On 29/10/2012 23:11, Simon Morvan wrote:
- en entrée, si tes 2 routeurs annoncent ton prefixe, le transit sur le
routeur qui est carp slave t'enverra des packets dont ton routeur ne saura
pas quoi faire vu que son interface carp est slave donc 'down'.
Ca me parait un peu moyen comme config.
Pourquoi ? L'interface CARP est certes down, donc l'IP "de service" est
portée par l'autre routeur mais ça n'empêche pas le slave d'avoir une IP
"physique" dans le même subnet pour router des paquets vers le LAN.
Il me semble qu'il manque un bout du cahier des charges ici. Quelle
est la fiabilité de la liaison LAN et de la connectivité entre les
deux routeurs ? carp aura-t-il un comportement satisfaisant si les
deux routeurs ne se voient plus ?
Le but est-il d'avoir toujours une passerelle accessible vers
l'extérieur depuis le LAN, d'émettre dynamiquement une annonce du
réseau vers internet, ou les deux ?
Le mieux sans doute, sans ajout de matériel:
- monte une session avec chaque transitaire sur chacun de tes routeurs
- met de l'ospf pour annoncer entre tes routeurs le prefix de ton lan.
Le routeur dont le carp est UP annoncera en OSPF les prefixes, l'autre dont le
carp est down ne le fera pas mais saura qu'il faut passer par le 1er pour
envoyer les packets à destination du lan
Comme "l'utilisateur" côté LAN c'est surtout la couche FW avant
d'atteindre les frontaux, je me demande si ça ne va justement pas se
régler à coup d'OSPF entre les deux routeur et le cluster de FW....
Ca peut très bien se faire, mais dans ce cas l'aspect fonctionnel
qui nous intéresse n'est pas le firewalling mais le routage, et le
problème de la transition entre le routage statique et le routage
dynamique n'est donc que repoussé aux équipements plus loin dans le
backbone : Carp ou pas carp, la question demeure.
Pour ce qui est de la question "subsidiaire" : l'intérêt de dédoubler
les sessions de transit des transitaires sur les deux routeurs tient
à plusieurs critères, et notamment :
- similarité des transitaires, et importance de les conserver tous
les deux en cas de panne ou pendant les maintenances
- possibilité de livrer chaque transit séparément ou non, depuis
2 routeurs upstream ou non, et toutes déclinaisons
- fiabilité des laisons entre les deux routeurs, répartition de
l'infrastructure
Une seule certitude : Carp côté WAN c'est proscrit, tout simplement
pas compatible avec BGP (ou bien il faut deux routeurs qui soient
gérés comme un seul routeur virtuel, je ne crois pas que ce soit le
cas dans la problématique posée).
Mes 2 cents.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
