能否使用 HSRP 来设置使用来自不同 ISP 的两个路由器的高可用性站点到站点 VPN?如果一个 ISP 的连接失败,VPN 将透明地切换到另一个 ISP,并且当连接恢复时,它将切换回来?
....Router1 ----\
VPN HSRP firewall <->CLOUD...../ -> firewall --> LAN
\....Router2 ----/
答案1
HSRP 本身的功能有限。名义上,它只是一种允许一对路由器在主动/被动配置中共享虚拟 MAC/IP 的机制。如果主动路由器死机,被动路由器将接管。根据定义,它仅处理出站流量。
可以将其他解决方案分层到 HSRP 上 - 例如,可以使用链路跟踪,以便主路由器放弃其优先级并允许辅助路由器接管,以防上游链路(或路由)在两个路由器仍处于活动状态时丢失。要获得接近 HA 解决方案的东西,您需要在两个路由器上都采用某种机制,以主动检查路由器之间路径的可用性。从上游获取 BGP 路由当然是一个开始,但最终如果您无法证明流量确实在通过,您真的不知道您是否具有连接性。这将使您进入路由器上的脚本、验证连接的机制等。IOS/XE 中有执行此操作的机制(PfR 等),允许您将它们组合在一起。或者,看看 iWAN 有什么用处 - 它将所有内容(以及一些其他有用的东西)组合在一起,以在任何链接类型组合上运行等。