Verständnisfrage zu CARP

ww

ww

Well-Known Member
Hallo,

ich habe den Flyer zu CARP gesehen, verstehe auch, daß nach außen eine einzige IP-Adresse vorgegaukelt wird, während "hinten" viele Maschinen werkeln können.

Was ich nicht verstehe, ist das "Frontend". Welche Hardware ist mit "außen" verbunden und stellt eine IP-Adresse bereit? Ist das ein Extrarechner? Falls ja, haben wir doch wieder einen single point of failure, oder?

Danke für Erleuchtungen,
ww
 
Beispiel:
Unsere Firewalls im Geschäft sind ganz vorne. Darauf werkelt FBSD 5.4. Auf beiden Boxen ist PF+CARP+pfsync aktiv.
Man kann dies als transparente Firewall bezeichnen, wobei eine der Master ist, die andere der Slave. Stirbt der Master (warum auch immer), so übernimmt der Slave mit den gleichen IPs die Verbindungen.
Diese beiden Rechner stellen direkt die Verbindung ins Inet her und somit ist diese, was die HW angeht, redundant ausgelegt.

Wenn in dem Flyer, hab ich nu nich im Kopf, noch ein Router vor den BSD Kisten hängt, dann ist das sicherlich wieder ein single point of failure.
 
Sorry, ich bin etwas blond. Die beiden FW-Boxen haben doch unterschiedliche IP-Adressen, sagen wir 123.123.123.123 und 123.123.123.124. Wo ist da die Redundanz? Oder ist normalerweise nur eine aktiv und die andere idled vor sich hin, um im Fall des Falles *schwups* die IP-Adresse der Downbox zu übernehmen, hotsparemäßig?

ww, aufdemschlauchstehend
 
Server 1:
ext_if == 123.123.123.123
int_if_1 == 192.168.1.10
int_if_2 == 10.4.1.10

Server 2:
ext_if == 123.123.123.123
int_if_1 ==192.168.1.11
int_if_2 == 10.4.1.11

So, die ext. IP ist identisch, wobei Server 1 der Master ist. Fällt dieser aus, so übernimmt einfach Server 2 die Aufgabe (und hat die IP ja schon auf dem richtigen Device).

Die Int_if_1 ist nur dazu da eine Verbindung ins interne Netz zu bekommen.

Int_if_2 wiederum ist ein crossoverkabel bei dem die beiden server miteinander verbunden sind und worüber das pfsync läuft.

Server1 ist also der aktive der nach aussen aktiv ist und der zu erreichen ist. Baust Du die Welt auf Server1 neu, oder die Kiste fällt sonst wie runter, so übernimmt server2 automatisch und ohne das Du dies mitbekommst.
 
Aha. Ich konnte mir nicht vorstellen, daß identische IP-Adressen nach außen zeigen. Jetzt habe ich gefilmt, daß das ja niemals gleichzeitig passiert und es folglich keine Kollisionen gibt.

thx, ww
 
@ww
Ja, war da das erste mal auch etwas überrascht, noch mehr als die Config auf Anhieb funktionierte und es wirklich so leicht umzusetzen ist wie beschrieben.
P.S.: Email bekommen?
 
ww schrieb:
Hallo,

ich habe den Flyer zu CARP gesehen, verstehe auch, daß nach außen eine einzige IP-Adresse vorgegaukelt wird, während "hinten" viele Maschinen werkeln können.

Was ich nicht verstehe, ist das "Frontend". Welche Hardware ist mit "außen" verbunden und stellt eine IP-Adresse bereit? Ist das ein Extrarechner? Falls ja, haben wir doch wieder einen single point of failure, oder?

Danke für Erleuchtungen,
ww
Zum Vergrößern anklicken....
Im Linux-Magazin Heft 12/05 gibt es mit dem Titel: "Wehrhaft abtauchen" einen 6-seitigen Artikel. Untertitel:" HA-fähige Firewall mit OpenBSD/PF (packet Filter)".
Der Autor betreut freie Unix-Systeme am Institut für Neuroinformatik der ETH Zürich.
Ein weiterer Artikel beschäftigt sich mit dem Erstellen von FW-Regeln mittels FW-Builder.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben