Le 22/08/2011 01:17, Thomas Mangin a écrit :
Les options de failover cote client sont toutes berk !
Certes, certes mais parfois il n'est pas possible de faire autrement.
ARP (relation MAC/IP) expire normalement entre 4 to 6 hours ..
sur un cisco c'est 4h par défaut ce qui est extrêmement long.
c'est beaucoup plus court sur la majorité des os modernes (entre 15s
et 20 minutes)
MAC (relation ARP/Port) expire normalement apres 5 minutes
Donc au pire tu as quelques minutes d'outage avec la table MAC. Avec la table
ARP si peux avoir un gros delai avant la mise a jour surtout si le routeur
refuse d'agir sur quand il recoit un gratuitous arp reply, ce qui est le defaut
chez Juniper. (ce qui est une tres bonne chose pour la securite ... - imagine
bien les attaques de man-in-the-middle autrement).
Je crois que l'option par defaut de Cisco est d'accepter (un retour de
quelqu'un qui a essaye ?)
Oui, ceci peut être extrêmement gênant si ton équipement qui fait gw
refuse les gratuitous.
http://www.juniper.net/techpubs/en_US/junos11.2/topics/usage-guidelines/interfaces-configuring-gratuitous-arp.html
(et le comportement est une option par interface et non pas par VLAN :( )
Donc a mon avis : utiliser un /32 pour le service annonce grace a un IGP/BGP
entre l'hote et le routeur est la meilleure solution.
pub: j'utilise exabpg a cette fin et supporte un programme externe de
"watchdog" du service afin de retirer l'IP si le service est en panne.
On est d'accord que c'est une solution a priori plus propre. Mais j'ai
plein d'exemples où ce n'est pas possible :
- séparation système/réseaux (pas les même équipes)
- pas d'IGP sur le réseau (on ne rigole pas)
- les vip doivent être dans le même subnet
A propos d'exabgp tu as exemple de conf basique de watchdog applicatif ?
Ou même seulement est ce qu'exabgp est capable de faire du tracking ip ?
J'utilise pour le moment ifstated sous openbsd pour ce genre de truc,
mais c'est moyen propre.
--
Raphael Mazelier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
