Puede configurar el protocolo de redundancia de enrutador virtual (VRRP, Virtual Router Redundancy Protocol) en una instancia de Edge para habilitar la redundancia de próximo salto en la red de SASE Orchestrator mediante el intercambio de tráfico de un enrutador CE de terceros. Puede configurar una instancia de Edge para que sea un dispositivo VRRP principal y emparejar el dispositivo con un enrutador de terceros.

En la siguiente ilustración, se muestra una red configurada con VRRP:

Requisitos previos

Tenga en cuenta las siguientes directrices antes de configurar VRRP:

  • Puede habilitar VRRP solo entre SD-WAN Edge y un enrutador de terceros conectados a la misma subred a través de un conmutador L2.
  • Solo se puede agregar una instancia de SD-WAN Edge al grupo de HA de VRRP en una sucursal.
  • No se pueden habilitar la HA de activo-en espera y la HA de VRRP al mismo tiempo.
  • VRRP es compatible con el puerto enrutado principal, la subinterfaz y las interfaces de VLAN.
  • Para poder dirigir el tráfico a través de SD-WAN, debe establecerse una prioridad mayor para configurar SD-WAN Edge como dispositivo VRRP principal.
  • Si SD-WAN Edge se configura como el servidor DHCP, las direcciones IP virtuales se establecen como la dirección de la puerta de enlace predeterminada para los clientes. Cuando se utiliza una retransmisión de servidor DHCP independiente para la LAN, el administrador debe configurar la dirección IP virtual de VRRP como la dirección de la puerta de enlace predeterminada.
  • Cuando el servidor DHCP esté habilitado tanto en SD-WAN Edge como en el enrutador de terceros, divida el grupo de DHCP entre la instancia de Edge y el enrutador de terceros para evitar la superposición de direcciones IP.
  • No se admite VRRP en una interfaz habilitada con la superposición de WAN, que se encuentra en el vínculo de WAN. Si desea utilizar el mismo vínculo para LAN, cree una subinterfaz y configure VRRP en la subinterfaz.
  • Solo puede configurar un grupo de VRRP en un dominio de difusión de una red VLAN. No se puede Agregar un grupo de VRRP adicional para las direcciones IP secundarias.
  • No agregue un vínculo de WI-FI a la red VLAN habilitada para VRRP. Dado que el error en el vínculo nunca se producía, la instancia de SD-WAN Edge siempre permanece como dispositivo principal.

Procedimiento

  1. En el servicio de SD-WAN del portal de empresas, haga clic en Configurar (Configure) > Instancias de Edge (Edges). La página Instancias de Edge (Edges) muestra las instancias de Edge existentes.
  2. Haga clic en el vínculo a la instancia de Edge en la que desee establecer la configuración de VRRP o haga clic en el vínculo Vista (View) en la columna Dispositivo (Device) de la instancia de Edge. Las opciones de configuración de la instancia de Edge seleccionada se muestran en la pestaña Dispositivo (Device).
  3. Desplácese hasta la categoría Alta disponibilidad (High Availability) y, en las opciones Seleccionar tipo (Select Type), elija VRRP con enrutador de terceros (VRRP with 3rd Party Router).
  4. En la Configuración de VRRP (VRRP Settings), haga clic en +Agregar (+Add) y configure lo siguiente:
    Campo Descripción
    VRID Introduzca el ID del grupo de VRRP. El rango oscila entre 1 y 255.
    Nombre del segmento (Segment Name) Muestra el segmento seleccionado actual para la configuración de Edge.
    Nota: La configuración de VRRP solo se aplica al segmento actual que se encuentra seleccionado.
    Interfaz (Interface) Seleccione una interfaz física o de VLAN de la lista. VRRP se configura en la interfaz seleccionada.
    IP virtual Introduzca una dirección IP virtual para identificar el par de VRRP. Asegúrese de que la dirección IP virtual no sea la misma que la dirección IP de la interfaz de Edge o el enrutador de terceros.
    Intervalo de anuncio Introduzca el intervalo de tiempo con el que el dispositivo VRRP principal envía paquetes de anuncios de VRRP a otros miembros del grupo de VRRP.
    Prioridad (Priority) Para configurar la instancia de Edge como dispositivo VRRP principal, introduzca un valor que supere el valor de prioridad del enrutador de terceros. El valor predeterminado es 100.
    Demora de preferencia Seleccione la casilla de verificación e introduzca el valor de demora de preferencia para que SD-WAN Edge pueda tener preferencia sobre el enrutador de terceros, que en el momento es el dispositivo principal, luego de la demora de preferencia especificada.
  5. Haga clic en Guardar cambios (Save Changes).

Resultados

En una VLAN de red de sucursal, si la instancia de Edge deja de funcionar, los clientes detrás de la VLAN se redireccionan a través del enrutador de respaldo.

La instancia de SD-WAN Edge que actúa como un dispositivo VRRP principal se convierte en la puerta de enlace predeterminada de la subred.

Si la instancia de SD-WAN Edge pierde conectividad con todas las instancias de SD-WAN Edge/controladores, entonces, la prioridad de VRRP se reduce a 10 y SD-WAN Edge retira las rutas conocidas de la instancia de SD-WAN Edge y las rutas en las instancias remotas de Edge. Esto da como resultado que el enrutador de terceros se convierta en el dispositivo principal y asuma el tráfico.

SD-WAN Edge realiza un seguimiento automático del error de superposición en la instancia de SD-WAN Edge. Cuando se pierden todas las rutas de acceso de superposición a la instancia de SD-WAN Edge, la prioridad de VRRP de SD-WAN Edge se reduce a 10.

Cuando la instancia de Edge entra en el modo de copia de seguridad de VRRP, Edge descarta los paquetes que atraviesan la máquina virtual. Cuando la ruta de acceso está activa (UP), la instancia de Edge vuelve a convertirse en el dispositivo VRRP principal, siempre y cuando el modo de preferencia esté habilitado.

Cuando se configura VRRP en una interfaz enrutada, la interfaz se utiliza para el acceso a la LAN local y puede realizar la conmutación por error en el enrutador de respaldo.

No se admite VRRP en una interfaz enrutada habilitada con la superposición de WAN. En estos casos, una subinterfaz, que comparte la misma interfaz física, debe configurarse para que el acceso a la LAN local sea compatible con VRRP.

Cuando la interfaz de la LAN esté inactiva, la instancia de VRRP se dirigirá al estado de INICIALIZACIÓN y, a continuación, la instancia de SD-WAN Edge enviará la solicitud de retiro de rutas a la instancia de SD-WAN Edge/controlador, y todas las instancias de remotas de SD-WAN Edge eliminarán dichas rutas. Este comportamiento se aplica también a las rutas estáticas que se agregaron a la interfaz habilitada de VRRP.

Si la superposición privada está presente con el hub del mismo nivel de la instancia de SD-WAN Edge, entonces, la ruta no se elimina del hub y puede causar un enrutamiento asimétrico. Por ejemplo, cuando la instancia de Edge de SD-WAN pierde conectividad con la puerta de enlace pública, el enrutador de terceros reenvía los paquetes de la LAN a la instancia de Edge de SD-WAN Hub. El hub envía los paquetes de retorno a la instancia de Edge de SD-WAN en lugar de al enrutador de terceros. Como solución alternativa, habilite la funcionalidad de acceso a SD-WAN, de modo que se pueda acceder a SD-WAN Edge en la superposición privada y permanezca como el dispositivo VRRP principal. Dado que el tráfico de Internet también se dirige a través del vínculo privado a lo largo de la superposición a través de SD-WAN Edge, puede haber determinada limitación en el rendimiento o el desempeño.

La opción de red de retorno condicional se utiliza para dirigir el tráfico de Internet a través del hub. Sin embargo, en la instancia de SD-WAN Edge habilitada para VRRP, para cuando la superposición pública deja de funcionar, la instancia de Edge se convierte en copia de seguridad. Por lo tanto, no se puede utilizar la función de red de retorno condicional en una instancia de Edge habilitada para VRRP.