PFSense HA การทำ Backup firewall concept

pfsense_example

บทความนี้ผมเขียนไว้กันลืมตอนสมัยที่ยังเรียนเรื่อง VRRP อยู่ ซึ่งใน PFSense ก็จะมีความสามารถนี้และเรียกอีกชื่อเป็นของตัวเองว่า CARP

โดย VRRP จะใช้กับ Cisco,HP,Mikrotik หรืออุปกรณ์ทั่วไปแต่ CARP จะใช้เฉพาะ PFSense ด้วยกัน หลักการก็ไม่หนีกันมาก มี Firewall อยู่สองเครื่อง เครื่องแรกจะทำงานตลอดเรียก Master เครื่องที่สองจะเป็นตัวสำรอง (เหมือนผู้ชายที่เป็นตัวสำรองของผู้หญิง) เรียก Slave หรือทั้งคู่จะช่วยกันทำงานก็ได้ (สามารถเซ็ตได้ คล้ายๆกับ Bonding Interface) โดยจะมีการ Check ซึ่งกันและกัน ถ้าตัวหลักเสีย ตัวที่สองก็จะทำงานแทนมีข้อมูลที่แลกเปลี่ยนด้วยกัน Sync ตลอด ทำให้การเชื่อมต่อนั้นสะดุดน้อยที่สุด และให้ Admin มาแก้ไขเพื่อให้ตัวหลักกลับมาทำงานเหมือนเดิม

*VRRP จะมีเรื่อง Group ด้วยและสามารถทำ Load balancing กันได้

การทำ HA หรือ High Avality ต้องเข้าใจถึงเรื่อง Redundant และความเสียหายถ้าเกิด Downtime ก่อน เช่น การทำ CARP เพื่อป้องกันไม่ให้ Firewall หยุดทำงาน แต่ถ้า ISP Down สุดท้ายก็ไม่ได้ช่วยอะไรอยู่ดี จึงควรออกแบบ DC ให้เป็นไปตาม Tier1-4 เพื่อให้เกิดประสิทธฺภาพสูงสุด

เข้าเรื่อง VRRP/CARP การทำงานจะมีการจำลอง Virtual IP Address ขึ้นมาหนึ่งตัวเพื่อใช้ในการติดต่อแทน โดย Virtual IP นี้ จะทำการเชื่อมโยง Packet ไปให้ IP Address จริงๆของ Firewall อีกที กรณี Firewall เสีย ก็จะไม่ต้องเสียเวลานั่งเปลี่ยน IP Address ที่เครื่องลูกข่ายเพื่อใช้ Firewall ตัวสำรอง ข้อดีอยู่ตรงนี้แหละครับ ตามรูปภาพเลย

สุดท้ายระบบที่ต้องการ HA สูงๆ หรือบริการงานที่สำคัญควรจะมีการออกแบบส่วนนี้ไว้ด้วยครับ กันไว้ดีกว่าแก้ สวัสดีครับ

เรื่องนี้ถูกเขียนใน pfsense และติดป้ายกำกับ , คั่นหน้า ลิงก์ถาวร

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องที่ต้องการถูกทำเครื่องหมาย *