我有一个带 CARP 的双 pfSense 配置。两个 WAN 接口都分配了连续的 WAN IP .150、.151。我认为 pfSense 要求它们都拥有这些专用 IP 很愚蠢,所以我想知道是否可以使用 1:1 NAT 并在系统中将它们的 IP 添加为虚拟 (CARP) IP。所以:
pf0 - WAN IP .150
pf1 - WAN IP .151
CARP IP0 - .150
CARP IP1 - .151
1:1 NAT Entry .150 <-> 10.1.1.150
1:1 NAT Entry .151 <-> 10.1.1.151
如果这不可能,我至少可以将某些请求转发到某些端口(HTTP / S)@ .150,.151 到适当的服务器吗?
Port forward .150:80,443 <-> 10.1.1.150:80,443
Port forward .151:80,443 <-> 10.1.1.151:80,443
答案1
一般来说,不。
用于 Carp 监控/通信的 IP“脚”仅存在于一台机器上(分配给它的盒子)。根据定义,它不是冗余 IP,并且实际上不应该用于服务其他流量。
以以下场景为例:
- 您配置 .150(主 FW)和 .151(备份 FW)上的端口 80 来转发到某处。
- 主 FW 发生故障。
- 现在,所有流向 .150 的流量都会到达无效 IP(您在 .150 上的服务已关闭)。
- 主 FW 恢复,辅助 FW 发生故障。
- 现在,前往 .150 的流量可以再次正常运行,但所有前往 .151 的流量都会到达无效 IP。