Vous pouvez configurer le protocole VRRP (Virtual Router Redundancy Protocol) sur un dispositif Edge pour activer la redondance du next-hop dans le réseau SASE Orchestrator par couplage avec le routeur CE tiers. Vous pouvez configurer un dispositif Edge pour qu'il soit un périphérique VRRP principal et coupler celui-ci avec un routeur tiers.
Conditions préalables
Tenez compte des directives suivantes avant de configurer VRRP :
- Vous ne pouvez activer le protocole VRRP qu'entre le dispositif SD-WAN Edge et le routeur tiers connecté au même sous-réseau via un commutateur L2.
- Vous ne pouvez ajouter qu'un seul dispositif SD-WAN Edge au groupe HA de VRRP dans un site distant.
- Vous ne pouvez pas activer simultanément Actif-En veille (Active-Standby) HA et VRRP HA.
- VRRP est pris en charge sur le port routé principal, la sous-interface et les interfaces VLAN.
- Vous devez configurer SD-WAN Edge en tant que périphérique VRRP principal, en définissant une priorité plus élevée, afin de diriger le trafic via SD-WAN.
- Si le dispositif SD-WAN Edge est configuré en tant que serveur DHCP, les adresses IP virtuelles sont définies comme adresse de passerelle par défaut pour les clients. Lorsque vous utilisez un relais de serveur DHCP distinct pour le LAN, l'administrateur doit configurer l'adresse IP virtuelle VRRP en tant qu'adresse de passerelle par défaut.
- Lorsque le serveur DHCP est activé à la fois sur le dispositif SD-WAN Edge et le routeur tiers, fractionnez le pool DHCP entre le dispositif Edge et le routeur tiers, afin d'éviter le chevauchement des adresses IP.
- VRRP n'est pas pris en charge sur une interface activée avec l'overlay WAN, qui se trouve sur le lien WAN. Si vous souhaitez utiliser la même liaison pour le LAN, créez une sous-interface et configurez VRRP sur la sous-interface.
- Vous ne pouvez configurer qu'un seul groupe VRRP dans un domaine de diffusion d'un VLAN. Vous ne pouvez pas ajouter un groupe VRRP supplémentaire pour les adresses IP secondaires.
- N'ajoutez aucune liaison WI-FI au VLAN compatible VRRP. Étant donné qu'il ne se produit jamais de panne de liaison, le dispositif SD-WAN Edge reste toujours le périphérique principal.
Procédure
Résultats
Dans un VLAN de réseau de site distant, les clients se trouvant derrière le VLAN sont redirigés via le routeur de sauvegarde en cas de panne du dispositif Edge.
Le dispositif SD-WAN Edge qui agit comme périphérique VRRP principal devient la passerelle par défaut pour le sous-réseau.
Si le dispositif SD-WAN Edge perd la connectivité avec toutes les instances de SD-WAN Edge/tous les contrôleurs, la priorité VRRP est réduite à 10 et SD-WAN Edge retire les routes apprises du dispositif SD-WAN Edge, ainsi que les routes des dispositifs Edge distants. Le routeur tiers devient ainsi le périphérique principal et prend en charge le trafic.
SD-WAN Edge suit automatiquement l'échec de la superposition sur SD-WAN Edge. Lorsque tous les chemins de superposition vers SD-WAN Edge sont perdus, la priorité VRRP de SD-WAN Edge est réduite à 10.
Lorsque le dispositif Edge passe en mode de sauvegarde VRRP, le dispositif Edge abandonne les paquets utilisant l'adresse MAC virtuelle. Lorsque le chemin est ACTIF (UP), le dispositif Edge redevient le périphérique VRRP principal, à condition que le mode de préemption soit activé.
Lorsque le protocole VRRP est configuré sur une interface routée, celle-ci est utilisée pour l'accès au LAN local et peut basculer vers le routeur de sauvegarde.
VRRP n'est pas pris en charge sur une interface routée activée avec l'overlay WAN. Dans ce cas, une sous-interface, partageant la même interface physique, doit être configurée pour un accès au LAN local afin de prendre en charge VRRP.
Lorsque l'interface LAN est inactive, l'instance de VRRP passe à l'état INIT, puis le dispositif SD-WAN Edge envoie la demande de retrait de route à SD-WAN Edge/au contrôleur et tous les dispositifs SD-WAN Edge distants suppriment ces routes. Ce comportement s'applique également aux routes statiques ajoutées à l'interface compatible VRRP.
Si la superposition privée est présente avec le hub homologue du dispositif SD-WAN Edge, la route n'est pas supprimée du hub et peut provoquer un routage asymétrique. Par exemple, lorsque le spoke SD-WAN Edge perd la connectivité avec la passerelle publique, le routeur tiers transfère les paquets du LAN vers le dispositif SD-WAN Hub Edge. Le Hub envoie les paquets de retour au dispositif Edge en mode spoke SD-WAN au lieu du routeur tiers. Pour résoudre ce problème, activez la fonctionnalité SD-WAN accessible (SD-WAN Reachable) afin que SD-WAN Edge soit accessible sur la superposition privée et reste en tant que périphérique VRRP principal. À mesure que le trafic Internet est également dirigé via la liaison privée sur la superposition via SD-WAN Edge, une restriction au niveau des performances ou du débit peut se produire.
L'option de backhaul conditionnel est utilisée pour diriger le trafic Internet via le Hub. Cependant, dans le dispositif SD-WAN Edge compatible VRRP, le dispositif Edge devient une sauvegarde lorsque la superposition publique tombe en panne. Par conséquent, vous ne pouvez pas utiliser la fonctionnalité de backhaul conditionnel sur un dispositif Edge compatible VRRP.