解决一个不对称的高可用性防火墙/路由器

我有一个旧的Linux HA防火墙/路由器设置，从来没有工作。由于从来没有投入到真正的生产（只是testing和演示），我总是必须有一个防火墙closures，使其路由。现在我们正在计划将其投入生产，我需要做这个工作。

所以我想要做的就是在HA故障切换模式下，使其最终正常工作。

我有两台Linux服务器作为防火墙/路由器。它们分别直接馈入10G光纤和点对点/ 30networking。他们运行BGP。而他们路由LAN端的Infiniband这就解释了为什么我不使用普通路由器，而是使用服务器来达到这个目的。

这些10G安装时，我相信被称为多供应商或相似，但就我而言，他们来自同一个提供商，他们有很多上游的HA。

看看那里的每一个HA设置，公共和私人都有一个浮动的IP。我认为这是为了确保在使用conntrackd时可以正确地将stream量复制到备份机器。通常，keepalived在Linux上用于在连接的WAN和LAN侧提供浮动IP。

像这样的东西：

在这里输入图像说明

而不是详细解释旧的设置，没有工作。我要求提供一些关于如何使这项工作正确的指针，因为我没有公开的10G端的开关。不过我在两台路由器之间直接连接eth2。另一个通过交换机连接在一起的eth3链路。我想我想要尝试和避免的是不对称的路由，stream量进入一台服务器，然后走出去。理想情况下，它会进入活动服务器。

所提到的networking范围是由BGP提供的，是/ 25。

我想知道我是否能用Linux来完成类似下面的事情：

https://networkengineering.stackexchange.com/questions/5183/vrfs-to-address-asymmetric-routing-with-stateful-inspection

我可以使用eth2networking作为一种交换机，如果一个数据包进入了备份服务器，它可以通过eth2，然后从主机到局域网进入另一台服务器？这会工作吗？

我一直在想的另一件事情是局域网上有两个默认路由，忘记浮动IP。但是我认为这可能是有问题的吗？我将如何确保每个服务器1个会话。我无法弄清楚Linux中的策略路由。

顺便说一下：我的防火墙后面没有windows服务器。它只会提供Linux服务器。

事实上，马克提醒我，我确实早就求助了，但在回应时我不想做任何事情。大家都忙着忘了。我find了电子邮件。

答复是：

你好，对不起，迟到的答复。大多数情况下，您将能够使用HA，同时有两个防火墙同时工作，但在这里是不可能的。我在这里要做的是使用路线图将交通引导到一侧。在路由器上，您不需要stream量，您可以预先input您发送给我们的路由。这使得这个设备的path更长，所以我们的路由器走另一条path。

route-map Net:Out set as-path prepend 65007 65007 router bgp 65007 neighbor <Net IP> route-map out NetDC:Out On the same router you would then lower the preference of the routes we send you. route-map Net:In set local-preference 10 rotuer bgp 65007 neighbor <Net IP> route-map in Net:In

请让我知道，如果你有任何问题。我发布的语法是用于博科，但Quagga应该非常相似。

其中“网”实际上是我不想透露的提供商的名称。

这在实践中将如何工作？我知道keepalive可以运行一个脚本。

即vrrp_instance MyVRRPInstance {[…]通知/usr/local/bin/keepalivednotify.sh}