以動態方式回傳至中樞。

在中樞上設定的商務原則將決定此流量在到達中樞後的轉送方式。選項包括:
  • 直接從中樞
  • 從中樞到閘道,然後從閘道分流

當公用網際網路連結連回時,CBH 會嘗試將流量移回至公用連結。為了避免不穩定的連結導致流量在公用與私人連結之間翻動,CBH 提供了預設 30 秒的延遲計時器。在延遲計時器結束後,流量將會容錯回復至公用網際網路連結。

使用案例 2:雲端安全服務 (CSS) 連結失敗

每當 SD-WAN Edge 上發生 CSS (Zscaler) 連結失敗時,當公用網際網路仍開啟時,將不會建立與 CSS 的通道,且會導致流量進入黑洞。在此案例中,如果啟用了條件式回傳功能,將允許商務原則執行條件式回傳,並將流量路由至中樞。

無論公用連結的狀態為何,原則型條件式回傳都能讓 SD-WAN Edge 得以根據 CSS 通道狀態對使用 CSS 連結的網際網路繫結流量進行容錯移轉。

只有在下列情況下,CBH 才有效:
  • 所有區段上的 CSS 通道在 VPN 設定檔中關閉。
  • 當主要的 CSS 通道關閉,且已設定次要 CSS 通道時,網際網路流量不會是條件式回傳,相反地,流量將透過次要 CSS 通道傳輸。
當 CSS 連結關閉且公用網際網路連結開啟時,無論公開連結的狀態為何,使用 CSS 連結的網際網路繫結流量皆會動態地回傳至中樞。

當與 CSS 連結的通道恢復時,CBH 會嘗試將流量移回 CSS,且不會有條件地回傳流量。

條件式回傳的行為特性

  • 當條件式回傳啟用時,依預設,分支層級的所有商務原則規則都必須依循透過 CBH 容錯移轉流量的準則。您可以根據所選原則的特定需求,將流量從條件式回傳中排除,只要在選取的商務原則層級停用此功能即可。
  • 條件式回傳並不會影響在公用連結已關閉的情況下正在回傳至中樞的現有流量。現有的流量仍將使用相同的中樞轉送資料。
  • 如果某個分支位置具有備份公用連結,則備份公用連結的優先順序將高於 CBH。只有在主要和備份連結皆無法運作時才會觸發 CBH 並使用私人連結。
  • 如果以私人連結作為備份,當作用中的公用連結失敗,且私人備份連結進入作用中狀態時,流量將會使用 CBH 功能容錯移轉至私人連結。
  • 若要讓此功能正常運作,分支和條件式回傳中樞必須將相同的私人網路名稱指派給其私人連結。(否則,私人通道將不會啟動。)

設定條件式回傳

若要在設定檔層級設定條件式回傳,您應啟用 雲端 VPN (Cloud VPN),然後執行下列步驟,在分支與 SD-WAN 中樞 之間建立 VPN 連線:
  1. 在企業入口網站的 SD-WAN 服務中,移至設定 (Configure) > 設定檔 (Profiles)
  2. 選取一個設定檔,或者按一下裝置 (Device) 資料行中的檢視 (View) 連結。所選設定檔的裝置 (Device) 設定頁面隨即出現。
  3. 區段 (Segment) 下拉式功能表中,選取設定檔區段,以設定條件式回傳。依預設會選取全域區段 [一般] (Global Segment [Regular])
    備註: 條件式回傳功能是區段感知的,因此必須在預期要執行該功能的每個區段上加以啟用。
  4. 移至VPN 服務 (VPN Services) 區域,並藉由開啟 (On) 切換按鈕,來啟用雲端 VPN (Cloud VPN)
  5. 選取啟用分支到中樞 (Enable Branch to Hubs) 核取方塊。
  6. 按一下編輯中樞 (Edit Hubs) 連結。此時將顯示所選設定檔的新增中樞 (Add Hubs) 視窗。

    中樞 (Hubs) 區域中,選取要作為回傳中樞的中樞,並使用箭頭將其移至回傳中樞 (Backhaul Hubs) 區域。

  7. 若要啟用條件式回傳,請選取啟用條件式回傳 (Enable Conditional BackHaul) 核取方塊。
    啟用條件式回傳後, SD-WAN Edge 即可進行容錯移轉:
    • 網際網路繫結流量 (直接網際網路流量、透過 SD-WAN 閘道的網際網路和透過 IPsec 的雲端安全性流量) 到 MPLS 連結,前提是沒有可用的公用網際網路連結時。
    • 網際網路繫結 CSS 流量至中樞,前提是公用網際網路連結仍在運作中,而 SD-WAN Edge 上發生 CSS (Zscaler) 連結失敗時。
    依預設,條件式回傳在啟用時將會套用至所有商務原則。如果您要根據特定需求將流量從條件式回傳中排除,則可以停用所選原則的條件式回傳,將選取的流量 (直接、多重路徑和 CSS) 排除於此行為外,方法是在所選取商務原則的 設定規則 (Configure Rule) 畫面中,選取 動作 (Action) 區域中的 關閉條件式回傳 (Turn off Conditional Backhaul) 核取方塊。如需詳細資訊,請參閱 設定商務原則規則的網路服務

    備註:
    • 條件式回傳和 SD-WAN 可連線性可在相同的 Edge 中搭配運作。在 Edge 上的公用網際網路關閉時,條件式回傳和 SD-WAN 可連線性支援將雲端繫結閘道流量容錯移轉至 MPLS。如果已啟用條件式回傳且沒有閘道的路徑,而有透過 MPLS 通往中樞的路徑,則直接和閘道繫結流量都將套用條件式回傳。如需 SD-WAN 可連線性的詳細資訊,請參閱透過 MPLS 的 SD-WAN 服務可連線性
    • 有多個侯選中樞時,條件式回傳將會使用清單中的第一個中樞,除非中樞與閘道的連線已中斷。
  8. 按一下儲存變更 (Save Changes)

對條件式回傳進行疑難排解

假設某個使用者在分支層級建立了商務原則規則。您可以從遠端診斷 (Remote Diagnostics) 區段,執行列出作用中流量 (List Active Flows) 命令,以檢查分支對於每個目的地 IP 位址的持續 Ping 是否都處於作用中狀態。

如需詳細資訊,請參閱 https://docs.vmware.com/tw/VMware-SD-WAN/index.html 上所發佈的《VMware SD-WAN 疑難排解指南》中的〈Edge 上的遠端診斷測試〉一節。

如果在分支的公用連結中發生極端封包遺失,且連結已關閉,則相同的流量將會切換至位於分支的網際網路回傳。
備註: 中樞上的商務原則會決定中樞轉送流量的方式。由於中樞對於這些流量沒有特定規則,因此會將其分類為預設流量。在此案例中,可以在中樞層級建立商務原則規則以符合所需的 IP 或子網路範圍,從而定義一旦條件式回傳開始運作時,要如何處理來自特定分支的流量。