我的网络设置涉及通用地址冗余协议 (CARP) 组中的两个防火墙,每个防火墙都连接到 Mikrotik 交换机的 MLAG(多机箱链路聚合)配置。交换机上的前向端口使用 LACP 进行绑定。
VIP (WAN)
|
-------------------------
| |
| |
------------ pfSync ------------
| Firewall 1 | <---------> | Firewall 2 |
------------ ------------
| |
| |
| |
------------ MLAG ------------
| Switch 1 | <---------> | Switch 2 |
------------ ------------
| |
-------------------------
|
LACP (LAN)
问题: 交换机到防火墙的端口该如何配置?
MLAG 允许交换机在外部硬件上显示为单个交换机。LAGG 是在物理交换机之间创建的(即 LACP 绑定将在每个交换机上具有 1 个绑定端口,以便整个交换机可以关闭并且连接仍然存在)。连接到防火墙的端口应如何绑定?显然 LACP 是不正确的,因为防火墙彼此独立,因此防火墙无法在其端正确协商这一点。我的选择似乎是:
- 主动备份
- 播送
主动备份
这里的挑战是确保交换机的活动链路与 CARP 主防火墙对齐。如果没有自动机制将活动交换机端口与 CARP 主防火墙对齐,则此设置可能会导致活动交换机端口与备用防火墙的连接不对齐。
播送
这保证了活动的 CARP 防火墙始终接收流量,无论哪个防火墙是主防火墙,但如果防火墙离开了 CARP 组(比如因为 CARP 被禁用以进行维护),它将开始处理重复流量。
答案1
(M)LAG 用于聚合数据链路层 (L2) 上的链路,其中不同的 L2 节点之间存在多条物理路径。
CARP(或 HSRP、VRRP)是一种网络层冗余协议,采用主动-被动模型。它创建一个虚拟 IP 地址 (VIP),该地址从之前处于主动状态但发生故障的 L3 节点移动到之前处于被动状态的备用节点。通常,故障转移通过免费 ARP(GARP)和备用节点的 MAC 地址向网络宣布。
也就是说,CARP 与 L2 不再有任何交互。具体来说,它不需要也不使用任何 LAG 设置。相反,LAG 只会干扰 CARP 并可能阻碍它。
因此,不要对防火墙使用任何 LAG,无论将它们连接到单个交换机还是两个堆叠交换机。只有当您使用多种的链接到每个防火墙,那么就应该在每个防火墙上使用 LACP。