Firewall redundante transparente (a saga continua...)

classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

Firewall redundante transparente (a saga continua...)

Ari Constancio-3
Olá a todos,

Continuo a tentar configurar 2 máquinas como grupo redundante de
firewall (CARP/pfsync) transparente e o passo que me falta,
aparentemente, é prevenir a ocorrência de loops na rede pela
introdução das duas bridges a ligar os mesmos nós.
Pelo que consegui apurar, é possível configurar as bridges com STP
(spanning tree protocol), o que deverá resolver o problema.

A dúvida é se devo fazê-lo em todas as interfaces físicas que participam:

(máquina 1)
# brconfig bridge0 stp rl1
# brconfig bridge0 stp rl2

(máquina 2)
# brconfig bridge0 stp rl1
# brconfig bridge0 stp rl2

Opiniões?

Ari Constâncio

P.S.: se isto funcionar, talvez me proponha a fazer um HOWTO sobre o
tema com a vossa ajuda :).
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: Firewall redundante transparente (a saga continua...)

Rui Reis
On Mon, 10 Apr 2006 18:20:38 +0100
"Ari Constâncio" <[hidden email]> wrote:

> Olá a todos,
>
> Continuo a tentar configurar 2 máquinas como grupo redundante de
> firewall (CARP/pfsync) transparente e o passo que me falta,
> aparentemente, é prevenir a ocorrência de loops na rede pela
> introdução das duas bridges a ligar os mesmos nós.
> Pelo que consegui apurar, é possível configurar as bridges com STP
> (spanning tree protocol), o que deverá resolver o problema.
>
> A dúvida é se devo fazê-lo em todas as interfaces físicas que participam:
>
> (máquina 1)
> # brconfig bridge0 stp rl1
> # brconfig bridge0 stp rl2
>
> (máquina 2)
> # brconfig bridge0 stp rl1
> # brconfig bridge0 stp rl2
>
> Opiniões?

* Rui points to Pedro Almeida...

mas acho que é isso mesmo, precisa de activar o STP em ambas as
interfaces, quer para a LAN quer para a WAN.


>
> Ari Constâncio
>
> P.S.: se isto funcionar, talvez me proponha a fazer um HOWTO sobre o
> tema com a vossa ajuda :).

claro, na parte que me toca terei todo o gosto em ajudar :)

Cumprimentos,
Rui Reis
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: Firewall redundante transparente (a saga continua...)

Ari Constancio-3
Olá,

Finalmente, consegui. Tenho ainda algumas questões relacionadas com o
tempo de failover, que ainda é um pouco elevado (pelo menos, 30
segundos), mas talvez seja necessário ajustar parâmetros de STP (há
umas páginas da Cisco que servem de orientação).
Por outro lado, os switches são muito básicos e também não se pode
pedir mais... ;).

De qualquer modo, obrigado pela ajuda.

Ari Constâncio

On 4/10/06, Rui Reis <[hidden email]> wrote:

> On Mon, 10 Apr 2006 18:20:38 +0100
> "Ari Constâncio" <[hidden email]> wrote:
>
> > Olá a todos,
> >
> > Continuo a tentar configurar 2 máquinas como grupo redundante de
> > firewall (CARP/pfsync) transparente e o passo que me falta,
> > aparentemente, é prevenir a ocorrência de loops na rede pela
> > introdução das duas bridges a ligar os mesmos nós.
> > Pelo que consegui apurar, é possível configurar as bridges com STP
> > (spanning tree protocol), o que deverá resolver o problema.
> >
> > A dúvida é se devo fazê-lo em todas as interfaces físicas que participam:
> >
> > (máquina 1)
> > # brconfig bridge0 stp rl1
> > # brconfig bridge0 stp rl2
> >
> > (máquina 2)
> > # brconfig bridge0 stp rl1
> > # brconfig bridge0 stp rl2
> >
> > Opiniões?
>
> * Rui points to Pedro Almeida...
>
> mas acho que é isso mesmo, precisa de activar o STP em ambas as
> interfaces, quer para a LAN quer para a WAN.
>
>
> >
> > Ari Constâncio
> >
> > P.S.: se isto funcionar, talvez me proponha a fazer um HOWTO sobre o
> > tema com a vossa ajuda :).
>
> claro, na parte que me toca terei todo o gosto em ajudar :)
>
> Cumprimentos,
> Rui Reis
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: Firewall redundante transparente (a saga continua...)

Rui Reis
On Wed, 12 Apr 2006 00:53:25 +0100
"Ari Constâncio" <[hidden email]> wrote:

> Olá,
>
> Finalmente, consegui. Tenho ainda algumas questões relacionadas com o
> tempo de failover, que ainda é um pouco elevado (pelo menos, 30
> segundos), mas talvez seja necessário ajustar parâmetros de STP (há
> umas páginas da Cisco que servem de orientação).

30 segundos é demasiado tempo... creio que o normal seria variar entre
os 2 ou 3 segundos...

Cumprimentos,
Rui Reis


> Por outro lado, os switches são muito básicos e também não se pode
> pedir mais... ;).
>
> De qualquer modo, obrigado pela ajuda.
>
> Ari Constâncio
>
> On 4/10/06, Rui Reis <[hidden email]> wrote:
> > On Mon, 10 Apr 2006 18:20:38 +0100
> > "Ari Constâncio" <[hidden email]> wrote:
> >
> > > Olá a todos,
> > >
> > > Continuo a tentar configurar 2 máquinas como grupo redundante de
> > > firewall (CARP/pfsync) transparente e o passo que me falta,
> > > aparentemente, é prevenir a ocorrência de loops na rede pela
> > > introdução das duas bridges a ligar os mesmos nós.
> > > Pelo que consegui apurar, é possível configurar as bridges com STP
> > > (spanning tree protocol), o que deverá resolver o problema.
> > >
> > > A dúvida é se devo fazê-lo em todas as interfaces físicas que participam:
> > >
> > > (máquina 1)
> > > # brconfig bridge0 stp rl1
> > > # brconfig bridge0 stp rl2
> > >
> > > (máquina 2)
> > > # brconfig bridge0 stp rl1
> > > # brconfig bridge0 stp rl2
> > >
> > > Opiniões?
> >
> > * Rui points to Pedro Almeida...
> >
> > mas acho que é isso mesmo, precisa de activar o STP em ambas as
> > interfaces, quer para a LAN quer para a WAN.
> >
> >
> > >
> > > Ari Constâncio
> > >
> > > P.S.: se isto funcionar, talvez me proponha a fazer um HOWTO sobre o
> > > tema com a vossa ajuda :).
> >
> > claro, na parte que me toca terei todo o gosto em ajudar :)
> >
> > Cumprimentos,
> > Rui Reis
> > _______________________________________________
> > OpenBSD mailing list
> > [hidden email]
> > http://neei.uevora.pt/mailman/listinfo/openbsd
> >
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: Firewall redundante transparente (a saga continua...)

Ari Constancio-3
Olá,

"normal" para interfaces carp com IP ou sem IP?
Não te esqueças que estou a trabalhar com bridges e há um tempo de
adaptação quando os caminhos possíveis são alterados.

Ari


On 4/12/06, Rui Reis <[hidden email]> wrote:

> On Wed, 12 Apr 2006 00:53:25 +0100
> "Ari Constâncio" <[hidden email]> wrote:
>
> > Olá,
> >
> > Finalmente, consegui. Tenho ainda algumas questões relacionadas com o
> > tempo de failover, que ainda é um pouco elevado (pelo menos, 30
> > segundos), mas talvez seja necessário ajustar parâmetros de STP (há
> > umas páginas da Cisco que servem de orientação).
>
> 30 segundos é demasiado tempo... creio que o normal seria variar entre
> os 2 ou 3 segundos...
>
> Cumprimentos,
> Rui Reis
>
>
> > Por outro lado, os switches são muito básicos e também não se pode
> > pedir mais... ;).
> >
> > De qualquer modo, obrigado pela ajuda.
> >
> > Ari Constâncio
> >
> > On 4/10/06, Rui Reis <[hidden email]> wrote:
> > > On Mon, 10 Apr 2006 18:20:38 +0100
> > > "Ari Constâncio" <[hidden email]> wrote:
> > >
> > > > Olá a todos,
> > > >
> > > > Continuo a tentar configurar 2 máquinas como grupo redundante de
> > > > firewall (CARP/pfsync) transparente e o passo que me falta,
> > > > aparentemente, é prevenir a ocorrência de loops na rede pela
> > > > introdução das duas bridges a ligar os mesmos nós.
> > > > Pelo que consegui apurar, é possível configurar as bridges com STP
> > > > (spanning tree protocol), o que deverá resolver o problema.
> > > >
> > > > A dúvida é se devo fazê-lo em todas as interfaces físicas que participam:
> > > >
> > > > (máquina 1)
> > > > # brconfig bridge0 stp rl1
> > > > # brconfig bridge0 stp rl2
> > > >
> > > > (máquina 2)
> > > > # brconfig bridge0 stp rl1
> > > > # brconfig bridge0 stp rl2
> > > >
> > > > Opiniões?
> > >
> > > * Rui points to Pedro Almeida...
> > >
> > > mas acho que é isso mesmo, precisa de activar o STP em ambas as
> > > interfaces, quer para a LAN quer para a WAN.
> > >
> > >
> > > >
> > > > Ari Constâncio
> > > >
> > > > P.S.: se isto funcionar, talvez me proponha a fazer um HOWTO sobre o
> > > > tema com a vossa ajuda :).
> > >
> > > claro, na parte que me toca terei todo o gosto em ajudar :)
> > >
> > > Cumprimentos,
> > > Rui Reis
> > > _______________________________________________
> > > OpenBSD mailing list
> > > [hidden email]
> > > http://neei.uevora.pt/mailman/listinfo/openbsd
> > >
> > _______________________________________________
> > OpenBSD mailing list
> > [hidden email]
> > http://neei.uevora.pt/mailman/listinfo/openbsd
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: Firewall redundante transparente (a saga continua...)

Rui Reis
On Wed, 12 Apr 2006 11:18:15 +0100
"Ari Constâncio" <[hidden email]> wrote:

> Olá,
>
> "normal" para interfaces carp com IP ou sem IP?

com IP, no entanto, mesmo para transparente parece-me muito tempo... mas
como nunca implementei nenhuma estou só a atirar para o ar e posso estar
errado.

Cumprimentos,
Rui Reis


> Não te esqueças que estou a trabalhar com bridges e há um tempo de
> adaptação quando os caminhos possíveis são alterados.
>
> Ari
>
>
> On 4/12/06, Rui Reis <[hidden email]> wrote:
> > On Wed, 12 Apr 2006 00:53:25 +0100
> > "Ari Constâncio" <[hidden email]> wrote:
> >
> > > Olá,
> > >
> > > Finalmente, consegui. Tenho ainda algumas questões relacionadas com o
> > > tempo de failover, que ainda é um pouco elevado (pelo menos, 30
> > > segundos), mas talvez seja necessário ajustar parâmetros de STP (há
> > > umas páginas da Cisco que servem de orientação).
> >
> > 30 segundos é demasiado tempo... creio que o normal seria variar entre
> > os 2 ou 3 segundos...
> >
> > Cumprimentos,
> > Rui Reis
> >
> >
> > > Por outro lado, os switches são muito básicos e também não se pode
> > > pedir mais... ;).
> > >
> > > De qualquer modo, obrigado pela ajuda.
> > >
> > > Ari Constâncio
> > >
> > > On 4/10/06, Rui Reis <[hidden email]> wrote:
> > > > On Mon, 10 Apr 2006 18:20:38 +0100
> > > > "Ari Constâncio" <[hidden email]> wrote:
> > > >
> > > > > Olá a todos,
> > > > >
> > > > > Continuo a tentar configurar 2 máquinas como grupo redundante de
> > > > > firewall (CARP/pfsync) transparente e o passo que me falta,
> > > > > aparentemente, é prevenir a ocorrência de loops na rede pela
> > > > > introdução das duas bridges a ligar os mesmos nós.
> > > > > Pelo que consegui apurar, é possível configurar as bridges com STP
> > > > > (spanning tree protocol), o que deverá resolver o problema.
> > > > >
> > > > > A dúvida é se devo fazê-lo em todas as interfaces físicas que participam:
> > > > >
> > > > > (máquina 1)
> > > > > # brconfig bridge0 stp rl1
> > > > > # brconfig bridge0 stp rl2
> > > > >
> > > > > (máquina 2)
> > > > > # brconfig bridge0 stp rl1
> > > > > # brconfig bridge0 stp rl2
> > > > >
> > > > > Opiniões?
> > > >
> > > > * Rui points to Pedro Almeida...
> > > >
> > > > mas acho que é isso mesmo, precisa de activar o STP em ambas as
> > > > interfaces, quer para a LAN quer para a WAN.
> > > >
> > > >
> > > > >
> > > > > Ari Constâncio
> > > > >
> > > > > P.S.: se isto funcionar, talvez me proponha a fazer um HOWTO sobre o
> > > > > tema com a vossa ajuda :).
> > > >
> > > > claro, na parte que me toca terei todo o gosto em ajudar :)
> > > >
> > > > Cumprimentos,
> > > > Rui Reis
> > > > _______________________________________________
> > > > OpenBSD mailing list
> > > > [hidden email]
> > > > http://neei.uevora.pt/mailman/listinfo/openbsd
> > > >
> > > _______________________________________________
> > > OpenBSD mailing list
> > > [hidden email]
> > > http://neei.uevora.pt/mailman/listinfo/openbsd
> > _______________________________________________
> > OpenBSD mailing list
> > [hidden email]
> > http://neei.uevora.pt/mailman/listinfo/openbsd
> >
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: Firewall redundante transparente (a saga continua...)

Pedro Almeida
In reply to this post by Ari Constancio-3

Viva!

Embora nao tenha ainda experimentado esta solucao em modo
transparente, penso que se usares "preemption" o tempo de
"failover" podera melhorar.

para isso basta redefinir dois parametros:

Em ambas as maquinas: sysctl -w net.inet.carp.preempt=1

Na maquina que queremos como backup, devmos baixar o tempo
entre "avisos":  ifconfig carp0 advskew 100

Se pudesses fazer o post da configuracao, seria mais facil para
todos nos dar as nossas opinioes. ;)

Seguindo a dica que o Manuel Pata deu ha uns posts atras, ja
experimentaste usar 3.9 ou mesmo CURRENT?

No fim de semana passado, numa pequena mostra que foi feita
pelo grupo, os tempos de resposta eram da ordem dos 2 a 3
segundos, como disse o Rui Reis.

Mais ainda, os switches que usamos eram do mais basico possivel,
daqueles de 500 paus o kilo... ;)

Cumprimentos,

Pedro Almeida


Ari Constâncio wrote:

>Olá,
>
>Finalmente, consegui. Tenho ainda algumas questões relacionadas com o
>tempo de failover, que ainda é um pouco elevado (pelo menos, 30
>segundos), mas talvez seja necessário ajustar parâmetros de STP (há
>umas páginas da Cisco que servem de orientação).
>Por outro lado, os switches são muito básicos e também não se pode
>pedir mais... ;).
>
>De qualquer modo, obrigado pela ajuda.
>
>Ari Constâncio
>  
>

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: Firewall redundante transparente (a saga continua...)

Ari Constancio-3
(aviso: mensagem looonga)

Olá,

Aparentemente, estamos a falar de coisas diferentes.
A questão importante aqui tem a ver com a redefinição da topologia de
rede quando uma das bridges vai abaixo. As bridges e as suas portas
vão ter de decidir qual o caminho que irá prevalecer nas novas
condições e, dependendo da escolha dos parâmetros STP (hellotime,
maxage, fwdelay, etc.), o tempo necessário para a convergência para a
nova topologia pode ser muito variável.

A complicar a questão, está o facto de o grupo redundante localizar-se
num departamento do ISEP (que o Rui conhece) e eu não estou isolado.
Não posso, por isso, fazer experiências que provoquem instabilidade na
rede.

É natural que, quando nos restringimos a uma pequena demonstração com
CARP's com IPs, os números sejam bastante melhores.

De qualquer modo, aqui vão alguns dados (as máquinas são 3.8-release):

------------------------------------------------------
(máquina 1)

4 placas de rede
rl0 - IP por DHCP, ssh
rl1 - bridge
rl2 - bridge
rl3 - pfsync

$ sudo cat /etc/sysctl.conf|grep carp
net.inet.carp.allow=1
net.inet.carp.preempt=1
net.inet.carp.log=1
net.inet.carp.arpbalance=0

$ cat /etc/hostname.rl0
dhcp NONE NONE NONE

$ cat /etc/hostname.rl1
up

$ cat /etc/hostname.rl2
up

$ cat /etc/hostname.rl3
inet 10.10.1.2 255.255.255.0 NONE

$ cat /etc/hostname.carp0
up vhid 1 pass <pass> carpdev rl1 advbase 3 advskew 100

$ cat /etc/hostname.carp1
up vhid 2 pass <pass> carpdev rl2 advbase 3 advskew 100

$ cat /etc/hostname.pfsync0
up syncif rl3

$ cat /etc/bridgename.bridge0
add rl1 add rl2
stp rl1
stp rl2
maxage 6
hellotime 2
priority 200
ifcost rl1 19
ifcost rl2 19
up

$ ifconfig|tail -n 12
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33224
pfsync0: flags=41<UP,RUNNING> mtu 1348
        pfsync: syncdev: rl3 syncpeer: 224.0.0.240 maxupd: 128
enc0: flags=0<> mtu 1536
bridge0: flags=41<UP,RUNNING> mtu 1500
        groups: bridge
carp0: flags=8803<UP,BROADCAST,SIMPLEX,MULTICAST> mtu 1500
        carp: INIT carpdev rl1 vhid 1 advbase 3 advskew 100
        groups: carp
carp1: flags=8803<UP,BROADCAST,SIMPLEX,MULTICAST> mtu 1500
        carp: INIT carpdev rl2 vhid 2 advbase 3 advskew 100
        groups: carp

$ brconfig bridge0|head -n 8
bridge0: flags=41<UP,RUNNING>
        Configuration:
                priority 200 hellotime 2 fwddelay 15 maxage 6
        Interfaces:
                rl2 flags=b<LEARNING,DISCOVER,STP>
                        port 3 ifpriority 128 ifcost 19 blocking
                rl1 flags=b<LEARNING,DISCOVER,STP>
                        port 2 ifpriority 128 ifcost 19 forwarding
------------------------------------------------------
(máquina 2)

4 placas de rede
rl0 - IP por DHCP, ssh
rl1 - bridge
rl2 - bridge
ne1 - pfsync

$ cat /etc/sysctl.conf|grep carp
net.inet.carp.allow=1
net.inet.carp.preempt=1
net.inet.carp.log=1
net.inet.carp.arpbalance=0

$ cat /etc/hostname.rl0
dhcp NONE NONE NONE

$ cat /etc/hostname.rl1
up

$ cat /etc/hostname.rl2
up

$ cat /etc/hostname.ne1
inet 10.10.1.1 255.255.255.0 NONE

$ cat /etc/hostname.carp0
up vhid 1 pass <pass> carpdev rl1 advbase 3

$ cat /etc/hostname.carp1
up vhid 2 pass <pass> carpdev rl2 advbase 3

$ cat /etc/hostname.pfsync0
up syncif ne1

$ cat /etc/bridgename.bridge0
add rl1 add rl2
stp rl1
stp rl2
maxage 6
hellotime 2
priority 100
ifcost rl1 19
ifcost rl2 19
up

$ ifconfig|tail -n 12
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33224
pfsync0: flags=41<UP,RUNNING> mtu 1348
        pfsync: syncdev: ne1 syncpeer: 224.0.0.240 maxupd: 128
enc0: flags=0<> mtu 1536
bridge0: flags=41<UP,RUNNING> mtu 1500
        groups: bridge
carp0: flags=8803<UP,BROADCAST,SIMPLEX,MULTICAST> mtu 1500
        carp: INIT carpdev rl1 vhid 1 advbase 3 advskew 0
        groups: carp
carp1: flags=8803<UP,BROADCAST,SIMPLEX,MULTICAST> mtu 1500
        carp: INIT carpdev rl2 vhid 2 advbase 3 advskew 100
        groups: carp

$ brconfig bridge0|head -n 8
bridge0: flags=41<UP,RUNNING>
        Configuration:
                priority 100 hellotime 2 fwddelay 15 maxage 6
        Interfaces:
                rl2 flags=b<LEARNING,DISCOVER,STP>
                        port 3 ifpriority 128 ifcost 19 forwarding
                rl1 flags=b<LEARNING,DISCOVER,STP>
                        port 2 ifpriority 128 ifcost 19 forwarding
------------------------------------------------------

Ari

On 4/12/06, Pedro Almeida <[hidden email]> wrote:

>
> Viva!
>
> Embora nao tenha ainda experimentado esta solucao em modo
> transparente, penso que se usares "preemption" o tempo de
> "failover" podera melhorar.
>
> para isso basta redefinir dois parametros:
>
> Em ambas as maquinas: sysctl -w net.inet.carp.preempt=1
>
> Na maquina que queremos como backup, devmos baixar o tempo
> entre "avisos":  ifconfig carp0 advskew 100
>
> Se pudesses fazer o post da configuracao, seria mais facil para
> todos nos dar as nossas opinioes. ;)
>
> Seguindo a dica que o Manuel Pata deu ha uns posts atras, ja
> experimentaste usar 3.9 ou mesmo CURRENT?
>
> No fim de semana passado, numa pequena mostra que foi feita
> pelo grupo, os tempos de resposta eram da ordem dos 2 a 3
> segundos, como disse o Rui Reis.
>
> Mais ainda, os switches que usamos eram do mais basico possivel,
> daqueles de 500 paus o kilo... ;)
>
> Cumprimentos,
>
> Pedro Almeida
>
>
> Ari Constâncio wrote:
>
> >Olá,
> >
> >Finalmente, consegui. Tenho ainda algumas questões relacionadas com o
> >tempo de failover, que ainda é um pouco elevado (pelo menos, 30
> >segundos), mas talvez seja necessário ajustar parâmetros de STP (há
> >umas páginas da Cisco que servem de orientação).
> >Por outro lado, os switches são muito básicos e também não se pode
> >pedir mais... ;).
> >
> >De qualquer modo, obrigado pela ajuda.
> >
> >Ari Constâncio
> >
> >
>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: Firewall redundante transparente (a saga continua...)

Ari Constancio-3
Olá a todos,

Penso que estão a seguir uma discussão na misc@ sobre firewalls transparentes.
Há duas coisas que é importante salientar:
- a redundância é feita com STP e não com CARP, dada a ausência de IP's;
- o tempo de failover é referido como 30-50 segundos, o que vem de
encontro à minha experiência.

Parece então desnecessário configurar as interfaces carp.

Cumprimentos,
Ari Constâncio
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: Firewall redundante transparente (a saga continua...)

Rui Reis
Viva,
por acaso não estou a seguir a discussão, normalmente não leio a misc@
mas já encontrei a thread...

Tenho de passar por aí para ver isso em funcionamento ;)

Cumprimentos,
Rui Reis


On Fri, 5 May 2006 13:40:03 +0100
"Ari Constâncio" <[hidden email]> wrote:

> Olá a todos,
>
> Penso que estão a seguir uma discussão na misc@ sobre firewalls transparentes.
> Há duas coisas que é importante salientar:
> - a redundância é feita com STP e não com CARP, dada a ausência de IP's;
> - o tempo de failover é referido como 30-50 segundos, o que vem de
> encontro à minha experiência.
>
> Parece então desnecessário configurar as interfaces carp.
>
> Cumprimentos,
> Ari Constâncio
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd