Augmenter la vitesse de convergence d’un NLB derrière un firewall pfSense

Un gros problème survient lors de la bascule de NLB sur des environnements Windows ou Linux le cache ARP.

Par défaut sur un firewall pfSense il est de 20 minutes.

Donc votre NLB fonctionne à merveille mais vous ne pouvez passer sur le noeud secondaire que 20 minutes plus tard. Quel interêt de faire un NLB alors ? Autant le faire à la main.

Une solution est de changer le cache ARP du firewall pour lui demander de conserver les resolution ARP de façon très courtes.

Une commande simple permet de faire cela

sysctl -w net.link.ether.inet.max_age=5

cette ligne permet de garder en cache 5 secondes les éléments.

On aura plus de requêtes ARP mais la bascule a lieu en 6 secondes  max.

Pour vérifier que le paramètre est bien pris en compte:

sysctl –a

Installation du firewall pfSense 2.0 sur VmWare ESXi 5.0

 

Pour ma démonstration mon hyperviseur est fraichement installé.

Première partie configuration des switches pour mon réseau.

Le premier switch sera le réseau Externe/WAN

Et le deuxième le réseau Interne/LAN

Dans la configuration / Mise en réseau / Ajouter gestion réseau

Switch LAN

image

image

Je ne le branche pas directement sur une carte réseau physique

image

image

Switch Externe / WAN

image

image

image

image

Téléchargement de l’ISO dans le datastore

Je télécharge l’ISO de pfSense dans le datastore

image

Télécharger le fichier

 

 

Création de la machine Virtuelle pfSense

image

image

image

image

image

image

image

On baisse la RAM à 512Mo pour ne pas gâcher…..

image

 

Installation de pfSense

on modifie les paramètres de la machine pour lui fournir l’ISO de démarrage

 

image

On démarre la machine et on se met en console

image

On prend le choix 1 Boot pfSense

image

On utilisera pas les VLANs car nous avons plusieurs cartes simples pour l’instant.

Le choix pourra être corrigé par l’interface webconfigurator plus tard.

image

Je choisi auto-detect

image

L’installation est finie

image

Il ne reste plus que la partie configuration……