Minha configuração de rede envolve dois firewalls em um grupo Common Address Redundancy Protocol (CARP), cada um conectado a uma configuração MLAG (Multi-Chassis Link Aggregation) de switches Mikrotik. As portas posteriores nos switches são vinculadas usando LACP.
VIP (WAN)
|
-------------------------
| |
| |
------------ pfSync ------------
| Firewall 1 | <---------> | Firewall 2 |
------------ ------------
| |
| |
| |
------------ MLAG ------------
| Switch 1 | <---------> | Switch 2 |
------------ ------------
| |
-------------------------
|
LACP (LAN)
Descrição: Como devem ser configuradas as portas do switch para os firewalls?
O MLAG permite que os switches apareçam para o hardware externo como se fossem um único switch. LAGG são criados nos switches físicos (ou seja, um vínculo LACP terá 1 porta do vínculo em cada switch para que um switch inteiro possa cair e a conexão sobreviver). Como as portas conectadas aos firewalls devem ser interligadas? Claramente, o LACP não está correto porque os firewalls não negociarão isso corretamente, pois os firewalls agem independentemente uns dos outros. Minhas opções parecem ser:
- backup ativo
- transmissão
Backup ativo
O desafio aqui é garantir que o link ativo do switch esteja alinhado com o firewall mestre CARP. Sem um mecanismo automático para alinhar a porta do switch ativa com o mestre CARP, esta configuração pode levar ao desalinhamento onde a porta do switch ativa está conectada ao firewall em espera.
Transmissão
Isso garante que o firewall CARP ativo sempre receba o tráfego, independentemente de qual seja o mestre, mas se um firewall sair do grupo CARP (por exemplo, porque o CARP está desabilitado para manutenção), ele começará a lidar com o tráfego duplicado.
(M)LAG é usado para agregar links na camada de enlace de dados (L2), onde existem vários caminhos físicos entre diferentes nós L2.
CARP (ou HSRP, VRRP) é um protocolo de redundância de camada de rede, usando um modelo ativo-passivo. Ele cria um endereço IP virtual (VIP) que se move de um nó L3 com falha anteriormente ativo para um nó anteriormente passivo em espera. Normalmente o failover é anunciado à rede por ARP gratuito (GARP) com o endereço MAC do nó de espera.
Dito isto, o CARP não interage mais com o L2 do que isso. Especificamente, não requer nem usa nenhuma configuração de LAG. Pelo contrário, o GAL apenas interferiria no CARP e poderia obstruí-lo.
Portanto, não use nenhum LAG nos firewalls, independentemente de você conectá-los a um único switch ou a dois switches empilhados. Somente quando você usa vários links para cada firewall, você deve usar o LACP em cada um deles.