上一篇大家已經完成設定 High Availability 配置,這篇將帶大家測試故障轉移,當 pfSense01 發生故障,pfSense02 便會馬上接手,這時 pfSense02 變為 Master,當 pfSense01 回復正常,那 pfSense01 變回 Master。
CARP 除了是用來分享 Virtual IP 之外,也對 High Availability 起了相當關鍵的作用,因為就是決定 Master 和 Backup 的狀態。而這個測試主要利用 ping 和 tracert 進行。
大家先檢查一下 pfSense01 及 pfSense02 的 CARP 狀態,在兩台 pfSense 的 Status > CARP 便能夠知道 pfSense01 的 CARP 仍然在 MASTER 狀態,而 pfSense02 便是 BACKUP 狀態。
我們在內部電腦使用 tracert -d www.google.com 查看一下現在連接那一台 pfSense,大家記得電腦的閘道是 Virtual IP 192.168.1.3,因為 pfSense01 是 MASTER,所以正在經由 192.168.1.1 閘道上網。
現在模擬 pfSense01 發生故障,大家可以到 pfSense01 的 Console 按 6 且輸入 yes 關掉它。
小編使用 ping 觀察故障轉移所需時間多久,但發覺沒有斷線現象,只有一個 305ms 的 ping。
接著再一次使用 tracert -d www.google.com,這次發現經由 192.168.1.2 閘道上網。
大家到 pfSense02 的 Status > CARP 發現狀態轉換為 MASTER。
然後將 pfSense01 開機回復正常,並於 ping 顯示之下只有 10 秒斷線時間。
最後回到 pfSense01 的 Status > CARP 發現狀態轉回成 MASTER,這代表 pfSense01 回復正常。
小編覺得 pfSense High Availability 可以配合 RouterOS 在大型企業當中使用(即是在 QGD-1600P 之中安裝 pfSense 及 RouterOS),其主要原因是現時大多數企業都會以專線連接不同據點,例如分公司或數據中心作傳輸資料用途,例如兩邊各有兩台 QGD-1600P 及安裝了 RouterOS,在這情況下,我們可以先在 RouterOS 層面建立 OSPF 將四台 RouterOS 串連起來,達到專線具有備援的效果;再加上 RouterOS VRRP 能夠達到 RouterOS 本身備援效果。而每邊的 pfSense High Availability 連接兩台 RouterOS,讓內部網路經由互聯網上網或經由 OSPF 連接到分公司或數據中心,這樣上網便可擁有 pfSense High Availability 的保護,而連接分公司或數據中心便可擁有 RouterOS OSPF 及 VRRP 的保護!
大家也會想到在傳統上需要購買四台防火牆和四台路由器才可達致上述目標,而現時使用小編的方法,採用 QGD-1600P 的話,只需要購買四台便能夠滿足大型企業所需!這除了可節省更多開支外,還能夠為網路管理員減輕硬件維護負擔。小編仍然覺得 QGD-1600P 只有一個火牛是不足夠的,希望日後有備援火牛版本推出,因為大型企業除了著重網路備援之外,硬件裡面也要有備援火牛才感覺安全。
QGD-1600P 與 pfSense 虛擬結合高可用性方案!(3)
https://www.facebook.com/hkitblog