У меня есть 2 маршрутизатора в шкафу, и я хотел бы настроить аварийное переключение между ними для наших серверов вроде BGP, но не BGP :). Мне нужно настроить систему, чтобы понять, что шлюз 1 (не работает) или находится под атакой, и вместо этого маршрутизировать через шлюз 2. Как это лучше всего сделать? Мы собираемся использовать Vyatta или PFsense в качестве наших граничных маршрутизаторов, если вам нужно знать.
Vyatta поддерживает VRRP или протокол резервирования виртуального маршрутизатора. Это позволяет двум маршрутизаторам Vyatta совместно использовать один IP-адрес. Чтобы настроить его, вы назначаете значение приоритета каждому маршрутизатору. После включения маршрутизатор с наивысшим приоритетом запрашивает общий IP-адрес. Если этот ящик отключается, то другой маршрутизатор определяет, что теперь он имеет высший приоритет, и принимает IP-адрес.
Мы использовали VRRP с Vyatta в производстве уже пару лет, и он работал очень хорошо. Мы используем его для настройки NAT, в которой нет входящих подключений, поэтому он просто использует IP-адрес внутреннего шлюза локальной сети (192.168.1.1). Если у вас также есть входящие соединения, вы можете использовать как LAN IP, так и WAN IP.
Я не знаю, поможет ли это предотвратить DoS-атаку, но это, безусловно, должно помочь избежать проблем после типичных сбоев оборудования и программного обеспечения.
Дополнительные сведения см. В руководстве по высокой доступности по Вяттинский сайт.
VRRP протокол, разработанный для этой цели.
Обратите внимание, что та же идея называется Карп в мире BSD (так что вы найдете CARP только в pfSense).
Это называется HSRP в мире Cisco.
Одна проблема, которую вам нужно будет решить в конфигурации маршрутизатора, - убедиться, что если вне интерфейс больше не работает, этому маршрутизатору нужно будет прекратить рекламировать свои услуги во внутренней сети.
Это часто достигается с помощью vrrp и чего-то вроде «отслеживания ping», когда вы настраиваете каждый vrrp для проверки связи с удаленным IP-адресом, и если он не может проверить связь с этим IP-адресом, маршрутизатор выйдет из кластера vrrp. Такие вещи может быть очень сложно настроить, если у вас сложные требования, хотя