Limite de VHid à 255 et IP Alias

soulearth

Bonjour,

J'ai un cluster de pfsense en HA (actif/passif) pour faire du routage entre de nombreux réseaux ( plus de 255 ).
Il me faut donc une IP VIP ( ou alias )  dans chaque réseau.

J'ai vu que les IP ALIAS permettaient de contourner la limitation de 255 VHIDs mais je vois qu'il y a aussi des limitations au niveau des subnets. Ref : "Stacked IP Alias VIPs must be inside the same subnet as the CARP VIP upon which they are placed."

J’aimerais donc en savoir un peu plus sur la mise en place "propre" de ces alias de vip. Je ne vois pas trop l’intérêt d'avoir plusieurs adresse IP dans le même réseau, donc j’espère qu'on peut avoir le fonctionnement suivant :

• IP VIP dans un /24. Exemple en 192.168.1.249
• IP ALIAS VIP dans un /28 inclue dans le /24. Exemple 192.168.1.14/28 .

Je m'interroge également sur la phrase suivante :  Subnet mask should match the interface IP, or be /32. Matching the interface subnet is advised. For IPs in different subnets at least one IP alias VIP must have the correct mask for the new subnet.
Dois-je plutôt faire :

• IP VIP dans un /24. Exemple en 192.168.1.249
• IP ALIAS VIP en /32 inclue dans le /24. Exemple 192.168.1.14/32 .

Merci d'avance pour vos réponses.
Cordialement,

Soulearth

Juve

Tous les reseaux partagent le meme niveau 2 ?
Ou vous avez un vlan par reseau ?

Un cluster CARP à deux noeuds = 3 ip (vip, ip master, ip slave). PfSense n'implemente pas encore carpdev qui se contente d'une ip.

soulearth

Bonjour,

Tout d'abord merci d'avoir pris le temps de me répondre.

J'ai 1 réseau par vlan. Dans cette infra 1 réseau = 1 vlan .

Du coup, je m’inquiète de ne pas pouvoir dépasser les 255 vlans et 255 réseaux.
Si vous me dite que cette limitation est en réalité de 255 vhids par vlan, ça règle le problème pour moi.

Pour ce qui est du cluster CARP, je confirme que j'ai bien une IP par noeud et une IP CARP supplémentaire, ce qui m'en fait 3.

Cordialement,
Soulearth

Juve

Techniquement, c'est 255 vhid par vlan (niveau 2, car on diffuse en 224.0.0.18 avec CARP).

En pratique, le seul point à vérifier, c'est que le GUI de pfSense ne vous empêche pas de configurer plusieurs fois le même VHID.

soulearth

Bonjour,

C'est plutôt une bonne nouvelle. Je vais faire des tests et vous tiendrai au courant du résultat.

Encore merci pour votre aide.

Cordialement,
Soulearth

Juve

ok, ca m'intéresse de savoir.
J'ai jamais dépassé 40 interfaces logiques sur un cluster en production.

Généralement pour du simple routage (comprendre sans filtrage) je déporte cela sur des équipements réseau (bien souvent un cluster HPN IRF) qui sont plus performant en commutation/routage avec une disponibilité maximale.