[GTER] Implementação de VRRP com RouterOS

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Wed Sep 19 17:24:32 -03 2012


Em 19/09/2012, às 16:45, Eduardo Schoedler escreveu:

> Em 19 de setembro de 2012 15:46, Douglas Fischer
> <fischerdouglas at gmail.com>escreveu:
> 
>> Senhores, existe uma situação onde eu estava "tentando" usar
>> HSRP(VRRP-like) com o
>> BGP para conseguir redundância de Caixa de borda.
>> 
> 
> Não gosto de manter equipamentos parados, replicando toda e qualquer
> alteração de  configuração de uma caixa na outra.
> Prefiro usar uma configuração ativo-ativo balanceando o tráfego com mais de
> um trânsito.
> Até porque não dá para ficar só com 1 trânsito, é fria! :-)

Ai voce ganha um pito do auditor PCI-DSS (se a QSA for boa) ou ISO 27002 se não conseguir garantir que a capacidade de 1 box é suficiente pra dar conta do que duas estão fazendo juntas, na hora da redundância, gerando insegurança pro pilar da disponibilidade ;-)

Ok foi só pra ser ranzinza hehehe ;-)

Quando não da pra ter redundancia no roteamento de upstream eu também faço o mais simples.

IP virtual junto a operadora (CARP, VRRP, Heartbet, no meu caso sempre CARP) e outro virtual junto a LAN (carp0 com as operadoras de borda e carp1 com a LAN). Rota estatica pra que tiver maior capilaridade para amenizar o que for possível no caso da troca de caixa.

Claro que a maioria das operadoras aqui acabam não seguindo uma conformidade de fato com PCI, práticas NIST ou 27002 (auditada ao menos) mas na hora do RRA (risco auto avaliado do negócio) eu senti na prática o perigo do master-master. Tudo era lindo com as 2 box e lindo quando uma caiu, no lab, nos testes, e na teoria. No setup pratico tudo funcionou, a não ser que após a falha de uma das box observamos que 1 única box não dava conta dos pps roteados :-( CPU, memoria, ate interrupts OK mas vazão de pps na placa, neca. O master-master nos deixou "cego" nesse cenário.

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"




More information about the gter mailing list