Отказоустойчивая маршрутизация между 2 шлюзами

Question

Отказоустойчивая маршрутизация между 2 шлюзами

У меня есть 2 маршрутизатора в шкафу, и я хотел бы настроить аварийное переключение между двумя для наших серверов, вроде BGP, но не BGP:). Мне нужно настроить систему, чтобы понять, что шлюз 1 (вниз) или находится под атакой и вместо этого маршрутизировать через шлюз 2. Как это лучше всего сделать? Мы собираемся использовать Vyatta или PFsense в качестве наших пограничных маршрутизаторов, если вам нужно знать.

4

routing pfsense vyatta

Источник

Jacob 17 фев '11 в 11:34

4 ответа

Решение

VRRP - протокол, разработанный для этой цели.

Обратите внимание, что та же идея называется CARP в мире BSD (так что вы найдете только CARP в pfSense).

2

Источник

jon_d 17 фев '11 в 11:43

Это называется HSRP в мире Cisco.

0

Источник

joeqwerty 17 фев '11 в 12:25

Одна из проблем, которую вам нужно будет решить в конфигурации маршрутизатора, состоит в том, чтобы убедиться, что если внешний интерфейс больше не работает, то этот маршрутизатор должен прекратить объявлять свои сервисы во внутренней сети.

Это часто достигается с помощью vrrp и чего-то вроде "отслеживания пинга", когда вы настраиваете каждый vrrp для проверки связи с удаленным IP-адресом, и если он не может пропинговать этот IP-адрес, маршрутизатор будет выделяться из кластера vrrp. Такие вещи могут быть очень сложными для настройки, если у вас есть сложные требования, хотя

0

Источник

chris 17 фев '11 в 14:46

Другие вопросы по тегам routing pfsense vyatta

Ryan 17 фев '11 в 11:49 2011-02-17 11:49 · Accepted Answer · 2011-02-17 11:49

Vyatta поддерживает VRRP или протокол резервирования виртуальных маршрутизаторов. Это позволяет двум маршрутизаторам Vyatta совместно использовать один IP-адрес. Чтобы настроить его, вы назначаете значение приоритета каждому маршрутизатору. После включения маршрутизатор с наивысшим приоритетом запрашивает общий IP-адрес. Если этот блок отключается, то другой маршрутизатор определяет, что теперь он имеет высший приоритет, и получает IP-адрес.

Мы уже несколько лет используем VRRP с Vyatta в производстве, и это работает очень хорошо. Мы используем его для настройки NAT, у которой нет входящих соединений, поэтому он просто использует IP-адрес внутреннего шлюза LAN (192.168.1.1). Если у вас также есть входящие соединения, вы можете использовать и IP-адрес локальной сети, и IP-адрес глобальной сети.

Я не знаю, что это поможет предотвратить DoS-атаку, но, безусловно, должно помочь избежать проблем после типичных аппаратных и программных сбоев.

Больше информации в руководстве High Availability на сайте Vyatta.