我有一个机柜中的2台路由器,并希望build立故障切换之间的两个我们的服务器有点像BGP,但不是BGP :)。 我需要设置系统来实现网关1(down)或受到攻击,而不是通过网关2。 这最好的做法是什么? 如果您需要了解,我们将使用Vyatta或PFsense作为我们的边缘路由器。
Vyatta支持VRRP或虚拟路由器冗余协议。 这让两个Vyatta路由器共享一个IP地址。 要进行设置,请为每个路由器分配一个优先级值。 一旦启用,具有最高优先级的路由器声明共享IP地址。 如果该盒子脱机,则另一个路由器确定它现在具有最高优先级,并接pipeIP地址。
我们在Vyatta生产中使用VRRP已经有几年了,而且工作得很好。 我们将它用于没有任何传入连接的NAT设置,因此它只是共享内部LAN网关IP(192.168.1.1)。 如果您也有传入连接,则可以共享LAN IP和WAN IP。
我不知道这将有助于防止DoS攻击,但它肯定应该有助于避免典型的硬件和软件崩溃后的问题。
Vyatta网站的“高可用性”手册中提供了更多信息。
VRRP是为此目的而devise的协议。
请注意,同样的想法在BSD世界中被称为CARP (所以你只能在pfSense中findCARP)。
它在思科世界中被称为HSRP 。
在路由器configuration中需要解决的一个问题是确保如果外部接口不再起作用,则该路由器将需要停止将其服务广告给内部networking。
这通常是通过vrrp和“跟踪ping”来完成的,在这里你configuration每个vrrp来ping一个远程IP,如果ping不到那个IP,路由器将自动退出vrrp集群。 但是,如果你有复杂的需求,这样的事情可能会变得非常复杂