Mehr als 255 VHIDs bei CARP?

Started by Yoshisan, June 13, 2024, 10:58:36 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 13, 2024, 10:58:36 AM
Hallo zusammen,
wir haben folgendes Problem. In unserer Cloud möchten wir einen Sophos UTM Cluster-Verbund mit zwei Knoten mit zwei OPNsense-Firewalls im CARP-Verbund ablösen. Nun habe ich gelesen, dass das Limit 255 VHIDs sind.
Wir haben in unserer Cloud für fast jeden (v)Server ein eigenes VLAN und das sind weit mehr als 255...
Wenn ich für jedes VLAN eine separate ID vergeben muss wird das nicht reichen, oder gibt es da eine andere Lösung?

Mit freundlichen Grüßen
Yoshisan
June 13, 2024, 11:36:54 AM #1
Ich bin mir hier nicht ganz sicher.

Aber man kann z.B. eine CARP VIP anlegen, mit der vhid 1.

Darauf kann man dann mehrere Virtual IPs / IP Alias setzen, die ebenfalls in vhid 1 sind.

Ich glaube, dass der IP Alias auch einem anderen Interface als die CARP VIP zugeordnet sein kann. Wenn sie in der selben vhid Gruppe sind, ziehen sie bei einem Failover alle zusammen mit der CARP VIP um. (Glauben heißt nicht wissen, musst du testen. Ich hab das nur produktiv bei CARP VIP und IP Alias auf /selbem/ Interface laufen.)

Man muss Virtual IPs aber händisch auf beiden Firewalls anlegen, sie werden nicht gesynced.
Hardware:
DEC740
June 14, 2024, 08:51:25 AM #2
"Man muss Virtual IPs aber händisch auf beiden Firewalls anlegen, sie werden nicht gesynced."

Das stimmt nicht, wenn man HA entsprechend konfiguriert hat werden auch die Virt. IPs mit übertragen.

Warum denken immer alle so 2-Dimensional?
1. Man muss nicht immer alles die Sense machen lassen?
Vlans routen kann heute jeder bessere Switch.
Also kann man auch Routen zusammenfassen und der Switch separiert dann wieder.
2. Warum glauben immer alle ein Cluster bestünde aus maximal 2 Geräten?
Die Technik ist für mehr gedacht als ein einfaches Duo.

Jeder der sich mal näher mit Clustering befasst hat weiß, dass 2 Nodes eine blöde Lösung sind.
Woher soll bei 2 Nodes das verbleibende wissen, ob nur der Partner offline oder es selbst isoliert ist?
Jeder vernünftige VM-Cluster besteht mindestens aus 3, besser 4 Hosts.
VMW / PMX / PFS / OPS
June 14, 2024, 10:01:52 AM #3
Bitte routet nicht auf Switchen. Wozu hat man dann eine Firewall, wenn der ganze Traffic an ihr vorbeiläuft.
June 17, 2024, 11:25:50 AM #4
finde da nichts falsches dran, Geräte genau dafür zu nutzen wofür sie gebaut sind.

Das Sense nicht ideal im Thema Routing sind, sehen wir immer wieder, wenn es z.B. um VoIP und ähnliches zeitkritisches geht. Die Hardware sind meist gewöhnliche Server mit gewöhnlichen Netzwerkkarten.
L3+ Switches und ihre Asics dagegen sind genau dafür gebaut.

Das hat auch nichts mit "daran vorbei" zu tun. Lediglich flache Layer 2 Strukturen müsste man dafür in Layer 3 überführen.

VMW / PMX / PFS / OPS
June 25, 2024, 09:28:33 AM #5
@franco kannst du eventuell eine Aussage dazu machen?
Wenn es möglich ist mehrere IP-Netze auf eine VHID zu legen ohne, dass es zu Einschränkungen kommt wäre das optimal.
June 25, 2024, 02:51:18 PM #6
VHID LAN- oder WAN-Seitig?
June 25, 2024, 03:02:59 PM #7
Quote from: trixter on June 17, 2024, 11:25:50 AM
Das Sense nicht ideal im Thema Routing sind, sehen wir immer wieder, wenn es z.B. um VoIP und ähnliches zeitkritisches geht

Ist zumindest mir neu, in unserem RZ wäre mir da nichts davon aufgefallen...  ???
Print
Go Up Pages1
User actions