6.9 KiB
| categories | title |
|---|---|
| openbsd network | Howto CARP sous OpenBSD |
- Documentation : https://www.openbsd.org/faq/pf/carp.html
CARP (Common Address Redundancy Protocol) est une alternative libre et sécurisée aux protocoles VRRP et HSRP. Il permet à plusieurs équipements, sur un même segment réseau, de partager une même adresse IP. L'objectif principal du protocole est de permettre une bascule réseau sur un équipement secondaire en cas d'incident.
Principe : Une interface réseau d'un des équipements est configurée pour être dans un état MASTER ou BACKUP. L'interface MASTER émet régulièrement des paquets à destination de l'interface BACKUP pour prouver son bon fonctionnement. Le choix MASTER/BACKUP est effectué grâce à des priorités configurables. Si le BACKUP ne reçoit pas un paquet dans les temps (ou si il reçoit un paquet inférieur à sa priorité), il passera en MASTER.
Configuration
manuelle
Sur le MASTER :
# ifconfig carp0 create
# ifconfig carp0 vhid 1 pass PASSWORD carpdev bnx0 advskew 1 192.0.2.30 netmask 255.255.255.224
Sur le BACKUP :
# ifconfig carp0 create
# ifconfig carp0 vhid 1 pass PASSWORD carpdev bnx0 advskew 128 192.0.2.30 netmask 255.255.255.224
persistante
Sur le MASTER :
# cat /etc/hostname.carp0
192.0.2.30/27 carpdev bnx0 pass PASSWORD vhid 1 advskew 1
# sh /etc/netstart carp0
Sur le BACKUP :
# cat /etc/hostname.carp0
192.0.2.30/27 carpdev bnx0 pass PASSWORD vhid 1 advskew 128
# sh /etc/netstart carp0
Création d'une interface CARP dans un VLAN
On peut attacher une interface CARP à une interface VLAN. L'interface carp0 sera alors isolée dans le VLAN auquel elle est attachée.
Pour la création d'un VLAN, voir VLAN
# cat /etc/hostname.bnx0
up
# cat /etc/hostname.vlan42
vlandev bnx0 description "VLAN42"
# cat /etc/hostname.carp0
192.0.2.30/27 carpdev vlan42 pass PASSWORD vhid 1 advskew 128
Le droit de préemption
Sur des équipements réseau de type firewall pour lesquels l'ensemble des interfaces devoient se trouver dans le même état (toutes MASTER ou BACKUP), on activera le paramètre kernel preempt :
# sysctl net.inet.carp.preempt=1
# echo 'net.inet.carp.preempt=1' >> /etc/sysctl.conf
L'activation de ce paramètre permet notamment la bascule de l'ensemble des interfaces d'un groupe CARP dans le cas d'un changement d'état d'une interface. En cas de bascule d'une interface, le compteur carpdemote sera incrémenté de 1 sur le groupe entraînant une bascule de l'ensemble des membres du groupe CARP.
Informations utiles
Bascule CARP
Pour des raisons de maintenance, on peut vouloir forcer une bascule CARP. Nous conseillons de faire sur le MASTER :
# ifconfig -g carp carpdemote 50
Le MASTER va générer un paquet CARP avec la priorité 255 et le BACKUP va ainsi immédiatemment passer MASTER. Ce paquet peut être observé avec tcpdump proto carp
Pour avoir l'état actuel du compteur :
# ifconfig -g carp
carp: carp demote count 50
Pour revenir à l'état initial
# ifconfig -g carp -carpdemote 50
À noter que l'on peut également faire ifconfig carp0 down ou ifconfig carp0 advskew XXX (avec XXX supérieur à l'actuel backup) mais c'est moins optimum (bascule non immédiate, perte de trafic pendant quelques secondes…)
Optimisation CARP au (re)boot d'un BACKUP
Lorsque que l'on a un firewall en BACKUP, il est important de pouvoir le redémarrer sans que cela n'impacte le MASTER. Pour cela, il faut bien comprendre le comportement de CARP au démarrage : pendant un certain temps, il va toujours rester en BACKUP pour voir si il ne reçoit pas d'annonce d'un MASTER. Ce comportement est aussi présent lors de la (re)configuration même si le CARP était MASTER initialement. S'il n'a rien reçu, il passe en MASTER. Ce temps est d'attente correspond à la valeur du paramètre advbase (par défaut à 1 seconde).
Conséquences de cela :
-
Si on reconfigure une interface CARP MASTER, elle va passer en BACKUP pendant advbase secondes ! Il est donc judicieux avant d'intervenir sur une machine qui est CARP MASTER, de vérifier et si besoin ajuster le paramètre advbase à une valeur très faible.
-
Si on redémarre une machine avec des CARP BACKUP, il est probable que son réseau ne soit pas opérationnel immédiatement (synchronisation Spanning Tree qui prend 50 secondes par défaut sur un switch CISCO par exemple). L'interface va donc se déclarer en MASTER après son temps d'attente, et lorsque le réseau sera activera il y aura donc un conflit entre les deux MASTER. Il faut donc bien ajuster advbase pour qu'il soit bien supérieur au temps d'arrivée du réseau. Une manière de faire est d'avoir une configuration en dur avec advbase à 60 secondes par exemple, ce qui permet d'avoir des reboots transparents, puis on reconfigure manuellement advbase à 10 secondes par exemple quand tout est redémarré.
Note : Lors d'un reboot planifié on peut également décider de commenter l'ensemble des lignes présentes dans le(s) fichier(s)
/etc/hostname.carpX: une fois la machine de nouveau disponible, il suffira de décommenter la configuration et recréer les interfaces viash /etc/netstart carp0 carp1
Services et CARP
Sous OpenBSD, plusieurs services sont capables de s'activer en fonction du statut d'une interface CARP : si l'interface est en BACKUP, une partie du service ne s'active pas, mais il s'active automatiquement si l'interface passe en MASTER. On peut notamment citer [OpenBGPD([HowtoOpenBSD/OpenBGPD), relayd, OSPFD ou encore sasyncd
Statistiques
On peut avoir des statistiques en utilisant netstat
$ netstat -sp carp
carp:
1816636 packets received (IPv4)
684123 packets received (IPv6)
0 packets discarded for bad interface
0 packets discarded for wrong TTL
0 packets shorter than header
0 discarded for bad checksums
0 discarded packets with a bad version
1293450 discarded because packet too short
2 discarded for bad authentication
482883 discarded for unknown vhid
0 discarded because of a bad address list
9667 packets sent (IPv4)
5792 packets sent (IPv6)
0 send failed due to mbuf memory error
35 transitions to master
Logs
Les changements d'états des interfaces sont notés dans /var/log/messages. On peut augmenter la valeur du paramètre kernel net.inet.carp.log (par défaut à 2) afin d'avoir des traces plus parlantes.
# sysctl net.inet.carp.log=X (valeur X comprise entre 0 et 7)