防火墙高可用性

防火墙高可用性

语境: 我的公司即将进行重大网络改进,我们将通过无线电桥将网络扩展到远程办公室。防火墙将处理:

  • 3 个关键任务网络
  • 3 个非任务关键型网络
  • 3 条关键任务 VOIP 中继
  • 4 个 wan 链接

防火墙解决方案将是 PfSense。

问题: 为了实现高可用性,我无法决定是否更好pfSense 鲤鱼https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP)) 或者虚拟化(使用虚拟机管理程序 HA 多主机、实时迁移等)。哪种解决方案更可靠、更可扩展?(我读到 carp 有一些限制)

考虑到我们有紧迫的预算限制,因此解决方案必须最大限度地降低成本。

提前感谢您的回复

答案1

我绝对认为 CARP 更适合这项任务,因为当虚拟化主机发生故障时,需要先在另一台机器上重新启动 pfSense。(我不知道 VMWare FT 的具体工作原理,但我认为它本身有一些局限性)

我们实际上做的是,我们有 2 个虚拟 pfSense 设备与 CARP 配合使用,每个设备都位于单独的虚拟化主机上。两全其美 :)

我们在使用 pfSense CARP 时没有遇到任何大问题,但我并不是这方面的 pfSense 专家。

此外,如果该基础设施对于任务至关重要,我想您会与 pfSense 的创建者签订一份支持合同,您可能也想征求他们的意见。

答案2

在这种情况下,使用 HA 和 CARP 肯定更好。这为您提供了在虚拟机管理程序级别无法获得的冗余,例如在升级时不会出现故障。

相关内容