<br><br><div class="gmail_quote">2009/11/14 ces can <span dir="ltr"><<a href="mailto:arvegas21@hotmail.com">arvegas21@hotmail.com</a>></span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div>
Saludos Comunidad:<br>
<br>
Tengo una solucion de balanceo de carga y alta disponibilidad basada en LVS.<br>
son dos balanceadores o lvs director como le dicen, estos estan en alta diponibilidad usando heartbeat para verificar si el otro a caido cuando uno caiga el otro lo reemplaza para seguir balanceando la carga a los servidores reales.<br>
cuando hago una arp -a desde cualquier servidor puedo ver que al ip virtual tiene la direccion mac de uno de los balanceadores, ahora ultimo he creado otro servidor virtual en los balanceador lo que implica añadir una vip mas, ahora al hacer una arp -a se ve que una vip tiene la mac de un balanceador y la otra vip tieen la mac del otro balanceador(backup) pero el servicio igual funciona.<br>
<br>
Estos servidores esta en una rea llamado DMZ yo estoy en el area de la LAN estas areas estan diferentes patas del firewall.<br>
<br>
El problema es el suiguiente: Cuando un balanceador cae el otro toma su lugar y esta listo para recibir las peticiones del servidor caido , esto funciona pero solo en la DMZ.En la LAN donde estoy yo solo puedo acceder a una VIP y al otro no.Para verficar que es lo que estaba pasando hice un show mac...... en el firewall y revise el resultado en la que sse ve que la VIP a la cual no puedo acceder desde la LAN tiene la MAC del servidor que se apago.entonces cada vez que desde la LAN quiero acceder a la VIP en cuestion el firewall resuelve la mac del baalnceador que se apago.<br>
Como puedo hacer para que esto no suceda para que el fireewall actualice mas rapidola tabla mac , o las VIP no deben tener direccon mac?<br></div></blockquote><div><br>No me es familiar el armado de soluciones con LVS, así que no debo estar diciendo nada muy correcto... pero aunque sea, que valga para arrancar la discusión: por lo que sé, cuando hay un failover, heartbeat soluciona el problema de asignar la nueva MAC al IP de servicio lanzando un "arp gratuito" a la red (una respuesta espúrea a una consulta ARP que no ha existido, pero que sirve como notificación de la nueva pareja MAC+IP). Esto normalmente es recibido por los switches a los que se conectan los equipos en cluster, y por los demás hosts que se conectan a esos switches, y así todos actualizan sus caches ARP. <br>
<br>Ahora, es posible que en tu situación, el firewall esté en modo demasiado restringido y no acepte esos paquetes desde la DMZ? Has probado relajando la política del firewall sobre la DMZ, aunque sea temporariamente, para ver qué pasa?<br>
Algún otro compañero tiene alguna idea más elaborada?<br><br></div></div><br>-- <br>Eduardo Grosclaude<br>Universidad Nacional del Comahue<br>Neuquen, Argentina<br>