您可以在 Edge 上配置虚拟路由器冗余协议 (Virtual Router Redundancy Protocol, VRRP),以便与第三方 CE 路由器建立对等连接以在 SASE Orchestrator 网络中启用下一跃点冗余。您可以将一个 Edge 配置为主 VRRP 设备,并将该设备与第三方路由器配对使用。

下图显示配置了 VRRP 的网络:

前提条件

在配置 VRRP 之前,请考虑以下准则:

  • 您只能在 SD-WAN Edge 和通过 L2 交换机连接到同一子网的第三方路由器之间启用 VRRP。
  • 您只能将一个 SD-WAN Edge 添加到分支中的 VRRP HA 组。
  • 您不能同时启用活动-备用 HA 和 VRRP HA。
  • 在主路由端口、子接口和 VLAN 接口上支持 VRRP。
  • 必须设置更高的优先级以将 SD-WAN Edge 配置为主 VRRP 设备,才能通过 SD-WAN 传输流量。
  • 如果将 SD-WAN Edge 配置为 DHCP 服务器,则会将虚拟 IP 地址设置为客户端的默认网关地址。在将单独的 DHCP 服务器中继用于 LAN 时,管理员必须将 VRRP 虚拟 IP 地址配置为默认网关地址。
  • 如果在 SD-WAN Edge 和第三方路由器中启用了 DHCP 服务器,请在 Edge 和第三方路由器之间拆分 DHCP 池以避免 IP 地址重叠。
  • 在启用了 WAN 覆盖网络的接口上(即,在 WAN 链路上)不支持 VRRP。如果要将相同的链路用于 LAN,请创建一个子接口并在该子接口上配置 VRRP。
  • 您只能在 VLAN 上的广播域中配置一个 VRRP 组。您无法为辅助 IP 地址添加其他 VRRP 组。
  • 不要将 WI-FI 链路添加到启用了 VRRP 的 VLAN 中。由于永远不会发生链路故障,因此,SD-WAN Edge 始终保持为主设备。

过程

  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > Edge (Edges)Edge (Edges) 页面将显示现有的 Edge。
  2. 单击指向要配置 VRRP 设置的 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示选定 Edge 的配置选项。
  3. 向下滚动到高可用性 (High Availability) 类别,然后从选择类型 (Select Type) 选项中选择使用第三方路由器的 VRRP (VRRP with 3rd Party Router)
  4. VRRP 设置 (VRRP Settings) 中,单击 +添加 (+Add),并配置以下内容:
    字段 描述
    VRID 输入 VRRP 组 ID。范围是 1 到 255。
    分段名称 (Segment Name) 显示当前为 Edge 配置选择的分段。
    注: VRRP 设置仅适用于当前选定的分段。
    接口 (Interface) 从列表中选择一个物理或 VLAN 接口。将在选定的接口上配置 VRRP。
    虚拟 IP (Virtual IP) 输入用于标识 VRRP 对的虚拟 IP 地址。确保虚拟 IP 地址与 Edge 接口或第三方路由器的 IP 地址不同。
    通告时间间隔 (Advertise Interval) 输入主 VRRP 设备将 VRRP 通告数据包发送到 VRRP 组中的其他成员的时间间隔。
    优先级 (Priority) 要将 Edge 配置为主 VRRP 设备,请输入超过第三方路由器优先级值的值。默认值为 100。
    抢占延迟 (Preempt Delay) 选中该复选框并输入抢占延迟值,以便 SD-WAN Edge 可以在指定的抢占延迟后抢占当前作为主设备的第三方路由器。
  5. 单击保存更改 (Save Changes)

结果

在分支网络 VLAN 中,如果 Edge 发生故障,将通过备份路由器重定向 VLAN 后面的客户端。

充当主 VRRP 设备的 SD-WAN Edge 会变为子网的默认网关。

如果 SD-WAN Edge 与所有 SD-WAN Edge/控制器断开连接,VRRP 优先级将减少到 10,并且 SD-WAN Edge 撤消从 SD-WAN Edge 中学习的路由以及位于远程 Edge 中的路由。这会导致第三方路由器成为主设备并接管流量。

SD-WAN Edge 自动跟踪覆盖网络到 SD-WAN Edge 的故障。在覆盖网络到 SD-WAN Edge 的所有路径中断时,SD-WAN Edge 的 VRRP 优先级将减少到 10。

在 Edge 进入 VRRP 备份模式时,Edge 将丢弃通过虚拟 MAC 传输的任何数据包。如果路径已启动,Edge 将再次成为主 VRRP 设备,但前提是启用了抢占模式。

如果在路由接口上配置了 VRRP,该接口将用于本地 LAN 访问,并且可以故障切换到备份路由器。

在启用了 WAN 覆盖网络的路由接口上不支持 VRRP。在这些情况下,必须为本地 LAN 访问配置一个子接口(共享同一物理接口)以支持 VRRP。

在 LAN 接口关闭时,VRRP 实例将进入 INIT 状态,然后 SD-WAN EdgeSD-WAN Edge/控制器发送路由撤消请求,并且所有远程 SD-WAN Edge 移除这些路由。该行为也适用于添加到启用了 VRRP 的接口的静态路由。

如果专用覆盖网络具有 SD-WAN Edge 对等 Hub,则不会从该 Hub 中移除路由,这可能会导致非对称路由。例如,在 SD-WAN 分支 Edge 与公用网关断开连接时,第三方路由器将数据包从 LAN 转发到 SD-WAN Hub Edge。Hub 将返回数据包发送到 SD-WAN 分支 Edge,而不是第三方路由器。要解决该问题,请启用 SD-WAN 可访问 (SD-WAN Reachable) 功能,以便可以在专用覆盖网络上访问 SD-WAN Edge,并将其保留为主 VRRP 设备。由于还会通过覆盖网络上的专用链路经由 SD-WAN Edge 传输 Internet 流量,因此,性能或吞吐量可能会受到一些限制。

条件回传选项用于通过 Hub 传输 Internet 流量。不过,在启用了 VRRP 的 SD-WAN Edge 中,在公用覆盖网络关闭时,该 Edge 将变为备份节点。因此,无法在启用了 VRRP 的 Edge 上利用条件回传功能。