我有两个运行 PFsense 的 Linux 机器,其中一个是主机器,另一个是备份机器。主机器的 IP 为 192.168.1.2,备份机器的 IP 为 192.168.1.3。我创建了一个 VIP 192.168.1.1,它是 LAN 中所有系统的默认网关。
在主服务器和备份服务器上,我都有两个接口 WAN1 和 WAN2,它们连接到另外两台 Linux 机器(未运行 PFSense),而这台机器又连接到 ISP。我已创建网关组以实现负载平衡和故障转移。
即使任何 ISP 系统或防火墙系统 (PFSense) 出现故障,LAN 中的所有系统都能够访问互联网。以下架构非常适合 ISP 之间的负载平衡和故障转移。
问题发生在 SSH 连接上。如果系统的任何部分发生故障,SSH 连接就会中断,所以我必须重新启动连接。
架构上需要做哪些改变以便即使任何系统出现故障,SSH 连接也不会中断?
答案1
假设两台机器的 WAN1 和 WAN2 接口都有与 ISP 对应的公网 IP 地址,你需要确保在 CARP 中配置的两个 ISP 网络的 WAN 端也都有一个 VIP,因为设置网关组似乎不会创建 VIP。
例如
对于 ISP-1,您可能有:
Master.WAN1 166.10.15.1
Backup.WAN1 166.10.15.2
CARP VIP 166.10.15.3
这可确保当 pfSense 迁移会话时 IP 源地址不会改变。然后您需要为 ISP-2 使用相同类型的配置。
问题是,虽然这将维护 SSH(或任何活动的 TCP 会话)以将 PFSense Master 故障转移到 PFSense Backup,但如果活动 ISP-x 发生故障,它将无济于事,因为每个 ISP 的 IP 地址范围将会不同,从而阻止 pfSense 维护会话。