欢迎大家来到IT世界,在知识的湖畔探索吧!
一、概述
防火墙的高可用功能可以避免单点故障带来的风险,pfsense是提供该功能的开源的解决方案之一。
pfsense 高可用通过以下功能实现
1、CARP实现IP地址冗余
2、XMLRPC实现配置同步
3、pfsync实现状态表同步
CARP (Common Address Redundancy Protocol )
CARP由OPEN BSD的开发人员设计,后来加入到FreeBSD当中。VIP (Virtual IP address)为集群内节点间共享的IP地址。其中一个节点是主节点,接收IP地址的流量,其他节点保持备份状态并监视心跳,以确定在前一个主节点故障时是否需要承担主节点角色。由于一次只有一个集群成员使用该IP地址,因此对于CARP vip来说不存在IP地址冲突。
Pfsync处理集群节点之间防火墙状态表的同步。对主节点上状态表的更改通过同步接口发送到辅助节点。缺省情况下,pfsync的状态同步使用多播,但是可以定义一个IP地址来强制单播更新。
XMLRPC实现配置同步,对于只有两个节点的集群,只能在主节点启用该功能。
实现配置同步有三个要求
(1)节点的GUI运行的接口和协议要一致
(2)节点接口的标识要一致
(3)同步用户可以是管理员用户或者具备System – HA node sync 权限的用户。
二 、实验 配置pfsense 高可用
网络拓扑
欢迎大家来到IT世界,在知识的湖畔探索吧!
基础信息
|
设备名称 |
wan 接口 ip |
lan 接口 ip |
sync 接口 ip |
|
active |
1.1.1.2 |
192.168.10.2 |
172.16.1.2 |
|
standy |
1.1.1.3 |
192.168.10.3 |
172.16.1.3 |
配置步骤
1、配置同步用户(主备节点都要创建)
菜单system-user manager ,点击右下 add
输入用户名、密码保存
编辑新建用户,添加 System – HA node sync权限,保存
2、配置主备同步接口 安全规则 (这里 GUI使用 的https,如果使用http根据实际情况设定)
主设备
备设备
同步后,备设备的安全规则会被主设备的安全规则覆盖,只需配置XMLXMLRPC 相关的安全规则即可
3、配置状态同步(主备同时配置)
勾选状态同步,选择同步接口为SYNC,配置pfsync同步对端ip
4、配置XML RPC同步(仅需要主节点配置)
配置对端ip,输入对端配置的用于同步的用户名和密码,勾选所有同步选项,保存
5 、配置CARP IP (仅需在主节点配置,备用节点会同步配置)
主菜单 Firewall–Virtual IPs
类型选择 CARP
接口选择WAN
选择地址类型,配置虚拟IP
配置VIP 密码
配置VHID Group ,该值是虚拟ip最后一个8位组的值,保存
查看carp状态,active节点显示master
standy 节点 显示状态为 backup
6 、配置 源NAT
三、验证 测试配置同步
在active 节点 配置防火墙规则
查看日志,显示配置同步成功
查看standy节点规则,已经同步过来
4、验证故障转移
关闭active,查看standy状态,standy接管了 服务
测试pc1 ping 2.2.2.10
存在的问题:经在虚拟机上测试,如果在active节点单独关闭WAN或者LAN口,standy会在WAN或者LAN接管,但是依然正常的接口不会故障转移。这样会导致网络中断,希望在后续的版本中解决该问题
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://itzsg.com/132805.html
