È possibile configurare il protocollo VRRP (Virtual Router Redundancy Protocol) in un Edge per abilitare la ridondanza dell'hop successivo nella rete di SASE Orchestrator mediante il peering con un router CE di terze parti. È possibile configurare un Edge in modo che funga da dispositivo VRRP primario e associare il dispositivo a un router di terze parti.

La figura seguente illustra una rete configurata con VRRP:

Prerequisiti

Prima di configurare VRRP, tenere presenti le seguenti linee guida:

  • È possibile abilitare VRRP solo tra SD-WAN Edge e il router di terze parti connesso alla stessa subnet tramite uno switch L2.
  • È possibile aggiungere un solo SD-WAN Edge al gruppo HA VRRP in una filiale.
  • Non è possibile abilitare contemporaneamente HA Attivo-Standby e HA VRRP.
  • VRRP è supportato nella porta instradata primaria, nell'interfaccia secondaria e nelle interfacce VLAN.
  • SD-WAN Edge deve essere configurato come dispositivo VRRP primario, impostando una priorità più alta, per reindirizzare il traffico attraverso SD-WAN.
  • Se SD-WAN Edge è configurato come server DHCP, gli indirizzi IP virtuali vengono impostati come indirizzi del gateway predefinito per i client. Quando si utilizza un relay server DHCP separato per la LAN, l'amministratore deve configurare l'indirizzo IP virtuale di VRRP come indirizzo del gateway predefinito.
  • Quando il server DHCP è abilitato in SD-WAN Edge e nel router di terze parti, suddividere il pool DHCP tra l'Edge e il router di terze parti per evitare la sovrapposizione degli indirizzi IP.
  • VRRP non è supportato in un'interfaccia abilitata con overlay WAN, che si trova nel link WAN. Se si desidera utilizzare lo stesso link per la LAN, creare un'interfaccia secondaria e configurare VRRP in tale interfaccia.
  • È possibile configurare un solo gruppo di VRRP in un dominio di broadcast in una VLAN. Non è possibile aggiungere un gruppo di VRRP aggiuntivo per gli indirizzi IP secondari.
  • Non aggiungere il link Wi-Fi alla VLAN abilitata per VRRP. Poiché non si verifica mai un errore del link, SD-WAN Edge rimane sempre il dispositivo primario.

Procedura

  1. Nel servizio SD-WAN del portale dell'azienda, fare clic su Configura (Configure) > Edge (Edges). Nella pagina Edge (Edges) sono visualizzati gli Edge esistenti.
  2. Fare clic sul link a un Edge di cui si desidera configurare le impostazioni VRRP o fare clic sul link Visualizza (View) nella colonna Dispositivo (Device) dell'Edge. Le opzioni di configurazione per l'Edge selezionato vengono visualizzate nella scheda Dispositivo (Device).
  3. Scorrere verso il basso fino alla categoria Alta disponibilità (High Availability) e da Seleziona tipo (Select Type) scegliere VRRP con router di terze parti (VRRP with 3rd Party Router).
  4. In Impostazioni VRRP (VRRP Settings) fare clic su +Aggiungi (+Add) e configurare quanto segue:
    Campo Descrizione
    VRID Immettere l'ID del gruppo di VRRP. L'intervallo è compreso tra 1 e 255.
    Nome segmento (Segment Name) Visualizza il segmento corrente selezionato per la configurazione dell'Edge.
    Nota: Le impostazioni VRRP si applicano solo al segmento corrente selezionato.
    Interfaccia (Interface) Selezionare un'interfaccia fisica o VLAN nell'elenco. VRRP viene configurato nell'interfaccia selezionata.
    IP virtuale Immettere un indirizzo IP virtuale per identificare la coppia VRRP. Assicurarsi che l'indirizzo IP virtuale non sia uguale all'indirizzo IP dell'interfaccia dell'Edge o del router di terze parti.
    Intervallo annunci Inserire la frequenza con cui il dispositivo VRRP primario invia i pacchetti di annunci VRRP agli altri membri del gruppo VRRP.
    Priorità (Priority) Per configurare l'Edge come dispositivo VRRP primario, immettere un valore che superi il valore di priorità del router di terze parti. Il valore predefinito è 100.
    Ritardo di precedenza Selezionare la casella di controllo e inserire il valore del ritardo di anticipazione, in modo che SD-WAN Edge possa precedere il router di terze parti che è attualmente il dispositivo primario, dopo il ritardo di anticipazione specificato.
  5. Fare clic su Salva modifiche (Save Changes).

risultati

In una VLAN di rete di filiale, se l'Edge diventa inattivo, i client dietro la VLAN vengono reindirizzati tramite il router di backup.

L'istanza di SD-WAN Edge che funge da dispositivo VRRP primario diventa il gateway predefinito per la subnet.

Se SD-WAN Edge perde la connettività con tutti i SD-WAN Edge o i controller, la priorità VRRP viene ridotta a 10 e SD-WAN Edge annulla le route acquisite da SD-WAN Edge e anche le route negli Edge remoti. Il router di terze parti diventa quindi il dispositivo primario e assume il controllo del traffico.

SD-WAN Edge monitora automaticamente l'errore di overlay in SD-WAN Edge. Quando tutti i percorsi di overlay verso SD-WAN Edge vengono persi, la priorità VRRP di SD-WAN Edge viene ridotta a 10.

Quando l'Edge passa alla modalità di backup VRRP, elimina tutti i pacchetti che passano attraverso il MAC virtuale. Quando il percorso è attivo, l'Edge diventa nuovamente il dispositivo VRRP primario, purché sia abilitata la modalità di precedenza.

Quando VRRP è configurato in un'interfaccia instradata, l'interfaccia viene utilizzata per l'accesso alla LAN locale e può eseguire il failover nel router di backup.

VRRP non è supportato in un'interfaccia instradata abilitata con overlay WAN. In questi casi, per la LAN locale è necessario configurare un'interfaccia secondaria che condivida la stessa interfaccia fisica per il supporto di VRRP.

Quando l'interfaccia LAN è inattiva, l'istanza di VRRP passa allo stato INIT e quindi SD-WAN Edge invia la richiesta di annullamento delle route al SD-WAN Edge o al controller e tutti gli SD-WAN Edge rimuovono tali route. Questo comportamento è applicabile anche alle route statiche aggiunte all'interfaccia abilitata per VRRP.

Se l'overlay privato è presente con l'hub peer di SD-WAN Edge, la route non viene rimossa dall'hub e può causare il routing asimmetrico. Ad esempio, quando l'Edge spoke SD-WAN perde la connettività con il gateway pubblico, il router di terze parti inoltra i pacchetti dalla LAN a SD-WAN Hub. L'hub invia i pacchetti restituiti all'Edge spoke SD-WAN anziché al router di terze parti. Come soluzione, abilitare la funzionalità SD-WAN raggiungibile (SD-WAN Reachable), in modo che SD-WAN Edge sia raggiungibile in un overlay privato e rimanga come dispositivo VRRP primario. Poiché anche il traffico Internet viene reindirizzato tramite il link privato nell'overlay attraverso SD-WAN Edge, è possibile che le prestazioni o la velocità effettiva ne risentano.

L'opzione di backhaul condizionale viene utilizzata per reindirizzare il traffico Internet attraverso l'hub. Tuttavia, in SD-WAN Edge abilitato per VRRP, quando l'overlay pubblico diventa inattivo, l'Edge diventa il backup. La funzionalità di backhaul condizionale non può quindi essere utilizzata in un Edge abilitato per VRRP.