Redundancy và Failover: CARP và pfsync 1 Tổng quan CARP

Một phần của tài liệu báo cáo Internet gateway với firewall open sources (Trang 42 - 43)

2.9.1. Tổng quan CARP

CARP (Common Address Redundancy Protocol) được viết ra bởi các nhà phát triển OpenBSD như một giải pháp dự phòng mã nguồn mở và miễn phí để chia sẻ địa chỉ IP giữa một nhóm các thiết bị mạng. Các giải pháp tương tự đã tồn tại, khởi đầu là IETF cho Virtual Router Redundancy Protocol (VRRP). Tuy nhiên, VRRP đã được đăng ký bản quyền bởi Cisco. Do đó, các nhà phát triển OpenBSD tạo ra một giao thức mã nguồn mở và miễn phí mới có thể đạt được hiệu quả tương tự mà không vi phạm bằng sáng chế. CARP chính thức ra mắt vào tháng 10 năm 2003 bởi OpenBSD, và sau đó được bổ sung vào FreeBSD.

Mỗi tường lửa pfSense trong một nhóm CARP có địa chỉ IP riêng được đặt trên mỗi cổng, và nhóm các IP CARP được chia sẻ. Các địa chỉ IP CARP chỉ hoạt động khi firewall hiện tại đang là master.

CARP gửi các gói tin đến các node khác, mỗi gói đến các địa chỉ IP ảo trên các interface trong mỗi giây hoặc lâu hơn. Các thông tin được gửi bằng multicast và switch sẽ chuyển tiếp đến các thiết bị khác trong mạng. CARP cũng quan sát các interface có CARP IP đang hoạt động để theo dõi các gói tin CARP. Nếu một gói tin không

chuyển nhanh như mong đợi, nó sẽ giả định rằng hệ thống gặp vấn đề, và một node có chỉ số ưu tiên thấp sẽ được chuyển thành

master. Chúng ta cấu hình hệ thống CARP như khi có vấn đề xảy ra thì thiết bị tường lửa được chỉ định kế đó sẽ lên nắm quyền quản lý các interface.

Khi mất tín hiệu từ một máy master (không nhận được tín hiệu heartbeat) trên một interface, hoặc các gói tin đến chậm (đánh giá theo mức chậm hơn so với node thứ cấp), lập tức hệ thống sẽ giả định có vấn đề xảy ra. Các gói tin, thông tin của kết nối giao thức CARP có thể không truyền lẫn nhau do nguyên nhân gây ra bởi một

số vấn đề ở lớp 2 như: các switch chặn multicast, xử lý kém, hoặc không cung cấp các gói tin tín hiệu (heartbeat) giữa các node, dẫn đến trường hợp tất cả các node "nghĩ" rằng chúng đều là master cho một số IP ảo nhất định.

Lưu ý: Vì mỗi thành viên thuộc nhóm CARP phải có một địa chỉ IP trong một subnet, thêm với địa chỉ IP CARP, nên cần ít nhất ba địa chỉ IP có sẵn cho mỗi card mạng và một IP ảo. Điều này cũng áp dụng cho cổng WAN của bạn để chắc chắn rằng bạn có ít nhất ba địa chỉ IP định tuyến có sẵn từ ISP. Khối bảng định tuyến nhỏ nhất sẽ có 3 địa chỉ IP là một mạng con /29, tương đương với 8 địa chỉ IP (6 IP có thể sử dụng).

Một phần của tài liệu báo cáo Internet gateway với firewall open sources (Trang 42 - 43)

Tải bản đầy đủ (DOCX)

(71 trang)
w