CARP: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „= '''C'''ommon '''A'''ddress '''R'''edundancy '''P'''rotocol = * CARP erlaubt es mehreren Firewall-Hosts einen HA-Cluster zu bilden, indem sie sich eine virtu…“) |
|||
| (3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 2: | Zeile 2: | ||
* CARP erlaubt es mehreren Firewall-Hosts einen HA-Cluster zu bilden, indem sie sich eine virtuelle IP teilen | * CARP erlaubt es mehreren Firewall-Hosts einen HA-Cluster zu bilden, indem sie sich eine virtuelle IP teilen | ||
| + | * Die Hosts eines Clusters handeln über CARP aus welcher Node den einkommenden Datenverkehr behandeln soll => Master-Nodes | ||
* Außerdem tauschen Sie Informationen über den Zustand und Konfiguration aus, um sich zu synchronisieren | * Außerdem tauschen Sie Informationen über den Zustand und Konfiguration aus, um sich zu synchronisieren | ||
| − | * Dadurch | + | * Dadurch kennt die Backup-Firewall den aktuellen Status von z.B. etablierten Verbindungen in der Connection Tracking Tabelle |
| + | * Falls die Master-Firewall ausfällt, wird der Vorfall von den Slave-Nodes erkannt und die virtuelle IP-Adresse wird nun vom nächsten Slave übernommen | ||
* Nutzer im lokalen Netzwerk sollten nur eine minimale Unterbrechung der Dienste bemerken, aber Informationen wie Stateful Connections sollten übernommen werden | * Nutzer im lokalen Netzwerk sollten nur eine minimale Unterbrechung der Dienste bemerken, aber Informationen wie Stateful Connections sollten übernommen werden | ||
| + | * Hosts außerhalb des Clusters kommunizieren nur mit der virtuellen IP, ohne die darunterliegende Infrastruktur kennen zu müssen | ||
| + | |||
| + | = Funktionsweise = | ||
| + | * Interfaces, die zu einem Cluster gehören, senden regelmäßige Updates über den Zustand der Maschine | ||
| + | * Um zu bestimmen wer gerade der aktuelle Master ist, wird bekommt jede Node ein adskew-Parameter | ||
| + | * Die Node mit der aktuell kleinsten adskew wird der Master | ||
| + | * Mit '''Preemption''' aktiviert, erlaubt es einem Node die Master-Rolle anzunehmen, falls dessen adskew kleiner ist als die des aktuellen Masters | ||
Aktuelle Version vom 26. Februar 2024, 15:38 Uhr
Common Address Redundancy Protocol
- CARP erlaubt es mehreren Firewall-Hosts einen HA-Cluster zu bilden, indem sie sich eine virtuelle IP teilen
- Die Hosts eines Clusters handeln über CARP aus welcher Node den einkommenden Datenverkehr behandeln soll => Master-Nodes
- Außerdem tauschen Sie Informationen über den Zustand und Konfiguration aus, um sich zu synchronisieren
- Dadurch kennt die Backup-Firewall den aktuellen Status von z.B. etablierten Verbindungen in der Connection Tracking Tabelle
- Falls die Master-Firewall ausfällt, wird der Vorfall von den Slave-Nodes erkannt und die virtuelle IP-Adresse wird nun vom nächsten Slave übernommen
- Nutzer im lokalen Netzwerk sollten nur eine minimale Unterbrechung der Dienste bemerken, aber Informationen wie Stateful Connections sollten übernommen werden
- Hosts außerhalb des Clusters kommunizieren nur mit der virtuellen IP, ohne die darunterliegende Infrastruktur kennen zu müssen
Funktionsweise
- Interfaces, die zu einem Cluster gehören, senden regelmäßige Updates über den Zustand der Maschine
- Um zu bestimmen wer gerade der aktuelle Master ist, wird bekommt jede Node ein adskew-Parameter
- Die Node mit der aktuell kleinsten adskew wird der Master
- Mit Preemption aktiviert, erlaubt es einem Node die Master-Rolle anzunehmen, falls dessen adskew kleiner ist als die des aktuellen Masters