Vous pouvez configurer le protocole VRRP (Virtual Router Redundancy Protocol) sur un dispositif Edge pour activer la redondance du next-hop dans le réseau SASE Orchestrator par couplage avec le routeur CE tiers. Vous pouvez configurer un dispositif Edge pour qu'il soit un périphérique VRRP principal et coupler celui-ci avec un routeur tiers.

L'illustration suivante montre un réseau configuré avec VRRP :

Conditions préalables

Tenez compte des directives suivantes avant de configurer VRRP :

  • Vous ne pouvez activer le protocole VRRP qu'entre le dispositif SD-WAN Edge et le routeur tiers connecté au même sous-réseau via un commutateur L2.
  • Vous ne pouvez ajouter qu'un seul dispositif SD-WAN Edge au groupe HA de VRRP dans un site distant.
  • Vous ne pouvez pas activer simultanément Actif-En veille (Active-Standby) HA et VRRP HA.
  • VRRP est pris en charge sur le port routé principal, la sous-interface et les interfaces VLAN.
  • Vous devez configurer SD-WAN Edge en tant que périphérique VRRP principal, en définissant une priorité plus élevée, afin de diriger le trafic via SD-WAN.
  • Si le dispositif SD-WAN Edge est configuré en tant que serveur DHCP, les adresses IP virtuelles sont définies comme adresse de passerelle par défaut pour les clients. Lorsque vous utilisez un relais de serveur DHCP distinct pour le LAN, l'administrateur doit configurer l'adresse IP virtuelle VRRP en tant qu'adresse de passerelle par défaut.
  • Lorsque le serveur DHCP est activé à la fois sur le dispositif SD-WAN Edge et le routeur tiers, fractionnez le pool DHCP entre le dispositif Edge et le routeur tiers, afin d'éviter le chevauchement des adresses IP.
  • VRRP n'est pas pris en charge sur une interface activée avec l'overlay WAN, qui se trouve sur le lien WAN. Si vous souhaitez utiliser la même liaison pour le LAN, créez une sous-interface et configurez VRRP sur la sous-interface.
  • Vous ne pouvez configurer qu'un seul groupe VRRP dans un domaine de diffusion d'un VLAN. Vous ne pouvez pas ajouter un groupe VRRP supplémentaire pour les adresses IP secondaires.
  • N'ajoutez aucune liaison WI-FI au VLAN compatible VRRP. Étant donné qu'il ne se produit jamais de panne de liaison, le dispositif SD-WAN Edge reste toujours le périphérique principal.

Procédure

  1. Dans le service SD-WAN du portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges). La page Dispositifs Edge (Edges) affiche les dispositifs Edge existants.
  2. Cliquez sur le lien d'accès du dispositif Edge pour lequel vous souhaitez configurer les paramètres VRRP ou cliquez sur le lien Afficher (View) dans la colonne Périphérique (Device) du dispositif Edge. Les options de configuration du dispositif Edge sélectionné s'affichent dans l'onglet Périphérique (Device).
  3. Faites défiler la liste vers le bas jusqu'à la catégorie Haute disponibilité (High Availability) et dans les options Sélectionner le type (Select Type); choisissez VRRP avec routeur tiers (VRRP with 3rd Party Router).
  4. Dans Paramètres VRRP (VRRP Settings), cliquez sur + Ajouter (+Add) et configurez les éléments suivants :
    Champ Description
    VRID Entrez l'ID de groupe VRRP. La plage est comprise entre 1 et 255.
    Nom du segment Affiche le segment actuel sélectionné pour la configuration du dispositif Edge.
    Note : Les paramètres VRRP s’appliquent uniquement au segment actuel sélectionné.
    Interface Sélectionnez une interface physique ou VLAN dans la liste. Le protocole VRRP est configuré sur l'interface sélectionnée.
    Adresse IP virtuelle Entrez une adresse IP virtuelle pour identifier la paire VRRP. Assurez-vous que l'adresse IP virtuelle est différente de l'adresse IP de l'interface Edge ou du routeur tiers.
    Intervalle d'annonce Entrez l'intervalle de temps durant lequel le périphérique VRRP principal envoie des paquets d'annonces VRRP à d'autres membres du groupe VRRP.
    Priorité (Priority) Pour configurer le dispositif Edge en tant que périphérique VRRP principal, entrez une valeur supérieure à la valeur de priorité du routeur tiers. La valeur par défaut est de 100.
    Délai d'anticipation (Preempt Delay) Cochez la case et entrez la valeur du délai d'anticipation afin que SD-WAN Edge puisse anticiper la réservation du routeur tiers qui est actuellement le périphérique principal, après le délai d'anticipation spécifié.
  5. Cliquez sur Enregistrer les modifications (Save Changes).

Résultats

Dans un VLAN de réseau de site distant, les clients se trouvant derrière le VLAN sont redirigés via le routeur de sauvegarde en cas de panne du dispositif Edge.

Le dispositif SD-WAN Edge qui agit comme périphérique VRRP principal devient la passerelle par défaut pour le sous-réseau.

Si le dispositif SD-WAN Edge perd la connectivité avec toutes les instances de SD-WAN Edge/tous les contrôleurs, la priorité VRRP est réduite à 10 et SD-WAN Edge retire les routes apprises du dispositif SD-WAN Edge, ainsi que les routes des dispositifs Edge distants. Le routeur tiers devient ainsi le périphérique principal et prend en charge le trafic.

SD-WAN Edge suit automatiquement l'échec de la superposition sur SD-WAN Edge. Lorsque tous les chemins de superposition vers SD-WAN Edge sont perdus, la priorité VRRP de SD-WAN Edge est réduite à 10.

Lorsque le dispositif Edge passe en mode de sauvegarde VRRP, le dispositif Edge abandonne les paquets utilisant l'adresse MAC virtuelle. Lorsque le chemin est ACTIF (UP), le dispositif Edge redevient le périphérique VRRP principal, à condition que le mode de préemption soit activé.

Lorsque le protocole VRRP est configuré sur une interface routée, celle-ci est utilisée pour l'accès au LAN local et peut basculer vers le routeur de sauvegarde.

VRRP n'est pas pris en charge sur une interface routée activée avec l'overlay WAN. Dans ce cas, une sous-interface, partageant la même interface physique, doit être configurée pour un accès au LAN local afin de prendre en charge VRRP.

Lorsque l'interface LAN est inactive, l'instance de VRRP passe à l'état INIT, puis le dispositif SD-WAN Edge envoie la demande de retrait de route à SD-WAN Edge/au contrôleur et tous les dispositifs SD-WAN Edge distants suppriment ces routes. Ce comportement s'applique également aux routes statiques ajoutées à l'interface compatible VRRP.

Si la superposition privée est présente avec le hub homologue du dispositif SD-WAN Edge, la route n'est pas supprimée du hub et peut provoquer un routage asymétrique. Par exemple, lorsque le spoke SD-WAN Edge perd la connectivité avec la passerelle publique, le routeur tiers transfère les paquets du LAN vers le dispositif SD-WAN Hub Edge. Le Hub envoie les paquets de retour au dispositif Edge en mode spoke SD-WAN au lieu du routeur tiers. Pour résoudre ce problème, activez la fonctionnalité SD-WAN accessible (SD-WAN Reachable) afin que SD-WAN Edge soit accessible sur la superposition privée et reste en tant que périphérique VRRP principal. À mesure que le trafic Internet est également dirigé via la liaison privée sur la superposition via SD-WAN Edge, une restriction au niveau des performances ou du débit peut se produire.

L'option de backhaul conditionnel est utilisée pour diriger le trafic Internet via le Hub. Cependant, dans le dispositif SD-WAN Edge compatible VRRP, le dispositif Edge devient une sauvegarde lorsque la superposition publique tombe en panne. Par conséquent, vous ne pouvez pas utiliser la fonctionnalité de backhaul conditionnel sur un dispositif Edge compatible VRRP.