IP virtuelles
Lorsque vous utilisez des adresses supplémentaires pour des fonctions telles que le NAT ou pour lier des services à différentes interfaces, vous pouvez ajouter des adresses supplémentaires à des interfaces déjà définies en utilisant des IP virtuelles.
Note
Les IP virtuelles jouent également un rôle essentiel dans les configurations haute disponibilité </_haute_disponibilite_CARP>.
Types et leur utilisation
DynFi Firewall prend en charge différents types d’adresses virtuelles. Chaque type à une utilité spécifique qui est expliquée ci-dessous.
Alias IP
C’est une adresse supplémentaire standard, que vous pouvez utiliser pour lier des services ou utiliser dans des règles de NAT.
L’adresse se comportera comme une adresse d’interface normale, ce qui signifie qu’elle répondra aux requêtes ping ICMP et générera du trafic ARP (couche 2 du modèle OSI).
En outre, vous pouvez ajouter un alias à un groupe CARP existant (en définissant son VHID).
En général, le masque de sous-réseau doit correspondre aux interfaces ou être défini comme une adresse unique (/32 ou /128).
CARP
Spécifie une adresse à utiliser dans un cluster haute disponibilité, agit comme une adresse normale lorsque le nœud est à l’état MASTER.
En interne, une adresse MAC personnalisée est générée pour le protocole. Plus d’informations sur CARP peuvent être trouvées dans notre documentation sur la haute disponibilité </how-to/_guide_pratique_haute_disponibilite_carp> section.
Note
L’adresse MAC virtuelle d’une interface CARP est 00:00:5e:00:01:XX
, où les deux derniers chiffres sont remplacés par son vhid.
Note
CARP utilise le numéro de protocole IP 112 (0x70), pour détecter la priorité, il enverra des annonces en utilisant
224.0.0.18
ou FF02::12
.
Proxy ARP
N’ajoute pas d’adresse réelle à une interface, mais utilise choparp pour répondre aux requêtes ARP sur le réseau. Cela peut parfois s’avérer pratique dans des situations où les clients doivent pouvoir croire qu’une adresse est locale.
Autre
Le type autre ne répondra pas aux messages ICMP ping ni aux requêtes ARP, il s’agit simplement d’une définition d’adresse (ou d’une plage d’adresses) qui peut être utilisée dans les règles de NAT. Ceci est pratique lorsque le pare-feu a un bloc d’IP public routé vers son adresse IP WAN, son alias IP ou un VIP CARP.
Paramètres
L’interface doit valider les combinaisons de paramètres appropriées, vous trouverez ci-dessous une explication détaillée pour chacun d’entre eux.
Mode |
Le type d’adresse, tel que défini dans Types <Firewall_VIP_Types>. |
Interface |
L’interface à laquelle appartient cette adresse. |
Type |
Soit Réseau ou Adresse unique, n’a d’effet que lors de la création de règles NAT, où Proxy ARP et Autre combinés avec Expansion génèreront des adresses distinctes pour tous les éléments du masque de réseau. |
Expansion |
Le cas échéant, étendre le masque de réseau pour séparer les adresses. |
Adresse |
L’adresse et le masque de réseau à attribuer, lors de l’assignation de plusieurs adresses dans le même réseau, les masques doivent généralement correspondre. |
Gateway |
S’applique uniquement aux types IP Alias, ce champ doit généralement être vide, à l’exception de certains dispositifs de tunnel (ppp/pppoe/tun) s’attendent à ce que l’adresse de la passerelle soit définie. |
Mot de passe de l’IP virtuelle |
Le mot de passe utilisé pour crypter les paquets CARP sur le réseau. Le mot de passe doit être le même pour le nœud principal et le nœud de secours. |
VHID Group ID de l’hôte virtuel |
Il s’agit d’un numéro unique utilisé pour identifier le groupe de redondance auprès des autres nœuds du groupe, et distinguer les groupes sur le même réseau. Les valeurs acceptables sont comprises entre 1 et 255. Ce numéro doit être le même pour tous les membres du groupe. |
Fréquence d’Annonce |
Définit la fréquence d’annonce de l’appartenance de cette interface à un groupe
( |
Description |
Description conviviale de cette interface VIP |
Statut
La page d’état affiche tous les groupes VHID CARP configurés et leur état actif. L’écran d’état propose également des boutons permettant de désactiver CARP ou de forcer un nœud à passer en mode maintenance.
Les différents statuts sont détaillés ci-dessous :
INIT
Cela indique généralement qu’il y a un problème avec l’interface, souvent lié à des interfaces non déconnectées ou à d’autres problèmes techniques.
BACKUP
Dans l’état de sauvegarde / escalve, cette interface fait partie d’un cluster et écoute les annonces. Si, pour une raison quelconque, elle ne reçoit pas d’annonces pendant une courte période, elle passera à l’état maître.
MASTER
Marque le nœud actif, tout en écoutant les annonces vues sur le réseau. Si un autre nœud est vu avec une meilleure
annonce, il peut passer en backup (en fonction du paramètre preempt
, qui se trouve dans la
(en fonction du paramètre preempt
, qui se trouve sur la page Système --> Haute Disponibilité
).
DISABLED
S’affiche lorsque Désactiver temporairement le CARP est cliqué sur cette page.