這篇文章將為大家詳細講解有關(guān)如何理解pfSense與CARP的硬件冗余，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

成都創(chuàng)新互聯(lián)公司堅持“要么做到，要么別承諾”的工作理念，服務領(lǐng)域包括：成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務，滿足客戶于互聯(lián)網(wǎng)時代的武川網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設(shè)合作伙伴！

pfSense High Availability設(shè)置概述

  每個CARP群集節(jié)點都需要一個真正的IP地址。 要擁有2個群集節(jié)點，實際接口需要2個IP地址，然后為每個CARP類型的虛擬IP地址添加一個附加IP。 如下圖所示，主CARP群集節(jié)點WAN的IP地址為127.29.29.1，輔助節(jié)點WAN的IP地址為127.29.29.2。 主集群節(jié)點LAN的IP地址為192.168.1.2，輔助節(jié)點LAN的IP地址為192.168.1.3。

添加CARP共享虛擬IP地址

  在主集群節(jié)點上，在Firewall > Virtual IPs.中添加CARP類型的虛擬IP地址。 虛擬IP地址必須位于實際接口（WAN，LAN，OPT1等）上定義的IP地址的同一子網(wǎng)內(nèi)。 必須為給定接口上的每個共享虛擬IP地址使用唯一的VHID。 最低的偏差表示節(jié)點應該是該VIP的CARP主站。 當將VIP同步到輔助節(jié)點時，XMLRPC進程將自動為每個偏移添加+100。 我們建議在主節(jié)點CARP虛擬IP上設(shè)置偏移量為0或1。

設(shè)置專用同步接口

  強烈建議使用專用的同步接口，特別是使用pfsync處理的狀態(tài)同步。 這不僅僅是出于安全目的，主要利于資源利用。 狀態(tài)同步會在繁忙的網(wǎng)絡環(huán)境中消耗大量的流量。設(shè)置每個群集同步接口，使用同一個子網(wǎng)IP地址。 例如：在主群集節(jié)點上輸入192.168.4.1，在次要群集節(jié)點上輸入IP地址192.168.4.2。 使用/ 24子網(wǎng)（255.255.255.0）。

添加防火墻同步規(guī)則

在配置同步之前，將防火墻規(guī)則添加到節(jié)點之間傳遞流量的同步接口。

在同步接口選項卡上導航到 Firewall > Rules。

添加規(guī)則允許流量從同步網(wǎng)絡傳遞到任何目的地。

啟用狀態(tài)同步（pfsync）

在所有集群節(jié)點上啟用狀態(tài)同步。

在System > High Avail. Sync啟用Synchronize States。

為狀態(tài)同步選擇正確的Synchronize Interface。

如果使用兩個群集節(jié)點，請在pfsync Synchronize Peer IP中輸入同步接口IP地址。

在示例圖中，主集群節(jié)點設(shè)置為192.168.4.2。 次級節(jié)點設(shè)置為192.168.4.1。

單擊保存。

啟用配置同步（XMLRPC同步）

  在繼續(xù)之前，在每個集群節(jié)點上設(shè)置相同的管理員用戶密碼和webConfigurator協(xié)議（例如HTTPS）。

只能在主集群節(jié)點上啟用配置同步設(shè)置。

進入System > High Avail. Sync。

在“Synchronize Config to IP”中輸入輔助節(jié)點的IP地址（上述示例為192.168.4.2）。

在“Remote System Username”中輸入管理員用戶名（其他用戶名將不起作用）。

在“Remote System Password”輸入遠程系統(tǒng)密碼（所有節(jié)點上的密碼應相同）。

選中需要同步的項目。

單擊保存后，所選項目將與輔助節(jié)點同步。

設(shè)置手動出站NAT

在Firewall > NAT> Outbound選項卡上選擇Manual outbound NAT，單擊保存。

在LAN上編輯自動添加的規(guī)則

在WAN上選擇一個共享的CARP虛擬IP地址作為轉(zhuǎn)發(fā)地址。

單擊保存。

單擊應用更改。

注意：不要添加可能與群集的WAN /公網(wǎng)IP地址匹配的出站NAT規(guī)則。 這包括明確列出公網(wǎng)IP地址的規(guī)則以及任何設(shè)置為源的規(guī)則。 這些NAT規(guī)則將導致出現(xiàn)其他問題，并且當它處于備份狀態(tài)時將從次級節(jié)點中斷出站連接。

將DHCP服務器設(shè)置為使用CARP LAN IP地址

在主節(jié)點Services > DHCP Server上單擊LAN選項卡。

將默認網(wǎng)關(guān)設(shè)置為LAN上的CARP VIP，例如192.168.1.3。

將DNS服務器設(shè)置為LAN上的CARP VIP，例如192.168.1.3。

在故障切換對等IP中輸入輔助節(jié)點的IP地址。 這將在同步期間自動調(diào)整。

單擊保存。

驗證XMLRPC同步

訪問輔助集群節(jié)點，并驗證NAT，虛擬IP地址和規(guī)則是否已正確同步。

驗證CARP狀態(tài)

在兩個節(jié)點上，檢查Status > CARP (failover)。 如果任一系統(tǒng)顯示Enable CARP的按鈕，請單擊它。

在該頁面上，驗證VIP是否顯示正確的狀態(tài)。 在主節(jié)點上，每個VIP應顯示MASTER。 在次級節(jié)點上，每個VIP應顯示BACKUP。

注意事項：

必須檢查以下項目，以確保兩個節(jié)點之間XMLRPC配置能正確同步：

1.所有節(jié)點上的用戶名必須為admin。

2.所有節(jié)點上的密碼必須匹配。

3.每個集群節(jié)點上的WebConfigurator協(xié)議必須相同（HTTP與HTTPS）。

4.每個群集節(jié)點上的WebConfigurator端口必須相同（例如443）。

5.必須啟用輔助節(jié)點上的同步接口。

6.所有節(jié)點上的接口必須以相同的順序分配。

7.Synchronize Config to IP選項必須指向輔助接口的同步接口IP地址。

8.必須允許流量通過輔助節(jié)點同步接口上的webConfigurator端口。

9.只有在已經(jīng)選中了各種XMLRPC配置同步選項后才能驗證只有主節(jié)點。

關(guān)于如何理解pfSense與CARP的硬件冗余就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。