2つのゲートウェイ間のフェイルオーバールーティング
キャビネットに2つのルーターがあり、BGPのようなサーバー用に2つのルーター間でフェイルオーバーをセットアップしたいのですが、BGPではありません:)。ゲートウェイ1が(ダウン)または攻撃を受けていることを認識し、代わりにゲートウェイ2を経由するようにシステムをセットアップする必要があります。これはどのように行うのが最善ですか?知る必要がある場合は、エッジルーターとしてVyattaまたはPFsenseを使用します。
VyattaはVRRP、または仮想ルーター冗長プロトコルをサポートしています。これにより、2台のVyattaルーターが1つのIPアドレスを共有できます。設定するには、各ルーターに優先度の値を割り当てます。有効にすると、優先度が最も高いルーターが共有IPアドレスを要求します。そのボックスがオフラインになると、他のルーターはそのボックスが最優先事項であると判断し、IPアドレスを引き継ぎます。
VyattaでVRRPを使用して数年になりますが、非常にうまく機能しています。着信接続がないNATセットアップに使用するため、内部LANゲートウェイIP(192.168.1.1)を共有するだけです。着信接続もある場合は、共有できます。 LANIPとWAN IPの両方。
これがDoS攻撃の防止に役立つかどうかはわかりませんが、一般的なハードウェアとソフトウェアのクラッシュ後の問題を回避するのに役立つはずです。
詳細については、 Vyattaサイト の高可用性マニュアルを参照してください。
[〜#〜] vrrp [〜#〜] は、この目的のために設計されたプロトコルです。
同じアイデアがBSDの世界では [〜#〜] carp [〜#〜] と呼ばれていることに注意してください(したがって、PFSenseでのみCARPが見つかります)。
これは、シスコの世界では [〜#〜] hsrp [〜#〜] と呼ばれています。
ルーター構成で対処する必要がある問題の1つは、outsideインターフェースが機能しなくなった場合、そのルーターがサービスの内部ネットワークへのアドバタイズを停止する必要があることを確認することです。
これは多くの場合、vrrpと、リモートIPにpingを実行するように各vrrpを構成する「trackingping」のようなもので実現され、そのIPにpingできない場合、ルーターはvrrpクラスターから自分自身を取り出します。ただし、複雑な要件がある場合、そのようなものはセットアップが非常に複雑になる可能性があります。