Common Address Redundancy Protocol

• CARP erlaubt es mehreren Firewall-Hosts einen HA-Cluster zu bilden, indem sie sich eine virtuelle IP teilen
• Die Hosts eines Clusters handeln über CARP aus welcher Node den einkommenden Datenverkehr behandeln soll => Master-Nodes
• Außerdem tauschen Sie Informationen über den Zustand und Konfiguration aus, um sich zu synchronisieren
• Dadurch kennt die Backup-Firewall den aktuellen Status von z.B. etablierten Verbindungen in der Connection Tracking Tabelle
• Falls die Master-Firewall ausfällt, wird der Vorfall von den Slave-Nodes erkannt und die virtuelle IP-Adresse wird nun vom nächsten Slave übernommen
• Nutzer im lokalen Netzwerk sollten nur eine minimale Unterbrechung der Dienste bemerken, aber Informationen wie Stateful Connections sollten übernommen werden
• Hosts außerhalb des Clusters kommunizieren nur mit der virtuellen IP, ohne die darunterliegende Infrastruktur kennen zu müssen

Funktionsweise

• Interfaces, die zu einem Cluster gehören, senden regelmäßige Updates über den Zustand der Maschine
• Um zu bestimmen wer gerade der aktuelle Master ist, wird bekommt jede Node ein adskew-Parameter
• Die Node mit der aktuell kleinsten adskew wird der Master
• Mit Preemption aktiviert, erlaubt es einem Node die Master-Rolle anzunehmen, falls dessen adskew kleiner ist als die des aktuellen Masters