Beim Einsatz einer HA-redundanten Lösung verwenden wir Keepalived mit VRRP-Verkehr und einer virtuellen IP. Bisher habe ich den VRRP-Verkehr mit dem folgenden Befehl aktiviert (funktioniert):
sudo firewall-cmd --zone=dmz --add-rich-rule='rule protocol value="vrrp" accept' –permanent
Der Client fragt jedoch, welcher Port verwendet wird, um den Datenverkehr zu ermöglichen. Soweit ich weiß, verwendet VRRP ICMP-Nachrichten, um Keepalived am Leben zu halten.
Ist es eine zufriedenstellende Bedingung, wenn ich ICMP-Verkehr zulasse, damit VRRP/Keepalived weiter funktioniert?
Antwort1
Nein, VRRP ist nicht Teil von ICMP und umgekehrt – es ist ein eigenständiges Protokoll mit eigenem Paketformat.
Obwohl VRRP auf IP läuft, verwendet es kein Transportprotokoll und hat keine „Ports“. Vielmehr läuft esnebenTCP/UDP/ICMP und hat die IP-Protokollnummer 112.