High Availability Firewall/Router
Dalibor Straka
dast na panelnet.cz
Pondělí Září 6 22:33:15 CEST 2010
Ahoj!
On Sun, Sep 05, 2010 at 01:40:51PM +0200, Pavel Kankovsky wrote:
> On Sun, 5 Sep 2010, Dalibor Straka wrote:
> > - pouzit na druhem routeru stejnou MAC? Nebo explicitne propagovat
> > prepnuti stroju (zmena MAC) kvuli arpu a cim?
>
> arping -UA -I eth0 1.2.3.4
Arping aktualne pouzivam, ale nechtel jsem umyslne psat.
> > - fencing/stonith - jak je dobre zabijet? (*)
>
> Nejlépe tiše a nenadělat u toho moc velký svinčík. :)
>
> Taková poměrně málo brutální metoda je instruovat síťové prvky, ke kterým
> je "zabíjený" stroj připojený, aby odpojily jeho porty. Ale musí se to
> dělat trochu s rozmyslem, aby nevznikaly situace, kdy první stroj odpojí
> ten druhý od vnitřní sítě, zatímco ten druhý odpojí ten první od spojení
> do Internetu.
To je prakticky presne ten duvod, proc jsem se ptal. Totiz jestli pres
cisco (buh vi ze je nemam rad, mam pouze z marketingovych duvodu)
dropnout porty nebo pres IPMI sejmout server.
> > Je nejaka _rozumna_, elegantni moznost fungovani obou firewallu zaroven?
> > Tady bych bral i s _mirnou_ dopomoci cisco switchu. Neco ve stylu
> > "bonding" driveru pro dve sitovky.
Snazim se mit vse co nejjednodussi a elegantni - kvuli skalovatelnosti,
jednoduche nahraditelnosti pri problemech apod. Vsem ve firme jsem
zakazal delat prasacke "hacky" a po sleze i sam sobe.
Nejaky doporuceny koncept na ha-router/fw? Jestli radeji pouzit
vrrr, ucarpd nebo hearbeat?
Diky,
-- Dalibor Straka
P.S. Zatim stavim na heartbeatu, protoze ho znam a blizsi kosile nez
kabat.
Další informace o konferenci Linux