如何使用CARP配置pfSense 2.0群集
在本教程中,我将向您展示如何使用CARP故障切换配置pfSense 2.0群集。 pfSense是一个非常先进的(开源)防火墙,从家庭到企业级网络都在使用,我在过去3个月里一直在玩pfsense,老实说,我不回头看,它充满了功能并且可以在几分钟内轻松部署,具体取决于您的要求。
要求
您将需要两台相同的计算机,最少3个网卡(如果这些防火墙将要在您的网络的EDGE(前端防火墙)上,我强烈建议使用虚拟机,虚拟机将工作,只是最好的做法是保留这些机器与您的虚拟机基础架构(如果有的话)分离),以及同步网络流量的专用子网。
将在此HowTo中使用的示例IP地址:
网络配置:
Firewall 1 Firewall 2
WAN IP: 192.168.100.1 WAN IP: 192.168.100.2
SYNC IP: 10.155.0.1 SYNC IP: 10.155.0.2
LAN IP: 192.168.1.252 LAN IP: 192.168.1.253
以下两个IP地址将在防火墙之间共享。
广域网虚拟IP: 192.168.100.200
局域网虚拟IP: 192.168.1.254
此HowTo假设您已经在配置了IP地址等的计算机和网卡上安装了pfSense,以及pfSense的工作知识(主要是管理Web界面)。
我们正在建立的示例如下:
建立群集
您必须配置的第一件事是在两个框上的防火墙规则,以允许防火墙在SYNC卡上相互通信。
要点击“防火墙|规则”,点击“SYNC”界面,点击“加号”按钮添加新的防火墙规则条目,将“协议”设置为“任何”,添加一个描述,以便您可以识别规则做什么,然后单击“保存”,然后单击“应用更改”(如有必要)。
保留在备份防火墙上,这里我们必须配置CARP同步并将其配置为仅备份,单击“防火墙| Vitrual IP”,然后单击“CARP设置”,勾选“启用同步”复选框,然后选择“将接口同步到SYNC”,然后保存更改。
我们现在已经完成了备份防火墙的配置; 现在我们必须在主防火墙上去配置CARP同步。
登录到主防火墙,点击“防火墙|虚拟IP”,点击“CARP设置”选项卡,勾选“同步启用”框,选择“同步”作为默认的同步界面,并将检查放在以下框中:“同步规则”,“同步NAT”,“同步虚拟IP”。
然后将备份防火墙的SYNC IP地址置于“同步到IP”框中,并为备份防火墙设置“远程系统密码”。
保存更改,必要时应用更改。
现在我们需要配置两个防火墙将要使用的虚拟IP地址。 要执行此操作,请转到“防火墙|虚拟IP”,然后单击“虚拟IP”选项卡。
我们将首先设置WAN IP地址,按“加号”按钮添加新的虚拟IP,确保IP类型设置为“CARP”,将接口设置为“WAN”,设置IP地址,并记住此是在您的系统中使用的WAN地址,无论主或备份防火墙是否正在使用。
接下来创建一个“虚拟IP密码”,将“VHID组”设置为1,并将“广告频率”设置为0,添加说明,然后保存并应用更改。
现在我们必须为LAN接口配置虚拟IP地址。
它基本上是与上述相同的过程,唯一的区别是将“接口”设置为LAN,将“VHID组”更改为3,并将其更改为“说明”。 保存更改并应用。
您可以在“防火墙|虚拟IP”部分中看到,您将有两个列为CARP类型的虚拟IP。
如果您登录到备份防火墙的Web界面并单击“防火墙|虚拟IP”,则应该会看到虚拟IP与备份防火墙同步。
现在这里是如何工作的,两个pfSense防火墙将不断地同步其规则,NAT,虚拟IP以及在同步选项中选择的任何其他设置,以及主防火墙死于备份的任何原因将无缝取代。
请注意,当我测试这个时候,备份防火墙需要10秒的时间来接管,因为FreeBSD操作系统必须在虚拟IP地址连接到主防火墙后才能应用虚拟IP地址。
测试故障切换
要进行测试,只需将网络电缆拔出或关闭主防火墙,同时不断ping到LAN或WAN IP地址,则可能会在其他防火墙接管时看到该地址退出几秒钟。
