cloudsong

首先，取决于你的网络接入方式，你的带宽，你是否需要跑满 64b 线速，你的并发连接数，以及 qos 的区分颗粒度（在 l3-l7 做），dpi 的具体要求，威胁库的更新来源等。在你明确知道你要什么以及能够获得什么之后，或许答案已经在你心中了。

根据你提出的需求，特别是 2 个 10g sfp+…

另外还要考虑 dns 用 fakeip ，以及避免 vrrp 震荡的问题。这些我都遇见过。比如出海线路很差，那么有可能系统会在两个线路之间来回切换，表现是游戏断线，视频通话断线。因此线路检测还需要加入一个延时机制，比如连续 ping 失败 3-5 次就切换。以及在你的 Keepalived 配置 f…

写得非常棒。给您锦上添花两点：1. 在 keepalived 中添加 ping 外网地址的功能，防止科学上网插件挂了但是 openwrt 还活着，PREROUTING 链依然存在，但客户端发出的数据包到达旁路由后，防火墙规则会将包扔给指定的端口，此时端口对应的监听进程已经没了，系统内核收到包后发现没…