High Availability Firewall/Router

[Pavel Kankovsky]

On Mon, 6 Sep 2010, Dalibor Straka wrote:

> > Taková poměrně málo brutální metoda je instruovat síťové prvky, ke kterým 
> > je "zabíjený" stroj připojený, aby odpojily jeho porty. Ale musí se to 
> > dělat trochu s rozmyslem, aby nevznikaly situace, kdy první stroj odpojí 
> > ten druhý od vnitřní sítě, zatímco ten druhý odpojí ten první od spojení 
> > do Internetu.
>  
> To je prakticky presne ten duvod, proc jsem se ptal. Totiz jestli pres
> cisco (buh vi ze je nemam rad, mam pouze z marketingovych duvodu)
> dropnout porty nebo pres IPMI sejmout server.

Zrovna ani jedna z těchto metod nezaručuje, že se stroje neodstřelí 
navzájem. I když na druhou stranu je potřeba říct, že časové okno na 
provedení něčeho takového je hodně krátké a že pravděpodobnost, že
se o to stroje pokusí, je velmi malá.

Kdybyste měl na tom Ciscu verzi IOS, která umí TCL, tak by se v tom 
ten fencing dal naprogramovat tak, aby vždy odpojil jen jeden stroj. :)

Já bych osobně asi zvolil odpojení od sítě, protože vypnutí může
zlikvidovat cenné indicie, ze kterých by pak bylo možno dodatečně zjistit,
proč k výpadku došlo.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /