Sie können Virtual Router Redundancy Protocol (VRRP) auf einem Edge konfigurieren, um Nächster Hop-Redundanz im SASE Orchestrator-Netzwerk durch Peering mit einem CE-Router von Drittanbietern zu ermöglichen. Sie können einen Edge als primäres VRRP-Gerät konfigurieren und das Gerät mit einem Drittanbieter-Router koppeln.

Die folgende Abbildung zeigt ein Netzwerk, das mit VRRP konfiguriert ist:

Voraussetzungen

Beachten Sie vor dem Konfigurieren von VRRP die folgenden Leitlinien:

  • Sie können VRRP nur zwischen dem SD-WAN Edge und einem Router von einem Drittanbieter aktivieren, der über einen L2-Switch mit demselben Subnetz verbunden ist.
  • Sie können nur einen SD-WAN Edge zur VRRP-HA-Gruppe in einer Zweigstelle hinzufügen.
  • Sie können Aktiv-Standby-HA und VRRP-HA nicht gleichzeitig aktivieren.
  • VRRP wird auf primären gerouteten Ports, Teilschnittstellen und VLAN-Schnittstellen unterstützt.
  • SD-WAN Edge muss als primäres VRRP-Gerät konfiguriert werden, indem eine höhere Priorität eingestellt wird, um den Datenverkehr durch das SD-WAN zu leiten.
  • Wenn der SD-WAN Edge als DHCP-Server konfiguriert ist, werden virtuelle IP-Adressen als Standard-Gateway-Adresse für die Clients festgelegt. Wenn Sie ein separates DHCP-Server-Relay für das LAN verwenden, muss der Administrator die virtuelle VRRP-IP-Adresse als Standard-Gatewayadresse konfigurieren.
  • Wenn der DHCP-Server sowohl auf dem SD-WAN Edge als auch im Router des Drittanbieters aktiviert wird, müssen Sie den DHCP-Pool zwischen dem Edge und dem Router des Drittanbieters aufteilen, um Überschneidungen von IP-Adressen zu vermeiden.
  • VRRP wird auf einer mit WAN-Overlay aktivierten Schnittstelle, die sich auf dem WAN-Link befindet, nicht unterstützt. Wenn Sie den gleichen Link für LAN verwenden möchten, erstellen Sie am besten eine Teilschnittstelle und konfigurieren VRRP auf der Teilschnittstelle.
  • Sie können nur eine VRRP-Gruppe in einer Broadcast-Domäne in einem VLAN konfigurieren. Sie können keine zusätzliche VRRP-Gruppe für die sekundären IP-Adressen hinzufügen.
  • Fügen Sie keinen WLAN-Link zum VRRP-fähigen VLAN hinzu. Da der Link niemals ausfallen würde, bleibt der SD-WAN Edge immer als das primäre Gerät erhalten.

Prozedur

  1. Klicken Sie im SD-WAN-Dienst des Unternehmensportals auf Konfigurieren (Configure) > Edges. Auf der Seite Edges werden die vorhandenen Edges angezeigt.
  2. Klicken Sie auf den Link zu einem Edge, für den Sie VRRP-Einstellungen konfigurieren möchten, oder auf den Link Anzeigen (View) in der Spalte Gerät (Device) des Edge. Die Konfigurationsoptionen für den ausgewählten Edge werden auf der Registerkarte Gerät (Device) angezeigt.
  3. Scrollen Sie nach unten zur Kategorie Hochverfügbarkeit (High Availability) und wählen Sie unter Typ auswählen die Option VRRP mit Drittanbieterrouter (VRRP with 3rd party router) aus.
  4. Klicken Sie in den VRRP-Einstellungen (VRRP Settings) auf +Hinzufügen (+Add) und konfigurieren Sie Folgendes:
    Feld Beschreibung
    VRID Geben Sie die VRRP-Gruppen-ID ein. Der Bereich liegt zwischen 1 und 255.
    Segmentname (Segment Name) Zeigt das aktuelle Segment an, das für die Edge-Konfiguration ausgewählt wurde.
    Hinweis: Die VRRP-Einstellungen gelten nur für das aktuelle ausgewählte Segment.
    Schnittstelle (Interface) Wählen Sie eine physische oder VLAN-Schnittstelle aus der Liste aus. Das VRRP wird auf der ausgewählten Schnittstelle konfiguriert.
    Virtuelle IP Geben Sie eine virtuelle IP-Adresse ein, um das VRRP-Paar zu identifizieren. Stellen Sie sicher, dass die virtuelle IP-Adresse nicht mit der IP-Adresse der Edge-Schnittstelle oder des Drittanbieter-Routers identisch ist.
    Intervall annoncieren Geben Sie das Zeitintervall ein, in dem das primäre VRRP-Gerät VRRP-Ankündigungspakete an andere Mitglieder in der VRRP-Gruppe sendet.
    Priorität (Priority) Um den Edge als primäres VRRP-Gerät zu konfigurieren, geben Sie einen Wert ein, der den Prioritätswert des Drittanbieter-Routers überschreitet. Der Standardwert ist 100.
    Verzögerung der Vorbelegung (Preempt Delay) Aktivieren Sie das Kontrollkästchen und geben Sie den Wert für die Verzögerung der Vorbelegung ein, damit SD-WAN Edge den Drittanbieter-Router, der derzeit das primäre Gerät ist, nach der angegebenen Verzögerung der Vorbelegung vorbelegen kann.
  5. Klicken Sie auf Änderungen speichern (Save Changes).

Ergebnisse

Wenn der Edge in einem Zweigstellennetzwerk-VLAN nicht mehr verfügbar ist, werden die Clients hinter dem VLAN durch den Backup-Router umgeleitet.

Der SD-WAN Edge, der als primäres VRRP-Gerät fungiert, wird zum Standard-Gateway für das Subnetz.

Wenn die Verbindung des SD-WAN Edge zu allen SD-WAN Edges/Controllern unterbrochen wird, wird die VRRP-Priorität auf 10 reduziert, und der SD-WAN Edge zieht die gelernten Routen aus dem SD-WAN Edge sowie auch die Routen in den entfernten Edges zurück. Dies führt dazu, dass der Drittanbieter-Router zum primären Gerät wird und den Datenverkehr übernimmt.

Der SD-WAN Edge verfolgt automatisch Overlay-Fehler zum SD-WAN Edge. Wenn alle Overlay-Pfade zum SD-WAN Edge verloren gehen, wird die VRRP-Priorität des SD-WAN Edge auf 10 reduziert.

Wenn der Edge in den VRRP-Sicherungsmodus wechselt, werden alle Pakete, die durch die virtuelle MAC gehen, von dem Edge gelöscht. Wenn der Pfad VERFÜGBAR ist, wird der Edge wieder zum primären VRRP-Gerät, sofern der Vorbelegungsmodus aktiviert ist.

Wenn VRRP auf einer gerouteten Schnittstelle konfiguriert ist, wird die Schnittstelle für den lokalen LAN-Zugriff verwendet und kann per Failover auf den Backup-Router umgeleitet werden.

VRRP wird auf einer mit WAN-Overlay aktivierten gerouteten Schnittstelle nicht unterstützt. In diesen Fällen muss eine Teilschnittstelle, die dieselbe physische Schnittstelle nutzt, für den lokalen LAN-Zugriff konfiguriert sein, damit VRRP unterstützt wird.

Wenn die LAN-Schnittstelle inaktiv ist, wechselt die VRRP-Instanz in den INIT-Status. Daraufhin sendet der SD-WAN Edge die Routenentfernungsanforderung an den SD-WAN Edge/Controller, und alle Remote-SD-WAN Edge entfernen diese Routen. Dieses Verhalten gilt auch für die statischen Routen, die der VRRP-fähigen Schnittstelle hinzugefügt werden.

Wenn das private Overlay mit dem SD-WAN Edge-Peer-Hub vorhanden ist, wird die Route nicht aus dem Hub entfernt und kann asymmetrisches Routing verursachen. Wenn beispielsweise die Verbindung des SD-WAN-Spoke-Edge zum öffentlichen Gateway unterbrochen wird, leitet der Drittanbieter-Router die Pakete vom LAN zum SD-WAN Hub weiter. Der Hub sendet die Rückgabepakete statt an einen Drittanbieter-Router an den SD-WAN-Spoke-Edge. Als Umgehung können Sie die Funktion SD-WAN erreichbar (SD-WAN Reachable) aktivieren, sodass der SD-WAN Edge auf dem privaten Overlay erreichbar ist und den Status als primäres VRRP-Gerät beibehält. Da der Internetdatenverkehr auch durch den privaten Link über das Overlay durch den SD-WAN Edge gesteuert wird, kann es bei der Leistung oder beim Durchsatz zu Einschränkungen kommen.

Die bedingte Backhaul-Option wird verwendet, um den Internetdatenverkehr durch den Hub zu steuern. Wird hingegen in einem VRRP-fähigen SD-WAN Edge das öffentliche Overlay inaktiv, so wird der Edge zum Backup. Die bedingte Backhaul-Funktion kann daher auf einem VRRP-fähigen Edge nicht verwendet werden.