使用anycast IP的多条GRE隧道朝向单个主机

Question

我正在尝试构建以下网络体系结构：

如果客户端试图通过使用Public Anycast IP加载项(1.2.3.4)连接后端服务器(例如SSH)，则将客户端路由到最近的入口点。

有两个切入点：

入口点1在伦敦，公共知识产权3.3.3.3，接收来自欧洲客户的流量。入口点2在圣保罗，公共知识产权2.2.2.2，接收来自美国客户的流量。这两个入口点有一个已建立的到后端服务器的GRE隧道。

到目前为止，如果后端SSH服务器绑定到特定的GRE隧道接口IP，但只有来自关联的入口点GRE地址接口的客户端才能进行连接，这是很好的。

如何使客户端能够从两个入口点连接，即使后端SSH服务器“绑定”到两个GRE接口，并适当地根据来自哪个隧道路由通信量？

谢谢。

Answer 1

您需要确保两个GRE隧道都回送客户端数据包(以防万一)，并且服务器到客户端的度量与客户机到服务器的度量相同(以启用对称路由)。

在不对称路由的情况下(不需要但可能的)，您需要禁用路径中任何防火墙的有状态检查(这会破坏非对称路由)。

由于您是隧道，外部跳数是不可见的，通过查看隧道包-隧道总是只有一跳。您需要找到一种方法，通过外部跳距离、延迟、探测吞吐量或任何对您的用例有意义的方法，为隧道接口分配可用的度量。