Augmenter la vitesse de convergence d’un NLB derrière un firewall pfSense

Un gros problème survient lors de la bascule de NLB sur des environnements Windows ou Linux le cache ARP.

Par défaut sur un firewall pfSense il est de 20 minutes.

Donc votre NLB fonctionne à merveille mais vous ne pouvez passer sur le noeud secondaire que 20 minutes plus tard. Quel interêt de faire un NLB alors ? Autant le faire à la main.

Une solution est de changer le cache ARP du firewall pour lui demander de conserver les resolution ARP de façon très courtes.

Une commande simple permet de faire cela

sysctl -w net.link.ether.inet.max_age=5

cette ligne permet de garder en cache 5 secondes les éléments.

On aura plus de requêtes ARP mais la bascule a lieu en 6 secondes  max.

Pour vérifier que le paramètre est bien pris en compte:

sysctl –a