如何使用两个路由器和一个上行链路(互联网连接)设置 VRRP

网络工程 转变 路由器 虚拟现实 无处不在 FRP
2021-07-17 20:04:20

我想知道以下场景是否可以使用两个路由器设置 VRRP(忘记上游网络冗余或交换机上的冗余):

设想:

  • 数据中心为其网络提供 1 条单上行链路电缆。
  • 数据中心为我提供了 4 个单独的 IP 分配(都在单独的子网上)。
  • 将 DC 上行链路电缆连接到单个交换机。
  • 将两个路由器的 WAN 端口连接到与 DC 上行链路电缆相同的交换机。
  • 在两个路由器之间设置一个虚拟 IP(在 WAN 端)。
  • 有第二个交换机,两个路由器的 LAN 端口都连接到这个。
  • LAN 端的两个路由器都有一个虚拟 IP。

以上是实现这一目标的正确方法吗?或者路由器是否需要通过两个上行链路直接连接到 DC 路由器?

  • 如果上述情况确实有效,我应该如何保护交换机免于暴露在路由器(防火墙)的 WAN 侧 - 因为有一个 web / ssh 管理界面 - 有什么提示吗?

最后,即使路由器没有直接连接到 DC 路由器,而是通过 WAN 侧交换机,我是否可以将多个 IP 分配(在不同的子网上)分配给我的两个路由器?

提前感谢您的任何帮助(并原谅我的无知)。

1个回答

您可以使用 VRRP,假设您的路由器支持它,但它需要在同一网络中至少有两个或三个 IP 地址。每个路由器都需要一个地址,虚拟地址需要一个地址(VRRP 的某些实现允许虚拟地址是其中一个路由器的真实地址)。路由器还需要能够在使用 VRRP 的 LAN 上相互通信。为此,您可以将路由器接口连接到同一个第 2 层 LAN。

在路由器的 WAN 侧执行此操作将使数据中心对路由器进行冗余访问,但从路由器到数据中心仍然存在单点故障。连接到数据中心的网络最多必须是 ,/29因为任何更长的掩码都不会提供两个以上的可用地址,并且该链接至少需要三个地址。

在路由器的 LAN 端执行此操作可为 LAN 上的主机提供路由器冗余。

为了保护交换机,您可以在数据中心和交换机之间放置透明防火墙,或者您可以使用非托管交换机。如果您的路由器也需要保护,您可能需要防火墙。如果您的数据中心链接只有两个地址,防火墙可以终止该链接,然后它可以为您的路由器提供不同的网络。在您的设备和数据中心之间放置一个路由器会创建另一个 SPoF。

路由器在网络之间路由,因此将多个网络连接到路由器是正常的。

其它你可能感兴趣的问题
上一篇VPN - 客户端如何成为专用网络的一部分? 下一篇我正在尝试配置 DHCP 以从其他网络分配 IP 地址!