High Availability Firewall/Router

[Dalibor Straka]

Ahoj!

On Sun, Sep 05, 2010 at 01:40:51PM +0200, Pavel Kankovsky wrote:
> On Sun, 5 Sep 2010, Dalibor Straka wrote:
> > - pouzit na druhem routeru stejnou MAC? Nebo explicitne propagovat
> >   prepnuti stroju (zmena MAC) kvuli arpu a cim?
> 
> arping -UA -I eth0 1.2.3.4

Arping aktualne pouzivam, ale nechtel jsem umyslne psat.


> > - fencing/stonith - jak je dobre zabijet? (*)
> 
> Nejlépe tiše a nenadělat u toho moc velký svinčík. :)
> 
> Taková poměrně málo brutální metoda je instruovat síťové prvky, ke kterým 
> je "zabíjený" stroj připojený, aby odpojily jeho porty. Ale musí se to 
> dělat trochu s rozmyslem, aby nevznikaly situace, kdy první stroj odpojí 
> ten druhý od vnitřní sítě, zatímco ten druhý odpojí ten první od spojení 
> do Internetu.
 
To je prakticky presne ten duvod, proc jsem se ptal. Totiz jestli pres
cisco (buh vi ze je nemam rad, mam pouze z marketingovych duvodu)
dropnout porty nebo pres IPMI sejmout server.


> > Je nejaka _rozumna_, elegantni moznost fungovani obou firewallu zaroven?
> > Tady bych bral i s _mirnou_ dopomoci cisco switchu. Neco ve stylu
> > "bonding" driveru pro dve sitovky.

Snazim se mit vse co nejjednodussi a elegantni - kvuli skalovatelnosti,
jednoduche nahraditelnosti pri problemech apod. Vsem ve firme jsem
zakazal delat prasacke "hacky" a po sleze i sam sobe.


Nejaky doporuceny koncept na ha-router/fw? Jestli radeji pouzit
vrrr, ucarpd nebo hearbeat?

Diky,
-- Dalibor Straka
P.S. Zatim stavim na heartbeatu, protoze ho znam a blizsi kosile nez
kabat.