边界防火墙和路由——静态路由与动态路由

将外部路由器放入 HSRP/VRRP 对中。获取 AS。开始与您的 ISP 进行 BGP。

然后，您环境内的任何地方，路径都将是静态的。您只需要有故障转移，这就是使用 VRRP/HSRP 和 A/A 或 A/S 配置中的防火墙实现的。

替代方案更加混乱和/或不太可靠：

• 始终保持动态是一种不必要的麻烦。
• 防火墙上的静态出站将导致同时使用两个上行链路变得困难/不灵活/不可能。
• 如果没有 PePLink/Ecessa/EdgeXOS 之类的临时解决方案，入站冗余将会非常痛苦。

注意：以下所有内容均假设您有一个站点，有两个 ISP 电路。如果不是这种情况，请告诉我。

对于企业核心和 DMZ 之间的路由，静态路由似乎非常合适；默认路由指向防火墙，内部子网（听起来是 10.0.0.0/8）的路由返回核心路由器。（尽管有一种观点认为互联网不应该从核心网络路由；有关这一点的更多信息，请参见最后的附录。）也就是说，如果您总结得简洁，在核心和 DMZ 之间运行 OSPF、EIGRP 甚至 EBGP 不会有太多开销。这通常取决于工程师的个人偏好。

关于您的 DMZ 和提供商之间的路由，有两个方面：

1. 您的 ISP 如何路由到您
2. 如何通过 ISP 路由到互联网

关于 (1)：您是否拥有独立于提供商的地址空间，从而允许您的 VPN 服务器和 Web 服务器由两个 ISP 提供？假设是这种情况，我建议为您的提供商运行 EBGP 并不是一个坏主意 - 它允许您通过使用各种 BGP 属性来影响哪个 ISP 更适合用于您的传入流量。如果您的服务器位于提供商特定的地址空间上，那么动态向您的 ISP 通告路由没有任何好处；它们也可能静态路由到您。

关于 (2)：在边缘路由器上，到 HSRP/VRRP 地址的默认静态路由将起作用；您可以使用对象跟踪（在 Cisco 平台上）来确定每个路由器上本地连接的 ISP 电路的“健康状况”，也许可以通过 ping 一个众所周知的 IP 来确定。如果跟踪的对象发生故障，则可以将路由器配置为降低其 HSRP/VRRP 优先级，将流量转移到另一条链路。

也就是说，使用默认值是非常粗略的，并且不允许您使用 ISP 可能与大型内容提供商（例如 akamai、BBC 等）建立的任何直接对等连接。如果这可能有用，EBGP 对等连接将允许您更清楚地了解您的 ISP 连接。许多提供标准社区，允许您接受“客户”路由，这意味着您有针对 ISP 的任何直接连接客户的特定路由，但不需要维护完整互联网 BGP 表的副本。

另外：从您的描述来看，似乎缺少的一个基础设施是互联网代理。有很多理由不允许您的内部主机直接路由到互联网；如果大多数出站流量只是网页浏览，通过在 DMZ 中安装一个（或两个，用于故障转移）代理，您可以消除内部网络对到 DMZ 的默认路由的需求。只需路由到 DMZ 子网（代理所在的位置），并将互联网可达性限制在您的 DMZ 内。有几个好处：

1. 集中策略控制；它允许您限制管理/安全人员认为不适当或高风险的站点的访问。
2. 它限制了任何恶意软件进入用户工作站“回传”的能力。任何试图直接路由到互联网地址的东西都将无法连接；任何试图使用代理的东西都必须只使用允许的端口 (80/443)，如果你订阅了一个好的黑名单提供商，你的代理可以进一步减少你的暴露。

好问题。:)

静态方法允许更精细地控制如何将流量路由到您的两个 ISP。您可以根据 ISP 的速度或您想要访问的服务进行非对称路由。

复制/故障转移设置相当简单，因为大多数防火墙/设备都提供非常简单的程序（至少在思科上）。