多宿主 OpenBSD 系统：基于策略的路由与 mpath 默认路由

Question

TL;DR 基于 OpenBSD 策略的路由对多宿主服务器/网关情况有帮助吗？如果是这样，我该如何配置它？

长表

我正在管理一个带有两个 ISP 链接和 VPN 隧道到远程路由节点的 OpenBSD。

最初，我们使用了多个具有不同指标的默认路由——通过静态 IP 地址的首选路由是 NAT 路由器，而 NAT 路由器又动态分配了地址（它基本上是一个电缆调制解调器）。

在实践中，这并不理想，但效果很好。从网关（以下简称为“gw”）建立的新连接，如果已启动，将选择速度更快、延迟更低的路由；如果链路断开，则通过电缆调制解调器出去。入站连接只能通过更好的路由，因为其他 IP 地址在 NAT 之后（无法从外部路由。

现在，我们需要通过一个额外的代理/VPN 路由器节点将流量路由到“云端”，以降低我们静态 IP 地址上的 DDoS 风险。

那些通过隧道连接到网关。

第一的。然后我们发现我们的管理员访问权限会偶尔下降。

使问题进一步复杂化的是，该网关具有到特定 VLAN 的额外活动接口。他们与这个问题无关，但不能被打扰。

可能的解决方案

我的印象是我们应该使用基于策略的路由rdomains。我想这意味着我为三个涉及的接口中的每一个创建路由表，并且任何这些接口（包括tun0隧道接口）上的任何连接都应该通过该域的表进行路由（因此每个都可以有自己的默认路由）。

我在正确的轨道上吗？

这是一个图表和一个清理列表，如果接口设置：

 ________
| 隧道| _______
 ~~~+~~~~ | GW |======++
    | ~+~+~+~ ||                   
    | _________ | | | ||                                        
    +-----| prefISP |------------+ | | __||____ ... ...               
           ~~~~~~~w~ | +-----| 交换机 |-----( 集群 )                           
                                    | ~~~~~~~~ ^^^^^^^^^           
           _________ .....|...... ||                              
          | fallISP |---------( LAN / WiFi )===++
           ~~~~~~~~~ ^^^^^^^^^^^^^

    图：我想在通过隧道访问GW、通过首选ISP以及访问GW或集群（通过GW或从LAN）时避免非对称路由。


 消毒接口信息：

    em3：inet 123.45.67.118 网络掩码 0xfffffff8 广播 123.45.67.119 描述：prefISP
    em0：inet 10.1.1.100 网络掩码 0xffffff00 广播 10.1.1.255 描述：fallISP
    tun0：inet 192.168.2.2 --> 192.168.2.1 网络掩码 0xffffff00 描述：隧道
    em1: VLAN_TRUNK
          vlan1000：inet 172.29.1.1 网络掩码 0xffffff00 广播

如前所述：em3是我们到首选（更快）ISP 的链接；tun0通过它；em0与办公室 LAN/Wifi 位于同一网段，作为我们的备用 ISP；GW 有额外的链接到集群和交换机。

Answer 1

欢迎来到负载均衡的梦想。

\n\n

这是可能的，但最好的路由和无痛模式是使用 BGP 路由协议并使用策略管理下游和上游流量。

\n\n

为了成功实现这一点，您必须与两个 ISP 协商，让他们将您纳入内部 iBGP 节点，以便您可以将路由路径推送到互联网。

\n\n

正确的方法是您请求自己的自治系统编号。并管理您拥有的所有 IP。由于要求，这实现起来有点复杂。

\n\n

http://teamarin.net/2014/01/31/how-to-request-an-asn-from-arin/

\n\n

\n

如果您符合多宿主策略的资格，则需要提供要使用的外部网关协议、网络当前使用的 IP 地址、每个上游提供商的 AS 编号和名称和/或同行以及至少其中两个的服务合同验证。

\n\n

如果您符合唯一路由策略的资格，则必须证明 AS\xe2\x80\x99s 路由策略与其边界对等方的路由策略不同。

\n\n

无论您符合哪种政策，如果这不是您第一次请求 ASN，您还需要向我们展示您请求 ASN 的网络如何独立于网络中的所有现有 AS以及。

\n

\n\n

这是一篇关于使用 BGP 进行多宿主的精彩论文：http://aspath.net/BGP-MHing-HOWTO-whitepaper.pdf

\n\n

如果您不愿意，无法与 ISP 创建 BGP 会话，那么另一个解决方案是购买基于硬件的负载均衡器。（从技术上讲，大多数硬件都运行一些修改过的 BSD 来实现产品功能。因此，如果您有相关知识，可以将其设置在运行 BSD 的服务器上。但是您永远无法获得具有用于网络处理的专用硬件的硬件设备的总容量，但如果你的负载不大（我想说超过50 Mbps）你可以做到）

\n