Исправление nbw, (текущая версия) :
1. А чего бы ему не работать то, если «На мостах включен STP»? STP рвет петлю и траффик ходит по одному из путей. Если этот путь сдохнет, то активируется второй, но долго (минуту где-то).
tcpdump -nibr0, запущенный одновременно на обоих гостях, показывает, что трафик идёт через оба моста.
Сессии висят на клиенте и сервере, бридж между ними о них ничего не знает.
Эт-то понятно, уровень другой. Но сессии реагируют на потерю пакета/серии пакетов.
Так что если траффик не пропадёт на долгое время (пока сходится STP), то сессии никуда не денутся.
Ну вот пропадает, значить.
странная схема.
Возможно.
Ты опиши чего хочешь добиться?
Описал же в топе)
Прозрачного файрволла?
Угу. Отказоустойчивого.
Не проще ли на роутере файрволлить?
Нет. В ЦОД роутер не мой будет, а хостера. Ставить свой аппаратный фаер - создавать единую точку отказа. Ставить два фаера - ... Дорого. 2U + сами железки. Народ не поймёт)
Поставь две виртуалки, подними на них VRRP для отказоустойчивости и вторая подхватит адрес первой при ее падении.
Какой такой адрес, мосты прозрачные же.
Либо, если это ESXi, то может отказоустойчивость делать на его уровне? VMWare Fault Tolerance там или просто HA.
FT - ограничение на один вирт. процессор. Эти два тазика ещё роутить кое-что будут по мелочи (вот тут уже VRRP нужон будет), DHCP + dns fwd. Хотелось бы, чтобы у каждого было по два потока.
HA - грузиться машинка будет минуту-полторы, в это время сети, очевидно, не будет. Это нежелательно.
Исходная версия nbw, :
1. А чего бы ему не работать то, если «На мостах включен STP»? STP рвет петлю и траффик ходит по одному из путей. Если этот путь сдохнет, то активируется второй, но долго (минуту где-то).
tcpdump -nibr0, запущенный одновременно на обоих гостях, показывает, что трафик идёт через оба моста.
Сессии висят на клиенте и сервере, бридж между ними о них ничего не знает.
Эт-то понятно, уровень другой.
Так что если траффик не пропадёт на долгое время (пока сходится STP), то сессии никуда не денутся.
Ну вот пропадает, значить.
странная схема.
Возможно.
Ты опиши чего хочешь добиться?
Описал же в топе)
Прозрачного файрволла?
Угу. Отказоустойчивого.
Не проще ли на роутере файрволлить?
Нет. В ЦОД роутер не мой будет, а хостера. Ставить свой аппаратный фаер - создавать единую точку отказа. Ставить два фаера - ... Дорого. 2U + сами железки. Народ не поймёт)
Поставь две виртуалки, подними на них VRRP для отказоустойчивости и вторая подхватит адрес первой при ее падении.
Какой такой адрес, мосты прозрачные же.
Либо, если это ESXi, то может отказоустойчивость делать на его уровне? VMWare Fault Tolerance там или просто HA.
FT - ограничение на один вирт. процессор. Эти два тазика ещё роутить кое-что будут по мелочи (вот тут уже VRRP нужон будет), DHCP + dns fwd. Хотелось бы, чтобы у каждого было по два потока.
HA - грузиться машинка будет минуту-полторы, в это время сети, очевидно, не будет. Это нежелательно.