Login Logout

Howto CARP sous OpenBSD

CARP (Common Address Redundancy Protocol) est une alternative libre et sécurisée aux protocoles VRRP et HSRP. Il permet à plusieurs équipements, sur un même segment réseau, de partager une même adresse IP. L’objectif principal du protocole est de permettre une bascule réseau sur un équipement secondaire en cas d’incident.

Principe : Une interface réseau d’un des équipements est configurée pour être dans un état MASTER ou BACKUP. L’interface MASTER émet régulièrement des paquets à destination de l’interface BACKUP pour prouver son bon fonctionnement. Le choix MASTER/BACKUP est effectué grâce à des priorités configurables. Si le BACKUP ne reçoit pas un paquet dans les temps (ou si il reçoit un paquet inférieur à sa priorité), il passera en MASTER.

Configuration

manuelle

Sur le MASTER :

# ifconfig carp0 create
# ifconfig carp0 vhid 1 pass PASSWORD carpdev bnx0 advskew 1 192.0.2.30 netmask 255.255.255.224

Sur le BACKUP :

# ifconfig carp0 create
# ifconfig carp0 vhid 1 pass PASSWORD carpdev bnx0 advskew 128 192.0.2.30 netmask 255.255.255.224

persistante

Sur le MASTER :

# cat /etc/hostname.carp0
192.0.2.30/27 carpdev bnx0 pass PASSWORD vhid 1 advskew 1
# sh /etc/netstart carp0

Sur le BACKUP :

# cat /etc/hostname.carp0
192.0.2.30/27 carpdev bnx0 pass PASSWORD vhid 1 advskew 128
# sh /etc/netstart carp0

Création d’une interface CARP dans un VLAN

On peut attacher une interface CARP à une interface VLAN. L’interface carp0 sera alors isolée dans le VLAN auquel elle est attachée.

Pour la création d’un VLAN, voir VLAN

# cat /etc/hostname.bnx0
up

# cat /etc/hostname.vlan42
vlandev bnx0 description "VLAN42"

# cat /etc/hostname.carp0
192.0.2.30/27 carpdev vlan42 pass PASSWORD vhid 1 advskew 128

Le droit de préemption

Sur des équipements réseau de type firewall pour lesquels l’ensemble des interfaces devoient se trouver dans le même état (toutes MASTER ou BACKUP), on activera le paramètre kernel preempt :

# sysctl net.inet.carp.preempt=1
# echo 'net.inet.carp.preempt=1' >> /etc/sysctl.conf

L’activation de ce paramètre permet notamment la bascule de l’ensemble des interfaces d’un groupe CARP dans le cas d’un changement d’état d’une interface. En cas de bascule d’une interface, le compteur carpdemote sera incrémenté de 1 sur le groupe entraînant une bascule de l’ensemble des membres du groupe CARP.

Informations utiles

Bascule CARP

Pour des raisons de maintenance, on peut vouloir forcer une bascule CARP. Nous conseillons de faire sur le MASTER :

# ifconfig -g carp carpdemote 50

Le MASTER va générer un paquet CARP avec la priorité 255 et le BACKUP va ainsi immédiatemment passer MASTER. Ce paquet peut être observé avec tcpdump proto carp

Pour avoir l’état actuel du compteur :

# ifconfig -g carp
carp: carp demote count 50

Pour revenir à l’état initial

# ifconfig -g carp -carpdemote 50

À noter que l’on peut également faire ifconfig carp0 down ou ifconfig carp0 advskew XXX (avec XXX supérieur à l’actuel backup) mais c’est moins optimum (bascule non immédiate, perte de trafic pendant quelques secondes…)

Optimisation CARP au (re)boot d’un BACKUP

Lorsque que l’on a un firewall en BACKUP, il est important de pouvoir le redémarrer sans que cela n’impacte le MASTER. Pour cela, il faut bien comprendre le comportement de CARP au démarrage : pendant un certain temps, il va toujours rester en BACKUP pour voir si il ne reçoit pas d’annonce d’un MASTER. Ce comportement est aussi présent lors de la (re)configuration même si le CARP était MASTER initialement. S’il n’a rien reçu, il passe en MASTER. Ce temps est d’attente correspond à la valeur du paramètre advbase (par défaut à 1 seconde).

Conséquences de cela :

  • Si on reconfigure une interface CARP MASTER, elle va passer en BACKUP pendant advbase secondes ! Il est donc judicieux avant d’intervenir sur une machine qui est CARP MASTER, de vérifier et si besoin ajuster le paramètre advbase à une valeur très faible.

  • Si on redémarre une machine avec des CARP BACKUP, il est probable que son réseau ne soit pas opérationnel immédiatement (synchronisation Spanning Tree qui prend 50 secondes par défaut sur un switch CISCO par exemple). L’interface va donc se déclarer en MASTER après son temps d’attente, et lorsque le réseau sera activera il y aura donc un conflit entre les deux MASTER. Il faut donc bien ajuster advbase pour qu’il soit bien supérieur au temps d’arrivée du réseau. Une manière de faire est d’avoir une configuration en dur avec advbase à 60 secondes par exemple, ce qui permet d’avoir des reboots transparents, puis on reconfigure manuellement advbase à 10 secondes par exemple quand tout est redémarré.

Note : Lors d’un reboot planifié on peut également décider de commenter l’ensemble des lignes présentes dans le(s) fichier(s) /etc/hostname.carpX : une fois la machine de nouveau disponible, il suffira de décommenter la configuration et recréer les interfaces via sh /etc/netstart carp0 carp1

Services et CARP

Sous OpenBSD, plusieurs services sont capables de s’activer en fonction du statut d’une interface CARP : si l’interface est en BACKUP, une partie du service ne s’active pas, mais il s’active automatiquement si l’interface passe en MASTER. On peut notamment citer [OpenBGPD([HowtoOpenBSD/OpenBGPD), relayd, OSPFD ou encore sasyncd

Statistiques

On peut avoir des statistiques en utilisant netstat

$ netstat -sp carp
carp:
        1816636 packets received (IPv4)
        684123 packets received (IPv6)
                0 packets discarded for bad interface
                0 packets discarded for wrong TTL
                0 packets shorter than header
                0 discarded for bad checksums
                0 discarded packets with a bad version
                1293450 discarded because packet too short
                2 discarded for bad authentication
                482883 discarded for unknown vhid
                0 discarded because of a bad address list
        9667 packets sent (IPv4)
        5792 packets sent (IPv6)
                0 send failed due to mbuf memory error
        35 transitions to master

Logs

Les changements d’états des interfaces sont notés dans /var/log/messages. On peut augmenter la valeur du paramètre kernel net.inet.carp.log (par défaut à 2) afin d’avoir des traces plus parlantes.

# sysctl net.inet.carp.log=X (valeur X comprise entre 0 et 7)