目前,我为我们的企业服务器群设置了一个冗余的 pfSense 防火墙系统。主路由器 IP 通过 Carp 共享一个 IP 地址。我们的两个公共 /27 网络被分配为 wan 接口的代理 arp 地址,并路由到共享的 Carp 地址。
IE:
public carp: 10.10.10.10
firewall 1: 10.10.10.11
firewall 2: 10.10.10.12
network 172.31.1.0/27 routed to 10.10.10.10
(proxy arp network assigned to WAN in firewall)
network 172.31.2.0/27 routed to 10.10.10.10
(proxy arp network assigned to WAN in firewall)
我的问题是,对于那些 /27 网络,使用 Carp 是否更好?我读到了很多警告,说代理 arp 可能会破坏流量。
我的冗余在于防火墙,所以我认为 Carp 对其他网络来说不是必需的。有什么建议可以帮到你吗?
答案1
代理 ARP 不会破坏任何东西(假设它配置正确,可能会搞砸任何类型的 IP 配置并破坏任何东西),CARP 和代理 ARP 只是实现相同最终结果的两种不同方式。如果您有冗余防火墙,或者希望将来添加辅助防火墙,请使用 CARP。如果您需要在防火墙本身上运行的任何东西绑定到地址,则必须使用 CARP(或 2.0 中的 IP 别名)。如果您没有辅助防火墙并且从未计划添加辅助防火墙,并且不需要将防火墙上的任何东西绑定到这些 IP,那么无论哪种方式都无所谓。有时,如果您不希望防火墙上的任何东西能够绑定到这些 IP,代理 ARP 是更好的选择,您严格将它们用于 NAT。
各种虚拟 IP 以及在何处使用将在http://pfsense.org/book
答案2
使用代理 arp 几乎总是一个坏主意。它通常更难诊断,并且网络上各种硬件/软件上的 arp 缓存属性可能会使将来的更改更加困难。虽然有些情况下可能需要代理 arp,但这不是其中之一(从您列出的参数来看),您应该真正尝试使用 carp。