В настоящее время у меня есть резервная система брандмауэра pfSense, настроенная для нашей корпоративной серверной фермы. Основные IP-адреса маршрутизатора совместно используют IP-адрес через Carp. Две наши общедоступные сети / 27 назначаются в качестве ARP-адресов прокси для WAN-интерфейсов и маршрутизируются на общий Carp-адрес.
IE:
public carp: 10.10.10.10
firewall 1: 10.10.10.11
firewall 2: 10.10.10.12
network 172.31.1.0/27 routed to 10.10.10.10
(proxy arp network assigned to WAN in firewall)
network 172.31.2.0/27 routed to 10.10.10.10
(proxy arp network assigned to WAN in firewall)
Мой вопрос: не лучше ли использовать Carp для этих сетей? Я читаю приличное количество предупреждений о том, что прокси-серверы могут испортить трафик.
Моя избыточность заключается в межсетевом экране, поэтому я не думаю, что Carp необходим для других сетей. Любые советы, которые есть там, были бы полезны?
Прокси-ARP ничего не сломает (при условии, что он настроен правильно, можно испортить любой тип IP-конфигурации и что-то сломать), CARP и прокси-ARP - это всего лишь два разных средства достижения одного и того же конечного результата. Если у вас есть резервные межсетевые экраны или вы хотите добавить дополнительный в будущем, используйте CARP. Если вам нужно, чтобы что-то работало на самом брандмауэре для привязки к адресам, вы должны использовать CARP (или IP-псевдонимы в 2.0). Если у вас нет вторичного сервера, и вы никогда не планируете его добавлять, и вам не нужно привязывать что-либо на брандмауэре к этим IP-адресам, в любом случае это не имеет значения. Иногда прокси-ARP предпочтительнее, если вы никогда не хотите, чтобы что-либо на брандмауэре могло связываться с этими IP-адресами, вы строго используете их для NAT.
Различные виртуальные IP-адреса и способы их использования более подробно описаны в http://pfsense.org/book
Использование proxy arp - почти всегда плохая идея. Как правило, это сложнее диагностировать, а свойства кэширования arp на различном оборудовании / программном обеспечении, имеющемся в вашей сети, могут усложнить изменения в будущем. Хотя есть случаи, когда может потребоваться proxy arp, это не один из них (из параметров, которые вы указали), и вам действительно следует попытаться использовать carp.