我的网络设置涉及通用地址冗余协议 (CARP) 组中的两个防火墙,每个防火墙都连接到 Mikrotik 交换机的 MLAG(多机箱链路聚合)配置。交换机上的前向端口使用 LACP 进行绑定。
VIP (WAN)
|
-------------------------
| |
| |
------------ pfSync ------------
| Firewall 1 | <---------> | Firewall 2 |
------------ ------------
| |
| |
| |
------------ MLAG ------------
| Switch 1 | <---------> | Switch 2 |
------------ ------------
| |
-------------------------
|
LACP (LAN)
问:交换机到防火墙的端口应该如何配置?
MLAG 允许交换机对外部硬件来说就像是单个交换机一样。LAGG 是跨物理交换机创建的(即,LACP 绑定将在每台交换机上拥有 1 个绑定端口,以便整个交换机可以关闭并且连接仍可保留)。与防火墙相连的端口应该如何绑定?显然 LACP 是不正确的,因为防火墙将无法在其一端正确协商这一点,因为防火墙彼此独立地运行。我的选择似乎是:
- 主动备份
- 播送
主动备份
这里的挑战是确保交换机的活动链路与 CARP 主防火墙保持一致。如果没有自动机制将活动交换机端口与 CARP 主设备对齐,此设置可能会导致活动交换机端口连接到备用防火墙时出现错位。
播送
这保证了活动 CARP 防火墙始终接收流量,无论哪一个是主控防火墙,但如果防火墙离开 CARP 组(比如因为 CARP 被禁用以进行维护),它将开始处理重复流量。
(M)LAG 用于聚合数据链路层 (L2) 上的链路,其中不同 L2 节点之间存在多条物理路径。
CARP(或HSRP、VRRP)是一种网络层冗余协议,采用主动-被动模型。它创建一个虚拟 IP 地址 (VIP),从以前的活动、发生故障的 L3 节点移动到以前的被动、备用节点。通常,故障转移是通过带有备用节点 MAC 地址的免费 ARP (GARP) 向网络宣告的。
也就是说,CARP 不再与 L2 交互。具体来说,它不需要也不使用任何 LAG 设置。相反,LAG只会干扰CARP并可能阻碍它。
因此,无论将防火墙连接到单个交换机还是两个堆叠交换机,都不要对防火墙使用任何 LAG。仅当您使用到每个防火墙的多个链接时,才应在每个防火墙上使用 LACP。