如何理解pfSense與CARP的硬件冗余

這篇文章將為大家詳細講解有關如何理解pfSense與CARP的硬件冗余，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

pfSense High Availability設置概述

  每個CARP群集節點都需要一個真正的IP地址。 要擁有2個群集節點，實際接口需要2個IP地址，然后為每個CARP類型的虛擬IP地址添加一個附加IP。 如下圖所示，主CARP群集節點WAN的IP地址為127.29.29.1，輔助節點WAN的IP地址為127.29.29.2。 主集群節點LAN的IP地址為192.168.1.2，輔助節點LAN的IP地址為192.168.1.3。

添加CARP共享虛擬IP地址

  在主集群節點上，在Firewall > Virtual IPs.中添加CARP類型的虛擬IP地址。 虛擬IP地址必須位于實際接口（WAN，LAN，OPT1等）上定義的IP地址的同一子網內。 必須為給定接口上的每個共享虛擬IP地址使用唯一的VHID。 最低的偏差表示節點應該是該VIP的CARP主站。 當將VIP同步到輔助節點時，XMLRPC進程將自動為每個偏移添加+100。 我們建議在主節點CARP虛擬IP上設置偏移量為0或1。

設置專用同步接口

  強烈建議使用專用的同步接口，特別是使用pfsync處理的狀態同步。 這不僅僅是出于安全目的，主要利于資源利用。 狀態同步會在繁忙的網絡環境中消耗大量的流量。設置每個群集同步接口，使用同一個子網IP地址。 例如：在主群集節點上輸入192.168.4.1，在次要群集節點上輸入IP地址192.168.4.2。 使用/ 24子網（255.255.255.0）。

添加防火墻同步規則

在配置同步之前，將防火墻規則添加到節點之間傳遞流量的同步接口。

在同步接口選項卡上導航到 Firewall > Rules。

添加規則允許流量從同步網絡傳遞到任何目的地。

啟用狀態同步（pfsync）

在所有集群節點上啟用狀態同步。

在System > High Avail. Sync啟用Synchronize States。

為狀態同步選擇正確的Synchronize Interface。

如果使用兩個群集節點，請在pfsync Synchronize Peer IP中輸入同步接口IP地址。

在示例圖中，主集群節點設置為192.168.4.2。 次級節點設置為192.168.4.1。

單擊保存。

啟用配置同步（XMLRPC同步）

  在繼續之前，在每個集群節點上設置相同的管理員用戶密碼和webConfigurator協議（例如HTTPS）。

只能在主集群節點上啟用配置同步設置。

進入System > High Avail. Sync。

在“Synchronize Config to IP”中輸入輔助節點的IP地址（上述示例為192.168.4.2）。

在“Remote System Username”中輸入管理員用戶名（其他用戶名將不起作用）。

在“Remote System Password”輸入遠程系統密碼（所有節點上的密碼應相同）。

選中需要同步的項目。

單擊保存后，所選項目將與輔助節點同步。

設置手動出站NAT

在Firewall > NAT> Outbound選項卡上選擇Manual outbound NAT，單擊保存。

在LAN上編輯自動添加的規則

在WAN上選擇一個共享的CARP虛擬IP地址作為轉發地址。

單擊保存。

單擊應用更改。

注意：不要添加可能與群集的WAN /公網IP地址匹配的出站NAT規則。 這包括明確列出公網IP地址的規則以及任何設置為源的規則。 這些NAT規則將導致出現其他問題，并且當它處于備份狀態時將從次級節點中斷出站連接。

將DHCP服務器設置為使用CARP LAN IP地址

在主節點Services > DHCP Server上單擊LAN選項卡。

將默認網關設置為LAN上的CARP VIP，例如192.168.1.3。

將DNS服務器設置為LAN上的CARP VIP，例如192.168.1.3。

在故障切換對等IP中輸入輔助節點的IP地址。 這將在同步期間自動調整。

單擊保存。

驗證XMLRPC同步

訪問輔助集群節點，并驗證NAT，虛擬IP地址和規則是否已正確同步。

驗證CARP狀態

在兩個節點上，檢查Status > CARP (failover)。 如果任一系統顯示Enable CARP的按鈕，請單擊它。

在該頁面上，驗證VIP是否顯示正確的狀態。 在主節點上，每個VIP應顯示MASTER。 在次級節點上，每個VIP應顯示BACKUP。

注意事項：

必須檢查以下項目，以確保兩個節點之間XMLRPC配置能正確同步：

1.所有節點上的用戶名必須為admin。

2.所有節點上的密碼必須匹配。

3.每個集群節點上的WebConfigurator協議必須相同（HTTP與HTTPS）。

4.每個群集節點上的WebConfigurator端口必須相同（例如443）。

5.必須啟用輔助節點上的同步接口。

6.所有節點上的接口必須以相同的順序分配。

7.Synchronize Config to IP選項必須指向輔助接口的同步接口IP地址。

8.必須允許流量通過輔助節點同步接口上的webConfigurator端口。

9.只有在已經選中了各種XMLRPC配置同步選項后才能驗證只有主節點。

關于如何理解pfSense與CARP的硬件冗余就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。