您可以在 Edge 上設定虛擬路由器備援通訊協定 (VRRP),以在 SASE Orchestrator 網路中與第三方 CE 路由器對等來啟用下一個躍點備援。您可以將 Edge 設定為主要 VRRP 裝置,並將該裝置與第三方路由器配對。
必要條件
設定 VRRP 之前,請考慮下列準則:
- 您只能在 SD-WAN Edge 與透過 L2 交換器連線至相同子網路的第三方路由器之間啟用 VRRP。
- 您只能將一個 SD-WAN Edge 新增至分支中的 VRRP HA 群組。
- 您無法同時啟用作用中/待命 HA 和 VRRP HA。
- 主要路由連接埠、子介面和 VLAN 介面支援 VRRP。
- 必須透過設定較高優先順序,將 SD-WAN Edge 設定為主要 VRRP 裝置,以便透過 SD-WAN 來操控流量。
- 如果 SD-WAN Edge 設定為 DHCP 伺服器,則會將虛擬 IP 位址設定為用戶端的預設閘道位址。當您針對 LAN 使用個別的 DHCP 伺服器轉送時,管理員必須將 VRRP 虛擬 IP 位址設定為預設閘道位址。
- 在 SD-WAN Edge 和第三方路由器中同時啟用 DHCP 伺服器時,請分割 Edge 與第三方路由器之間的 DHCP 集區,以避免 IP 位址重疊。
- 在使用 WAN 覆疊 (位於 WAN 連結上) 啟用的介面上不支援 VRRP。如果您想要對 LAN 使用相同的連結,請建立子介面,並在子介面上設定 VRRP。
- 您只能在 VLAN 的廣播網域中設定一個 VRRP 群組。您無法為次要 IP 位址新增其他 VRRP 群組。
- 請勿將 WI-FI 連結新增至已啟用 VRRP 的 VLAN。由於連結失敗永遠不會發生,因此 SD-WAN Edge 一律會維持為主要裝置。
程序
結果
在分支網路 VLAN 中,如果 Edge 關閉,則 VLAN 後方的用戶端會透過備份路由器重新導向。
作為主要 VRRP 裝置的 SD-WAN Edge 會成為子網路的預設閘道。
如果 SD-WAN Edge 中斷了與所有 SD-WAN Edge/控制器的連線,則 VRRP 優先順序會降低至 10,而 SD-WAN Edge 會將從 SD-WAN Edge 和遠端 Edge 中學習的路由退出。這會導致第三方路由器成為主要裝置並接管流量。
SD-WAN Edge 會自動追蹤 SD-WAN Edge 的覆疊失敗。當 SD-WAN Edge 的所有覆疊路徑遺失時,SD-WAN Edge 的 VRRP 優先順序會減少到 10。
當 Edge 進入 VRRP 備份模式時,Edge 會捨棄經過虛擬 MAC 的所有封包。當路徑啟動時,Edge 會再次成為主要 VRRP 裝置,前提是已啟用先佔模式。
在路由介面上設定 VRRP 時,介面會用於本機 LAN 存取,且可以容錯移轉至備份路由器。
使用 WAN 覆疊啟用的路由介面不支援 VRRP。在此類情況下,必須設定共用相同實體介面的子介面,本機 LAN 存取才能支援 VRRP。
當 LAN 介面關閉時,VRRP 執行個體會移至 INIT 狀態,然後 SD-WAN Edge 會將路由撤銷要求傳送至 SD-WAN Edge/控制器,而所有遠端 SD-WAN Edge 則會移除這些路由。此行為適用於新增至已啟用 VRRP 介面的靜態路由。
如果已存在具有 SD-WAN Edge 對等中樞的私人覆疊,則不會從中樞移除該路由,且可能會導致非對稱路由。例如,當 SD-WAN 支點 Edge 中斷與公用閘道的連線時,第三方路由器會將封包從 LAN 轉送至 SD-WAN 中樞Edge。中樞會將傳回封包傳送至 SD-WAN 支點 Edge,而非第三方路由器。因應措施是啟用可連線的 SD-WAN (SD-WAN Reachable) 功能,以便 SD-WAN Edge 可在私人覆疊上連線,並維持為主要 VRRP 裝置。由於網際網路流量也是透過 SD-WAN Edge 與覆疊上的私人連結進行操控,因此可能會對效能或總流量有某些限制。
條件式回傳選項用於操控透過中樞的網際網路流量。但是,在已啟用 VRRP 的 SD-WAN Edge 中,當公用覆疊關閉時,Edge 即成為備份 (Backup)。因此,無法在已啟用 VRRP 的 Edge 上使用條件式回傳功能。