Sie können Virtual Router Redundancy Protocol (VRRP) auf einem Edge konfigurieren, um Nächster Hop-Redundanz im SASE Orchestrator-Netzwerk durch Peering mit einem CE-Router von Drittanbietern zu ermöglichen. Sie können einen Edge als primäres VRRP-Gerät konfigurieren und das Gerät mit einem Drittanbieter-Router koppeln.
Voraussetzungen
Beachten Sie vor dem Konfigurieren von VRRP die folgenden Leitlinien:
- Sie können VRRP nur zwischen dem SD-WAN Edge und einem Router von einem Drittanbieter aktivieren, der über einen L2-Switch mit demselben Subnetz verbunden ist.
- Sie können nur einen SD-WAN Edge zur VRRP-HA-Gruppe in einer Zweigstelle hinzufügen.
- Sie können Aktiv-Standby-HA und VRRP-HA nicht gleichzeitig aktivieren.
- VRRP wird auf primären gerouteten Ports, Teilschnittstellen und VLAN-Schnittstellen unterstützt.
- SD-WAN Edge muss als primäres VRRP-Gerät konfiguriert werden, indem eine höhere Priorität eingestellt wird, um den Datenverkehr durch das SD-WAN zu leiten.
- Wenn der SD-WAN Edge als DHCP-Server konfiguriert ist, werden virtuelle IP-Adressen als Standard-Gateway-Adresse für die Clients festgelegt. Wenn Sie ein separates DHCP-Server-Relay für das LAN verwenden, muss der Administrator die virtuelle VRRP-IP-Adresse als Standard-Gatewayadresse konfigurieren.
- Wenn der DHCP-Server sowohl auf dem SD-WAN Edge als auch im Router des Drittanbieters aktiviert wird, müssen Sie den DHCP-Pool zwischen dem Edge und dem Router des Drittanbieters aufteilen, um Überschneidungen von IP-Adressen zu vermeiden.
- VRRP wird auf einer mit WAN-Overlay aktivierten Schnittstelle, die sich auf dem WAN-Link befindet, nicht unterstützt. Wenn Sie den gleichen Link für LAN verwenden möchten, erstellen Sie am besten eine Teilschnittstelle und konfigurieren VRRP auf der Teilschnittstelle.
- Sie können nur eine VRRP-Gruppe in einer Broadcast-Domäne in einem VLAN konfigurieren. Sie können keine zusätzliche VRRP-Gruppe für die sekundären IP-Adressen hinzufügen.
- Fügen Sie keinen WLAN-Link zum VRRP-fähigen VLAN hinzu. Da der Link niemals ausfallen würde, bleibt der SD-WAN Edge immer als das primäre Gerät erhalten.
Prozedur
Ergebnisse
Wenn der Edge in einem Zweigstellennetzwerk-VLAN nicht mehr verfügbar ist, werden die Clients hinter dem VLAN durch den Backup-Router umgeleitet.
Der SD-WAN Edge, der als primäres VRRP-Gerät fungiert, wird zum Standard-Gateway für das Subnetz.
Wenn die Verbindung des SD-WAN Edge zu allen SD-WAN Edges/Controllern unterbrochen wird, wird die VRRP-Priorität auf 10 reduziert, und der SD-WAN Edge zieht die gelernten Routen aus dem SD-WAN Edge sowie auch die Routen in den entfernten Edges zurück. Dies führt dazu, dass der Drittanbieter-Router zum primären Gerät wird und den Datenverkehr übernimmt.
Der SD-WAN Edge verfolgt automatisch Overlay-Fehler zum SD-WAN Edge. Wenn alle Overlay-Pfade zum SD-WAN Edge verloren gehen, wird die VRRP-Priorität des SD-WAN Edge auf 10 reduziert.
Wenn der Edge in den VRRP-Sicherungsmodus wechselt, werden alle Pakete, die durch die virtuelle MAC gehen, von dem Edge gelöscht. Wenn der Pfad VERFÜGBAR ist, wird der Edge wieder zum primären VRRP-Gerät, sofern der Vorbelegungsmodus aktiviert ist.
Wenn VRRP auf einer gerouteten Schnittstelle konfiguriert ist, wird die Schnittstelle für den lokalen LAN-Zugriff verwendet und kann per Failover auf den Backup-Router umgeleitet werden.
VRRP wird auf einer mit WAN-Overlay aktivierten gerouteten Schnittstelle nicht unterstützt. In diesen Fällen muss eine Teilschnittstelle, die dieselbe physische Schnittstelle nutzt, für den lokalen LAN-Zugriff konfiguriert sein, damit VRRP unterstützt wird.
Wenn die LAN-Schnittstelle inaktiv ist, wechselt die VRRP-Instanz in den INIT-Status. Daraufhin sendet der SD-WAN Edge die Routenentfernungsanforderung an den SD-WAN Edge/Controller, und alle Remote-SD-WAN Edge entfernen diese Routen. Dieses Verhalten gilt auch für die statischen Routen, die der VRRP-fähigen Schnittstelle hinzugefügt werden.
Wenn das private Overlay mit dem SD-WAN Edge-Peer-Hub vorhanden ist, wird die Route nicht aus dem Hub entfernt und kann asymmetrisches Routing verursachen. Wenn beispielsweise die Verbindung des SD-WAN-Spoke-Edge zum öffentlichen Gateway unterbrochen wird, leitet der Drittanbieter-Router die Pakete vom LAN zum SD-WAN Hub weiter. Der Hub sendet die Rückgabepakete statt an einen Drittanbieter-Router an den SD-WAN-Spoke-Edge. Als Umgehung können Sie die Funktion SD-WAN erreichbar (SD-WAN Reachable) aktivieren, sodass der SD-WAN Edge auf dem privaten Overlay erreichbar ist und den Status als primäres VRRP-Gerät beibehält. Da der Internetdatenverkehr auch durch den privaten Link über das Overlay durch den SD-WAN Edge gesteuert wird, kann es bei der Leistung oder beim Durchsatz zu Einschränkungen kommen.
Die bedingte Backhaul-Option wird verwendet, um den Internetdatenverkehr durch den Hub zu steuern. Wird hingegen in einem VRRP-fähigen SD-WAN Edge das öffentliche Overlay inaktiv, so wird der Edge zum Backup. Die bedingte Backhaul-Funktion kann daher auf einem VRRP-fähigen Edge nicht verwendet werden.