cloudsong

你这不是正价套餐。正价是 ipv4 公网，没有 ipv6 ，走联通，下 1000m 上 100m

你应该先移机再过户。这样掉了公网如果找不回来就退货。

@pingdog 其实我的回复是开玩笑的。本意是说家里不必搞那么复杂。国内也就 1000/2000m 下行，上行 50/100 ，而且现在这个网络环境，上行多了还关小黑屋，就没那么多花样折腾了。

首先，取决于你的网络接入方式，你的带宽，你是否需要跑满 64b 线速，你的并发连接数，以及 qos 的区分颗粒度（在 l3-l7 做），dpi 的具体要求，威胁库的更新来源等。在你明确知道你要什么以及能够获得什么之后，或许答案已经在你心中了。

根据你提出的需求，特别是 2 个 10g sfp+接口，我觉得你的需求是非常极限的。你拥有 2 条万兆对等网络，要求跑满 64B 小包线速转发，需要 L7 级别的 QoS ，需要基于全流量的 DPI ，拥有商业级的威胁库订阅，并发连接常年在 10 万以上，且 VPN 必须跑满万兆。而且，N100 小主机是整个需求的核心！
根据我浅薄的知识，建议如下：
1.万兆接入层，请直接采购一台企业级商业防火墙来保证万兆小包的线速转发。拿出一个 SFP+ 接口做 Mirror ，把所有流量镜像进另一台独立的 DPI 服务器做深度检测，然后通过 RESTCONF 联动给路由器下发 ACL 来阻断威胁链接。如果你对安全级别的要求极高（比如家里有金库），终端设备上还需要部署类似 Check Point 这种专业客户端，用来做 SSL 流量解包检测。
2. 万兆 WireGuard / IPSe ，这太难了。目前市面上绝大多数商业路由器都做不到 WireGuard 万兆 64B 线速（ IPSec 有专用芯片勉强可以）。因此，你需要一台独立的专用网关设备，CPU 起步建议 Xeon D 2700 （ qat gen3 或者以上）支持 ChaCha20 指令集加速，配合 DPDK 和 QAT 专门用来跑隧道。当吞吐量达到 100G 时，这种性能溢出会让你获得极大的自我满足感。深夜里，机器风扇 10000 转嘶吼的声音，正是那无处安放的青春。
3. 关于 QoS 与特征库： 真正的 L7 QoS 建议交给专门的上网行为管理设备。你每个月只需支付 XXXX 元的订阅费，就能获得最及时的应用特征库更新和尊贵的技术支持服务。
4. N150 小主机，建议挑一个铝合金外壳做工精致的，买回来摆在电脑桌上。可以远观更可以随手把玩，情绪价值直接拉满！

@mytsing520 我不觉得是公安的问题。因为首先全国只有深圳广州两地，且只有电信一家运营商这么做。如果是公安，那么最少也会是当地所有运营商屏蔽。因此电信自己给自己加戏的可能性非常高

@Kinnice 谢谢。受教了。你这个防环路结构很棒。后面 l7 我打算前面 mosdns 先 dns 分流一次，后面 singbox sniff inbound 兜底。tun 这边还是业务层判断联网来做掉。

@Kinnice 我见过 ospf 做双线分流，但是那是多运营商分流。你如果要分流科学，那回流要单独处理，确保都去主路由。ip 分流通过路由宣告做掉，这是 l3 ，但是请教一下，l7 这层分流怎么做呢？还是用 singbox 吗？还是用 mosdns ？最后科学挂了之后，tun 是否会自动消失呀？ tun 如果还在的话，岂不是依然绕不开业务层监控？

另外还要考虑 dns 用 fakeip ，以及避免 vrrp 震荡的问题。这些我都遇见过。比如出海线路很差，那么有可能系统会在两个线路之间来回切换，表现是游戏断线，视频通话断线。因此线路检测还需要加入一个延时机制，比如连续 ping 失败 3-5 次就切换。以及在你的 Keepalived 配置 fall 3 rise 2 这种，避免网关反复横跳