Бэкапный сервер.



  • Доброе время.
    Появился вопросик…
    Как можно создать бэкапный сервер фаервола? Если заваливается сервер или какой либо интерфейс на мастер сервере, то автоматом начинал работать бэкапный...
    Как я понимаю надо делать с помощью carp-a, но вопрос можно ли на wan интерфейс повесить карп? И делал ли кто нибудь подобное и если да то как? :)



  • Да, можно. И, правильно - саrp. На Wan интерфейс необходимы 3 IP адреса, из которих один - VIP (саrp). Но для тово провайдер должен пророутит сетку на вип адрес.



  • Не совсем понял зачем именно 3 IP и что такое ВИП
    Не могли бы подробней?
    заранее спасибо :)



  • @Aidaho:

    Не совсем понял зачем именно 3 IP и что такое ВИП
    Не могли бы подробней?
    заранее спасибо :)

    CARP является свободной, безопасной альтернативой протоколам VRRP и HSRP. CARP позволяет выделить группу хостов в сегменте сети и назначить ей один IP-адрес. Такая группа называется «redundancy group» (группа избыточности). В пределах этой группы один из хостов становится «главным», а остальные обозначаются как «резервные». В каждый момент времени мастер-хост отвечает на ARP-запросы к назначенному IP-адресу и обрабатывает трафик, идущий к этому адресу. Каждый хост одновременно может принадлежать к нескольким группам.

    подробнее тут http://ru.wikipedia.org/wiki/CARP и http://www.opennet.ru/base/net/carp_protocol.txt.html



  • 2 zar0ku1
    читал я это все… и с карпом работал....
    я только не понял зачем на интерфейс назначать 3 адреса, или это в сумме на 2 интерфейса выходит 3 адреса?
    и что совсем не понял, что является випом....



  • @Aidaho:

    2 zar0ku1
    читал я это все… и с карпом работал....
    я только не понял зачем на интерфейс назначать 3 адреса, или это в сумме на 2 интерфейса выходит 3 адреса?
    и что совсем не понял, что является випом....

    он видно имел ввиду один мастеру, один резервный и один общий



  • ну да.. я про тоже….
    а вип что такое все таки? ))



  • @Aidaho:

    ну да.. я про тоже….
    а вип что такое все таки? ))

    Это все к нему :)



  • ВИП это виртуальный ИП адрес - тот, который присваиваетса группе хостов. Правильно в #5 ответе. Два адреса видаютса физицеским разным серверам, а третий - ВИП - тот, который будет присвоен одному из активных серверов. Провайдер должен прописать роут на этот ВИП адрес, а не на какой либо из физически присвоенных к серверам. Иначе если мастер отключитса, то етово ИП небудет. А ВИП перейдет на бекап сервер, и соединение с интернетом останитса. Я это делал через промежуточную сеть.



  • хм… ну у меня не 1 ип, а группа из 16 адресов.
    Так что думаю прову делать ничего не надо будет.
    вот я только не могу понять, как присвоить капр на ван интерфейс, точнее как разобраться с роутами...



  • Группа из 16 адресов по CIDR это /28, где реальных хостов 14. Первый адрес - сеть, последний - бродкаст. Я не уверен, что можно определить роуты без отдельново субнета. Или же придеться разделять уже выделенный субнет на маленький подсубнет. Но в этом случае теряются свободные ип адреса. Я бы говорил с провaйдером, чтобы на ван видать 3 реальных адреса но из провайдеровской сети. И пророутить ваш теперешний субнет церез один из 3 адресов, которий будет ВИП адрес.

    Роутер - это простая штука. Он получает пакет с направлением, и должен решить куда его направить на следуюшчий хоп. Если адрес доставки будет из того же субнета, то он небудет перенаправлять. Он просто этот пакет будет откидивать, так как ето не его адрес.

    Модулируя с субнетами, ситуация должна быть следующей:
    ван мастер ип: 192.168.0.2
    ван бекап ип: 192.168.0.3
    ван вип: 192.168.0.1

    ВИП адрес должен быть из того же субнета, как и фактические адреса.

    Ваш теперешний субнет, к примеру: 192.168.5.0/28, цто дает сеть - 192.168.5.0, и бродкаст - 192.168.5.15

    Адресация на лан интерфейсе:
    лан мастер ип: 192.168.5.2
    лан бекап ип: 192.168.5.3
    лан вип: 192.168.5.1

    провайдер у себя делает роут, что доступ к субнету 192.168.5.0/28 делается через гейтвей  192.168.0.1 (вип адрес ван интерфейса).

    В свою очередь на вашем роутере прописивать статческий роут не нужно, так как на роутере имеетса таблица ип адресов из субнета 192.168.5.0/28

    Почему нужен вип на лан интерфейс? Потому что для хостов из сети 192.168.5.0/28 нужен будет гейтвей для связи с интернетом, и он тоже должен работать на фейловер. По этому на хостах из /28 субнета как гейтвей указивается лан вип - 192.168.5.1/28

    Далее, в разделе Firewall > Virtual IP есть закладка Carp Settings. Настройки CARP устанавливаютса только на мастере. На бекап сервере определяется только интерфейс синхронизации. У себя для синхронизации таблиц соединения создал отдельный интерфейс и субнет. Можно сервера соединять на прямую, или через ком порт.

    Далее на мастере делаютса настройки CARP:
    Включается синхронизация;
    Bыбирается интерфейс, по которому будет проводиться синхронизация;
    вноситса ип адрес бекап хоста интерфейса cинхронизации;
    выбирается что синхронизируется;
    вводится пароль бекап сервера (веб доступа).

    Потом настраивается вип:
    тип - карп
    интерфейс - ван, или лан, соответственно;
    ип адрес - тот же самый вип адрес и маска;
    VIP пароль, по которому хосты будут понимать, что это относитса к ним - одинаковые на обоих хостах;
    VHID группа - уникальная в субсети - цифра.
    Advertizing Frequency - 0 на мастере

    то же самое надо проделать на бекап хосте, только в Advertizing Frequency поставить что нибудь по выше 0, так как 0 = мастер.

    И на конец в Firewall надо прописать Allow для IGMP протокола на итерфейс, так как по умолчанию всё блокируется.



  • Вопрос:
    я так понимаю для бекапа надо иметь 3 ипа для wan и 3 для lan, по одному общему, и по этим общим и будет ходить траф (вход и выход), а теперь есть вопрос: OPT интерфейсы как бекапить? там тоже проходит схема с 3мя ипами?



  • Да, принцип тот-же. Только выходящий трафик быдет ходит по реальным ИП адресам, а не через ВИП. Возможно это (выходящий через ВИП) можно настроить с роутингом, но не пробовал.



  • @j2b:

    Да, принцип тот-же. Только выходящий трафик быдет ходит по реальным ИП адресам, а не через ВИП. Возможно это (выходящий через ВИП) можно настроить с роутингом, но не пробовал.

    Выходить будет, как сконфигурируешь.
    CARP-схема работает с любым количеством OPT-интерфейсов и любым количеством виртуальных IP на них.
    Очень рекомендую следовать вот этой ссылке:http://www.pfsense.org/mirror.php?section=tutorials/carp/carp-cluster-new.htm при конфигурировании. Далее детально разобраться, как это работает, потом добавлять OPT-интерфейсы, как душа пожелает.


Log in to reply