如何设置两个路由器和一个上行链路的VRRP (Internet连接)

Question

我想知道是否可以使用两个路由器安装VRRP (忘记了网络上的冗余或交换机上的冗余)：

设想情况：

• 数据中心向他们的网络提供1条单上行电缆。
• 数据中心为我提供了4个单独的IP分配(都在不同的子网上)。
• 将直流上行电缆连接到单个交换机。
• 将两个路由器的广域网端口连接到与直流上行电缆相同的交换机上。
• 在两个路由器之间设置一个虚拟IP (在广域网一侧)。
• 有第二个交换机与两个路由器局域网端口是连接到这个。
• 在LAN端为两个路由器设置一个虚拟IP。

以上是否实现这一目标的正确途径？或者路由器是否需要通过两个上行线路直接连接到DC路由器？

• 如果上面的场景有效，我应该如何保护交换机不被暴露在路由器(防火墙)的WAN端-因为有一个web / ssh管理接口-任何提示？

最后，即使路由器不是直接连接到DC路由器，而是通过广域网侧交换机，我是否可以将多个IP分配(在不同的子网上)分配给我的两个路由器？

事先谢谢你的帮助(原谅我的无知)。

Answer 1

您可以使用VRRP，假设您的路由器支持它，但它至少需要在同一网络中的两个或三个IP地址。每个路由器都需要一个地址，虚拟地址需要一个地址( VRRP的某些实现允许虚拟地址成为其中一个路由器的真实地址)。路由器还需要能够在使用VRRP的局域网上相互通信。您可以通过将路由器接口连接到同一层-2 LAN来实现这一点.

在路由器的WAN端执行此操作将使数据中心能够冗余访问您的路由器，但从路由器到数据中心，您仍然有一个单一的故障点。连接到数据中心的网络最多必须是/29，因为任何更长的掩码都不会提供两个以上的可用地址，而且该链接至少需要三个地址。

在路由器的LAN端这样做可以为局域网上的主机提供路由器冗余。

为了保护交换机，您可以在数据中心和交换机之间设置一个透明防火墙，也可以使用非托管交换机。如果您的路由器也需要保护，您可能需要防火墙。如果您的数据中心链接只有两个地址，防火墙可以终止该链接，然后它可以为您的路由器提供不同的网络。在设备和数据中心之间放置路由器会创建另一个SPoF。

路由器在网络之间路由，因此有多个网络连接到一个路由器是正常的。