[GTER] RES: Problema/Dúvida VRRP
Patrick Tracanelli
eksffa at freebsdbrasil.com.br
Wed Dec 23 12:20:15 -02 2009
Sinceramente, me parece VRRP faltando algum detalhe de configuração ou
VRRP aplicado na WAN mas não na LAN. O VRRP deveria tomar os cuidados
para anunciar apenas a interface/IP master evitando que o fluxo entre
por um nó e saia pelo outro. Eu uso VRRP da Cisco e FreeVRRP e ambos,
não apresentam problema desse tipo. Talvez mais informações sobre seu
cenário como se é apenas redundância do spare-router que você quer ou se
está tentando balancear junto, colar os trechos relevantes da sua conf
VRRP, e ponderar o uso de HSRP, possam ajudar a você e a gente entender.
Mas a questão é que o VRRP não gera essa situação sem ter alguma
configuração pendente.
Livio Zanol Puppim escreveu:
> Não creio que seja o meu caso... São roteadores, e não firewall...
>
> 2009/12/22 Eduardo Schoedler <eschoedler at viavale.com.br>
>
>> Livio Zanol Puppim escreveu:
>>> Estamos planejando implantar uma arquitetura VRRP para redundância,
>>> porém temos um problema.
>>>
>>> O acesso de um cliente ligado a um roteador que não seja o master da
>>> topologia gera um problema de validação de ACLs statefull, pois o fluxo
>>> passa pelo de backup, vai para o host de destino e volta pelo master,
>>> não
>>> validando o fluxo pela não existência de um fluxo SYN de origem. Segue
>>> o desenho para elucidação do problema:
>>> http://img191.imageshack.us/img191/6682/vrrp.png
>> Dependendo da plataforma que você utiliza, existem dispositivos para
>> sincronizar os states do firewall.
>> Para *BSD, existe o pfsync.
>>
>> Sds,
>>
>> --
>> Eduardo Schoedler
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"
More information about the gter
mailing list