Erinevus lehekülje "L2 redundantsus" redaktsioonide vahel
Allikas: Kuutõrvaja
(→Eesmärk) |
(→Eesmärk) |
||
| 18. rida: | 18. rida: | ||
| TM1 | | TM2 | | | TM1 | | TM2 | | ||
|_______| |_______| | |_______| |_______| | ||
| − | em2 | | em1 | + | em2 | | em1 em2 | | em1 |
| \ / | | | \ / | | ||
| \ | | | \ | | ||
| 44. rida: | 44. rida: | ||
* server1, server2 - kaks serverit, tööks võib olla piisav, et ainult üks võrguseade on korras; serverid asuvad erinevates VLANides | * server1, server2 - kaks serverit, tööks võib olla piisav, et ainult üks võrguseade on korras; serverid asuvad erinevates VLANides | ||
* tulemüüride em1 ja em2 seadmed on ühendatud erinevate lülititega ja neist on moodustatud failover trunk'id | * tulemüüride em1 ja em2 seadmed on ühendatud erinevate lülititega ja neist on moodustatud failover trunk'id | ||
| + | * link tulemüüride vahel on vajalik nt juhtumiks, kui TM1 on aktiivne ning tema em2 seade on aktiivne, mõlemad lülitid töötavad ja serveri aktiivne seade on em1; sel juhul käib serveri ja tulemüüri vaheline liiklus läbi kahe lüliti | ||
===OpenBSD tulemüüri seadistamine=== | ===OpenBSD tulemüüri seadistamine=== | ||
Redaktsioon: 1. august 2010, kell 18:24
Sisukord
Sissejuhatus
TODO
Eesmärk
Olgu eesmärgiks suurendada tulemüüride ja serverite vahelise L2 kihi ehk lüliti (ingl. k. switch) redundantsust. Üks võimalus seda saavutada oleks nt sellise asjakorraldusega
...
teenusepakkuja switch
.....
| |
em0 | | em0
___|___ ___|___
| | | |
| TM1 | | TM2 |
|_______| |_______|
em2 | | em1 em2 | | em1
| \ / |
| \ |
| / \ |
_|___|____ ___|___|__
| | | |
| lüliti1 |------| lüliti2 |
|__________| link |__________|
| |
| ________ |
em0 | | | | em1 (VLAN101)
|---| server1 |---|
| |_________| |
| |
| _________ |
em0 | | | | em1 (VLAN102)
|---| server2 |---|
| |_________| |
| |
...
kus
- TM1, TM2 - tulemüür üks ja tulemüür kaks, samaaegselt läbib liiklus ainult ühte või teist tulemüüri
- lüliti1, lüliti2 - kaks lülitit, millest peab samaaegselt olema töökorras vähemalt üks
- server1, server2 - kaks serverit, tööks võib olla piisav, et ainult üks võrguseade on korras; serverid asuvad erinevates VLANides
- tulemüüride em1 ja em2 seadmed on ühendatud erinevate lülititega ja neist on moodustatud failover trunk'id
- link tulemüüride vahel on vajalik nt juhtumiks, kui TM1 on aktiivne ning tema em2 seade on aktiivne, mõlemad lülitid töötavad ja serveri aktiivne seade on em1; sel juhul käib serveri ja tulemüüri vaheline liiklus läbi kahe lüliti
OpenBSD tulemüüri seadistamine
Mõlema OpenBSD tulemüüri seadmetest em1 ja em2 tuleb moodustada failover režiimis töötav trunk0 seade öeldes
# ifconfig trunk0 trunkport em1 trunkport em2 trunkproto failover
Seejärel tuleb trunk seadmetele seadistada vlannid öeldes tulemüür ühes
# ifconfig vlan101 vlandev trunk0 10.1.1.2/24 # ifconfig vlan102 vlandev trunk0 10.1.2.2/24
ja tulemüür kahes
# ifconfig vlan101 vlandev trunk0 10.1.1.3/24 # ifconfig vlan102 vlandev trunk0 10.1.2.3/24
Ning moodustada carp seadmed, nendega seotud ip aadressi kasutavad serverid vaikelüüsina, öeldes tulemüür ühes
# ifconfig carp101 vhid 101 carpdev vlan101 10.1.1.1/24 # ifconfig carp102 vhid 102 carpdev vlan102 10.1.2.1/24
ja tulemüür kahes
# ifconfig carp101 vhid 101 carpdev vlan101 advskew 100 10.1.1.1/24 # ifconfig carp102 vhid 102 carpdev vlan102 advskew 100 10.1.2.1/24
