High Availability Firewall/Router
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Neděle Září 19 17:28:53 CEST 2010
On Mon, 6 Sep 2010, Dalibor Straka wrote:
> > Taková poměrně málo brutální metoda je instruovat síťové prvky, ke kterým
> > je "zabíjený" stroj připojený, aby odpojily jeho porty. Ale musí se to
> > dělat trochu s rozmyslem, aby nevznikaly situace, kdy první stroj odpojí
> > ten druhý od vnitřní sítě, zatímco ten druhý odpojí ten první od spojení
> > do Internetu.
>
> To je prakticky presne ten duvod, proc jsem se ptal. Totiz jestli pres
> cisco (buh vi ze je nemam rad, mam pouze z marketingovych duvodu)
> dropnout porty nebo pres IPMI sejmout server.
Zrovna ani jedna z těchto metod nezaručuje, že se stroje neodstřelí
navzájem. I když na druhou stranu je potřeba říct, že časové okno na
provedení něčeho takového je hodně krátké a že pravděpodobnost, že
se o to stroje pokusí, je velmi malá.
Kdybyste měl na tom Ciscu verzi IOS, která umí TCL, tak by se v tom
ten fencing dal naprogramovat tak, aby vždy odpojil jen jeden stroj. :)
Já bych osobně asi zvolil odpojení od sítě, protože vypnutí může
zlikvidovat cenné indicie, ze kterých by pak bylo možno dodatečně zjistit,
proč k výpadku došlo.
--
Pavel Kankovsky aka Peak / Jeremiah 9:21 \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /
Další informace o konferenci Linux