👩🏽‍🔬 🔥 👦 ToFoIn-インターネットのフェイルオーバーを切り替えるか、FreeBSDの2つの外部チャンネルを切り替える 👩🏾‍🔬 ⛹🏻 🤴🏼

注釈

インターネット接続の安定性を向上させるオプションの1つは、2つの外部通信チャネルを使用することです。これは、それらの間の自動切り替えを意味します。この記事では、この問題を解決するためのいくつかのオプションについて簡単に説明します。 FreeBSD OSでbashスクリプトを使用して解決する方法が提案されており、最終的なシステムとこれに必要なスクリプトのソースコードを作成するための手順が示されています。

はじめに

インターネットへの接続の安定性を向上させるために、企業ソリューションでは2つ以上の外部ネットワークチャネルを使用します。それらの同時（たとえば、バランス方法）または代替（チャネル間の切り替え）の使用は、ささいなことではありませんが、問題によってすでに多くの方法で解決されています。それらのいくつかを次に示します。

外部ネットワークへの2つの出口を持つSOHOクラスルーター（以下、インターネットと呼ばれる外部ネットワーク、および企業のローカルネットワークと呼ばれる内部ネットワーク）;
原則として、レイヤ3スイッチはキャリアクラスであり、特に多数の可変パラメータを持ち、上記の問題を解決できます。
多くの場合、疑わしい品質のさまざまなUNIXおよびLinuxのようなシステム用の、異なる言語の多くの自己記述スクリプト。
NATルールによるチャネルバランシング。
プロキシサーバーを使用したバランシングまたはスイッチング。

上記のアプローチにはそれぞれ長所と短所があります。オプション1、SOHOルーター：

利点：

低価格;
インストールと構成の容易さ。

短所：

冗長性の欠如による企業セグメントの信頼性不足。
構成の柔軟性の欠如、低機能。（通常、このようなデバイスは非常に限られた範囲のタスクを解決できますが、「一歩踏み出す」こともまったくできないこともできません。これはさまざまな困難が原因です。）

2番目のオプション、レイヤー3スイッチ：

利点：

信頼性;
カスタマイズの柔軟性。

短所：

価格（通常、このようなデバイスの価格は50トンを超えています。）;
セットアップの複雑さ（プロレベルのデバイスには適切なアプローチが必要です）。

3番目のオプション、スクリプトの切り替え：

利点：

価格（無料、設定する作業時間はカウントされません）。

短所：

予測不可能な信頼性（これらのスクリプトの作成者の専門家レベルは多くの場合不明であるため、詳細な調査なしでは製品の品質について結論付けることは困難です）。
柔軟性の欠如とカスタマイズの複雑さ（通常、このようなスクリプトは特定の条件に合わせて作成されます。また、他の人を理解するよりも独自のバージョンを書く方が簡単な場合があります。

4番目のオプション、NATルールとのバランス：

利点：

価格（無料で、構成する作業時間をカウントしません）;
セットアップが比較的簡単。

短所：

ほぼ同等のスループットチャネルが必要です。

外部チャネルの1つが「落下」した場合の速度には疑問があります。

最後に、プロキシサーバーを使用する5番目のオプション：

利点：

価格（無料で、構成する作業時間をカウントしません）;
カスタマイズの柔軟性。

短所：

データフローを遅くします。
ユーザーマシンでの追加構成の必要性。
異常な状況での設定の難しさ。

数年前の開発の開始時に、次の理由で独自のスクリプトを作成するオプションが選択されました。まず、価格。この基準によると、レイヤー3は2番目の段落から切り替わるドロップアウトです。 10台のマシンがあるローカルエリアネットワークでは、エンタープライズレベルのソリューションは贅沢です。悲しいかな、著者は決定の時点で最初の段落からデバイスについて知りませんでした。ところで、今では「安定性」項目に適合していません。また、4番目の段落の解決策は適合しません。既存のインターネットチャネルは速度が何十倍も異なり、そのようなスキームの使用は、私の意見では正当化されていません。さらに、チャネルの1つが「落ちた」場合の外部ネットワークとの通信の品質に関して疑問が追加されます。 5番目のポイントは、第一に、流量を遅くすることによって満たされません。第二に、オプションのコンポーネントに依存しないソリューションが必要です。したがって、ポイント3は残りました。他の人のスクリプトを調査し、それらを適応させようとした後、このアイデアを放棄して独自のスクリプトを作成することが決定されました。

時間の経過とともに、FreeBSDのメイン「ルーター」の近くにバックアップがインストールされ、dns、dhcp、nat、ipfwの設定が複数回変更されました。前述のスクリプトを除き、すべてが徐々に開発および改善されましたが、最終的には、モジュール性、単一の設定ファイル、Unixライクなシステムでの設定の柔軟性とシンプルさ、および新しいモジュールの追加の容易さを基本として使用して書き直すことにしました。

目標と目的

このプロジェクトの最終的な目標は何ですか？クライアントサーバーシステムに基づいて、簡単にスケーラブルな汎用ソフトウェアパッケージを作成します（ただし、エージェントサーバーを呼び出す方が適切です）。外部および内部接続の問題を特定し、動作中の接続に自動的に切り替えます。この場合、エージェントは現在の外部および内部接続の状態に関する情報の「コレクター」であり、サーバーはどの接続が優先されるかを決定し、必要に応じてこの接続に切り替えるコマンドを送信するプログラムの一部です。さらに、このコンテキストでは、サーバー上でエージェントが機能しない場合があります。

だから：

それぞれにm個の外部チャネルを持つn個の「ルーター」があります。さらに、n個の「ルーター」はすべて厳密な階層になっています。
エージェントは各マシン上で独立して動作し、そのタスクは、外部チャネルのテスト結果を収集して、現時点で最高の優先度を持つサーバーまたは「ルーター」に「追加」することです（サーバー部分は、その時点でエージェントへの必須追加であると想定されますエージェントはサーバー機能を実行する必要がないため）、その（サーバー）可用性を判断する必要があります。
次に、サーバーは受信したデータを分析し、現在どのチャネルとどの「ルーター」が優先されているかを判断します。この目的のために、この記事ではDHCPサーバーの設定について説明します。 dhcpd設定は、ゲートウェイを変更するために変更されます。
サーバーに障害が発生すると、すべてのエージェントでプログラムがアクティブになり、事前に設定された優先順位に従ってエージェントの中から新しいサーバーを選択して指定し、外部接続の現在の状態に関する情報を収集し、切り替えについて決定する機能を委任します。最初のサーバーが動作状態に復元された後、逆のプロセスが発生します-それへの自動切り替え。

アルゴリズムの詳細は非常に長い間描かれている可能性がありますが、一般的な本質は上記のとおりです。（上記の例から）nとmの両方が2を超える値をとることはめったにありませんが、それらが見つかったので、普遍的なツールを作ってみませんか？

スクリプトを書く過程で、bash言語のいくつかの制限に遭遇したため、現時点では、上記の問題に対するよりエレガントなソリューションは非常にあいまいです。これまでのところ、機能をさらに拡張することに重点を置いて設計されたスタンドアロンの「ルーター」のソリューションがあります。

解決策

多くの理由から、ローカルネットワークの基礎として、またインターネットへのゲートウェイとして、古いマシン（Pentium 3、512 OP）とFreeBSD、現在バージョン9.2を使用することが決定されました。その後、信頼性を向上させるために、既存のマシンと連携して動作する2台目の同様のマシンがインストールされました。ちなみに、過去2年間で正確に2つの故障がありました-初めてPSUが故障し、2番目のネットワークカードが故障しました。同時に、障害が発生した場合にバックアップマシンが機能するようになったため、ローカルネットワーク全体が問題なく機能したことに注意してください。したがって、このスキームで古い鉄を使用しても、ネットワークの安定性にはほとんど影響しません。さまざまなインターネットプロバイダーからの2つの外部チャネルもあります。一般的なスキームを以下に示します。

青と赤の矢印は外部通信チャネルです。

黒い矢印は内部通信チャネルです。

このシステムは次のようになります。

スイッチは、vlan-sを使用してプロバイダーからトラフィックを分離します。特定のケースでは、これはCisco SF300-08です。

より詳細には、何が、そしてマシン自体で何が機能するのかという助けを借りて：

ファイアウォール-IPFW

NAT-IPFWからの「コア」NAT。

DNS-バインド9（FreeBSDの最新バージョンを使用）

DHCP-isc-dhcpd

ToFoInは、この記事の主な犯人です。

一般的に言えば、読者は同様のシステムに精通していると想定されているため、この記事ではDNS、DHCPの構成の複雑さについては説明しません。さらに、このテーマに関する資料は多数あり、記事の最後にいくつかのリンクが記載されます。技術的な部分には、現時点で利用可能なコメントのない完全なファイアウォールおよびNATルールが含まれています（ここでも、このトピックに関する資料が多数あります）。カーネルパラメーターとrc.confもあります。

次に、スクリプトの原理を詳細に検討します。手始めに、モジュールとその機能は何ですか：

Daemonは、その名前が示すとおり、タイマーでテストおよびスイッチングモジュールを実行するメインプロセスです。

テスター -pingコマンドを使用して、外部チャネル上の通信の存在をテストします。

判定 -テスト結果に基づいて、どの外部チャネルが機能するか、および切り替えが必要かどうかを判断します。

ロガー -イベントのロギングを担当します。イベントに関する情報が重複せず、雑誌が読みやすくなるようにする必要があります。

ウォッチドッグ -crontabからスケジュールに従って実行されます。すべてのモジュールの「フリーズ」を判断し、可能な場合は発生した問題の解決を試みます。

スクリプト自体に加えて、さらに重要なファイルを検討する価値があります。

Tofoin.conf-単一の設定ファイル。

Tofoin.logは単一のイベントログファイルです。

Result_ <内部チャネル番号> -作業ファイル、テスト結果はここに追加されます

一定数の作業ファイルも使用されます。もちろん、各スクリプトは起動時にpidファイルを作成し、シャットダウンプロセス中に削除します。

LoggerとWatchdogの作業については詳しく説明しません。興味のある人は、必要に応じて慣れることができます。メインモジュールの動作、すなわち、デーモン、テスター、ジャッジ。デーモンは、設定ファイルに保存されているタイマーでテスターとジャッジを起動します。次のようになります：開始時にテストが開始され、タイムスタンプも記憶されます。次に、感度に基づいて、n秒ごとに次のテストを開始する時間が超過するか、通信の現在のステータスが評価されるかどうかがチェックされます。したがって、デーモンはテストと検証の最後のタイムスタンプを記憶し、現在のタイムスタンプと比較します。構成ファイルに示されている値よりも大きい場合、テストまたはテストがそれぞれ起動され、タイムスタンプが現在のタイムスタンプに置き換えられます。等

これまでのところ、テスターは最も単純なモジュールです。入力として2つの変数を受け入れます。

./tester.sh ab

ここで、aはルーティングテーブル番号、bはタスクです（通常のバージョンでは、b = 10です。これは、完全なテストと結果の記録を意味します）。

Testerモジュールの試用モードもあります。b= 0-最初のターゲットのみにping（構成ファイルから）、b = 1-2番目のターゲットにのみping（構成ファイルから）、b = <destination>、たとえばb = habrhabr。 ru-このモードでは、任意のターゲットのpingが実行されます。この場合、0ルーティングテーブルの場合、コマンドは次のようになります。

 ./tester.sh 0 habrahabr.ru

プログラムの主要なコンポーネントは、明らかに裁判官モジュールです。一般的な用語での彼の仕事のアルゴリズムは次のとおりです。

現在のipfwルールに基づいて、現在の外部チャネルが決定されます。
サイクルは、外部チャネルの関連する状態データの配列をコンパイルします。
次のサイクルで優先外部チャネルが決定されます。
次に、チャネルを切り替える必要があるかどうかを判断する機能が開始され、必要に応じて、切り替え機能が開始され、それに切り替え用の内部チャネル番号が送信される。（メインチャネルへの復帰はすぐには行われません。これにより、メインチャネルの動作が不安定な場合に往復ジャンプが発生せず、メイン外部チャネルが安定して動作し始めたときにのみ切り替えが行われます）。
最後に、必要がある場合、スイッチング機能が起動され、必要なipfw設定を置き換えて再起動し、必要なルーティングテーブルでバインドを再起動します。

もちろん、すべての主要なアクションはイベントログに記録されます。また、緊急事態が発生した場合も、エラーの原因が記録され、Watchdogが呼び出されます。

それで、仕事の基本原則が考慮されます、私はこれがすべて実際に実行される方法を知ることを提案します。

技術部

装備品

機器についてはすでに言及しましたが、このセクションでは、さらに詳しく説明します。私の場合（約30台のマシンの内部ネットワーク）でDNS、DHCP、NAT、IPFWの動作を保証するには、Pentium IIIに基づくCeleron、512 MBのRAM、40 GBのHDD、および対応するマザーボードコネクタをサポートする350W PSUで十分です。追加の2つのPCIネットワークカードも接続されます。電力に関しては、両方のルーターはほぼ同じです。

一部の場所では容量が余分であることに反対するかもしれませんが、これらのマシンは特別に購入されたのではなく、ユーザーマシンのフリートを更新した後に残ったものから収集されました。おそらく、最低限必要なサービスのセットは、はるかに弱いハードウェア上で起動できます。また、安全にプレイして、ミラー化されたRAIDを整理するのもいいでしょう。残念ながら、私は事前にこれについて考えていませんでしたが、今ではいくつかの困難に関連していますが、これはまったく異なる話です。

私の意見では、これは古い作業用アイロンの非常に価値のある使用方法であり、さもなければ倉庫でほこりっぽくなったり、捨てられたり配布されたりします。

プリセット

もちろん、このシステムが機能するためには、予備設定を行う必要があります。

最初に、プライマリおよびセカンダリDNSサーバーを構成します。「ルーター」が1つしかない場合は、プライマリDNSサーバーで十分です。この問題では、前述のようにバインド9を使用しました。記事の最後にいくつかのチューニングリンクが記載されています。この場合、Cricket LeeとPaul Albitzの「DNS and BIND」チュートリアルが非常に役立ちます。

次に、dhcpフェールオーバーピアを設定する必要があります。「ルーター」が1つしかない場合は、スタンドアロンDHCPサーバーの通常の設定で十分です。繰り返しになりますが、リンクは記事の最後に記載されています。何らかの理由で、リンクによるフェールオーバーdhcpピアのセットアップに関する記事は利用できません（そして、ここ数か月で状況はそれだけです）、ここで設定を同期するためのスクリプトとセットアップのキーポイントを提供します。

フェールオーバーdhcpdを構成する

フェールオーバーdhcpピアを構成するには、次のものが必要です。

/ usr / local / etcに、rc.confで参照されるメイン構成ファイルdhcpd.confを作成します。私はこのように見えます：

/usr/local/etc/dhcpd.conf

 # dhcpd.conf # # option definitions common to all supported networks... option domain-name "companyname.local"; option domain-name-servers 10.0.0.2, 10.0.0.1; option ntp-servers 10.0.0.2, 10.0.0.1; option log-servers 10.0.0.1; update-static-leases on; # 1 hour default-lease-time 3600; # 1 day max-lease-time 86400; # Use this to enable / disable dynamic dns updates globally. ddns-update-style interim; # If this DHCP server is the official DHCP server for the local # network, the authoritative directive should be uncommented. authoritative; # Use this to send dhcp log messages to a different log file (you also # have to hack syslog.conf to complete the redirection). log-facility local7; set vendorclass = option vendor-class-identifier; # DNS key include "/usr/local/etc/dhcpd/dns.key"; zone companyname.local.{ primary 127.0.0.1; key DHCP_UPDATER; } zone 0.0.10.in-addr.arpa.{ primary 127.0.0.1; key DHCP_UPDATER; } # DHCP Failover, Primary include "/usr/local/etc/dhcpd/dhcpd.conf_primary"; # Subnet declaration include "/usr/local/etc/dhcpd/dhcpd.subnet"; # Static IP addresses include "/usr/local/etc/dhcpd/dhcpd.static";

ここでdns.keyはdnsサーバーとの通信のキーです。これらの問題については、dns + dhcpの構成に関する記事で詳しく説明されています。

フォルダー/ usr / local / etc / dhcpdを作成します。その中に、およそ次のものを含む次のファイルを作成します。

/usr/local/etc/dhcpd/dhcpd.conf_primary

 ########################## # DHCP Failover, Primary # ########################## failover peer "dhcpdpeer" { # Failover configuration primary; # I am the primary address 10.0.0.1; # My IP address port 1111; peer address 10.0.0.2; # Peer's IP address peer port 2222; max-response-delay 60; max-unacked-updates 10; mclt 3600; split 128; # Leave this at 128, only defined on Primary load balance max seconds 3; }

/usr/local/etc/dhcpd/dhcpd.subnet

 subnet 10.0.0.0 netmask 255.255.255.0 { pool { failover peer "dhcpdpeer"; range 10.0.0.15 10.0.0.240; } option subnet-mask 255.255.255.0; option routers 10.0.0.2, 10.0.0.1; option broadcast-address 10.0.0.255; option netbios-name-servers 10.0.0.3; option netbios-dd-server 10.0.0.3; option netbios-node-type 8; }

この場合、netbiosネームサーバーはwinsサーバーサービスが実行されているWindowsサーバーであり、sambaもこの役割を果たすことができます。

/usr/local/etc/dhcpd/dhcpd.static

 host SERVER3 { hardware ethernet 11:11:11:11:11:11; fixed-address 10.0.0.3; } host SERVER4 { hardware ethernet 22:22:22:22:22:22; fixed-address 10.0.0.4; }

ご想像のとおり、このファイルは静的アドレス用です。

2番目の「ルーター」では、ファイルは次のようになります。

/usr/local/etc/dhcpd.conf

 # dhcpd.conf # # option definitions common to all supported networks... option domain-name "companyname.local "; option domain-name-servers 10.0.0.2, 10.0.0.1; option ntp-servers 10.0.0.2, 10.0.0.1; option log-servers 10.0.0.1; update-static-leases on; # 1 hour default-lease-time 3600; # 1 day max-lease-time 86400; # Use this to enable / disable dynamic dns updates globally. ddns-update-style interim; # If this DHCP server is the official DHCP server for the local # network, the authoritative directive should be uncommented. authoritative; # Use this to send dhcp log messages to a different log file (you also # have to hack syslog.conf to complete the redirection). log-facility local7; set vendorclass = option vendor-class-identifier; # DNS key include "/usr/local/etc/dhcpd/dns.key"; zone companyname.local.{ secondary 127.0.0.1; key DHCP_UPDATER; } zone 0.0.10.in-addr.arpa.{ secondary 127.0.0.1; key DHCP_UPDATER; } # DHCP Failover, Primary include "/usr/local/etc/dhcpd/dhcpd.conf_secondary"; # Subnet declaration include "/usr/local/etc/dhcpd/dhcpd.subnet.DONOTEDIT"; # Static IP addresses include "/usr/local/etc/dhcpd/dhcpd.static.DONOTEDIT";

/usr/local/etc/dhcpd/dhcpd.conf_secondary

 ########################### # DHCP Failover,Secondary # ########################### failover peer "dhcpdpeer" { # Failover configuration secondary; # I am the secondary address 10.0.0.2; # My IP address port 2222; peer address 10.0.0.1; # Peer's IP address peer port 1111; max-response-delay 60; max-unacked-updates 10; mclt 3600; load balance max seconds 3; }

残りのファイルは、名前を変更することによってのみ最初の「ルーター」から取得するか、最後に設定すると、isc-dhcpdの再起動時にファイルが自動的に移動します（方法については、以下を参照）。

次の内容の実行可能ファイルを作成します。

/ usr / local / bin / dhcpd-sync

 #!/bin/sh # backup generation date=`date -v-1d '+%Y%m%d-%H%M%s'` month=`date '+%m%Y'` sudo -u dhcp-updater cp -f /usr/local/etc/dhcpd/dhcpd.subnet /var/dhcp-backup/dhcpd.subnet.$date sudo -u dhcp-updater bzip2 -f -k -z /var/dhcp-backup/dhcpd.subnet.$date sudo -u dhcp-updater tar -r -f /var/dhcp-backup/dhcpd.subnet.$month.tar -C /var/dhcp-backup dhcpd.subnet.$date.bz2 sudo -u dhcp-updater cp -f /usr/local/etc/dhcpd/dhcpd.static /var/dhcp-backup/dhcpd.static.$date sudo -u dhcp-updater bzip2 -f -k -z /var/dhcp-backup/dhcpd.static.$date sudo -u dhcp-updater tar -r -f /var/dhcp-backup/dhcpd.static.$month.tar -C /var/dhcp-backup dhcpd.static.$date.bz2 sudo -u dhcp-updater scp -P 22 -q /var/dhcp-backup/dhcpd.subnet.$date.bz2 dhcp-updater@10.0.0.2:/var/dhcp-backup sudo -u dhcp-updater ssh -p 22 10.0.0.2 tar -r -f /var/dhcp-backup/dhcpd.subnet.$month.tar -C /var/dhcp-backup dhcpd.subnet.$date.bz2 sudo -u dhcp-updater scp -P 22 -q /var/dhcp-backup/dhcpd.static.$date.bz2 dhcp-updater@10.0.0.2:/var/dhcp-backup sudo -u dhcp-updater ssh -p 22 10.0.0.2 tar -r -f /var/dhcp-backup/dhcpd.static.$month.tar -C /var/dhcp-backup dhcpd.static.$date.bz2 sudo -u dhcp-updater ssh -p 22 10.0.0.2 rm /var/dhcp-backup/dhcpd.subnet.$date.bz2 sudo -u dhcp-updater ssh -p 22 10.0.0.2 rm /var/dhcp-backup/dhcpd.static.$date.bz2 sudo -u dhcp-updater rm /var/dhcp-backup/dhcpd.subnet.$date sudo -u dhcp-updater rm /var/dhcp-backup/dhcpd.static.$date sudo -u dhcp-updater rm /var/dhcp-backup/dhcpd.subnet.$date.bz2 sudo -u dhcp-updater rm /var/dhcp-backup/dhcpd.static.$date.bz2 # sync and restart secondary DHCP sudo -u dhcp-updater scp -P 22 -q /usr/local/etc/dhcpd/dhcpd.subnet dhcp-updater@10.0.0.2:/usr/local/etc/dhcpd/dhcpd.subnet.DONOTEDIT sudo -u dhcp-updater scp -P 22 -q /usr/local/etc/dhcpd/dhcpd.static dhcp-updater@10.0.0.2:/usr/local/etc/dhcpd/dhcpd.static.DONOTEDIT sudo -u dhcp-updater ssh -p 22 10.0.0.2 sudo /usr/local/etc/rc.d/isc-dhcpd restart

両方のサーバーで適切な権限を持つdhcp-updaterユーザーを作成し、sudo設定に登録し、プライマリからセカンダリ「ルーター」へのキーによるssh接続を設定し、パスワードを削除します。また、両方のマシンで/ var / dhcp-backup /フォルダーを作成する必要がある場合があります。

/usr/local/etc/rc.d/isc-dhcpdファイルの一部を次のように変更します。

宛先：

 dhcpd_checkconfig () { local rc_flags_mod setup_flags rc_flags_mod="$rc_flags" # Eliminate '-q' flag if it is present case "$rc_flags" in *-q*) rc_flags_mod=`echo "${rc_flags}" | sed -Ee 's/(^-q | -q | -q$)//'` ;; esac if ! ${command} -t -q ${rc_flags_mod}; then err 1 "`${command} -t ${rc_flags_mod}` Configuration file sanity check failed" fi }

後：

 dhcpd_checkconfig () { local rc_flags_mod setup_flags rc_flags_mod="$rc_flags" # Eliminate '-q' flag if it is present case "$rc_flags" in *-q*) rc_flags_mod=`echo "${rc_flags}" | sed -Ee 's/(^-q | -q | -q$)//'` ;; esac if ! ${command} -t -q ${rc_flags_mod}; then err 1 "`${command} -t ${rc_flags_mod}` Configuration file sanity check failed" else sh /usr/local/bin/dhcpd-sync fi }

すべての設定が正しく行われている場合、メインマシンでdhcpサーバーを再起動すると、現在の構成がアーカイブされ、2番目のサーバーと同期され、両方のマシンで再起動が行われます。

次のタスクをcrontabに追加すると便利です。

 0 0 * * * root /usr/local/etc/rc.d/isc-dhcpd restart

これで、フェールオーバーdhcpd設定が完了しました。

第三に、ゼロに加えてルーティングテーブルを表示し、「核」natおよびipfwが機能するためには、次のパラメーターでカーネルを再構築する必要があります（もちろん、オプションは可能ですが、最後にリンクを使用します）。

 options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=50 options IPFIREWALL_NAT options LIBALIAS options DUMMYNET options HZ=1000 options ROUTETABLES=2

2番目のルーティングテーブル（番号「1」の下、最初のテーブルには番号「0」があるため）がリブート後に機能するには、rc.dに作成する必要があります（/usr/local/etc/rc.dにあります） /）次の内容のファイル：

/usr/local/etc/rc.d/setfib1

 #!/bin/sh # # PROVIDE: SETFIB1 # REQUIRE: NETWORKING # BEFORE: DAEMON # # Add the following lines to /etc/rc.conf to enable setfib -1 at startup # setfib1 (bool): Set to "NO" by default. # Set it to "YES" to enable setfib1 # setfib1_defaultroute (str): Set to "" by default # Set it to ip address of default gateway for use in fib 1 . /etc/rc.subr name="setfib1" rcvar=`set_rcvar` load_rc_config $name [ -z "$setfib1_enable" ] && setfib1_enable="NO" [ -z "$setfib1_defaultrouter" ] && setfib1_defaultrouter="" start_cmd="${name}_start" stop_cmd="${name}_stop" setfib1_start() { if [ ${setfib1_defaultrouter} ] then setfib 1 route add -net default ${setfib1_defaultrouter} else echo "Can not set default route for fib 1 - setfib1_defaultrouter is not assigned in rc.conf!" fi } setfib1_stop() { setfib 1 route del -net default } run_rc_command "$1"

また、たとえば、プライマリ「ルーター」の場合、rc.confに数行を追加します。

 setfib1_enable="YES" setfib1_defaultrouter="2.2.2.1"

実際、このブートスクリプトは2番目のテーブルにデフォルトルートと同じだけ追加します。必要に応じて、最大65536のルーティングテーブル（FreeBSDバージョン10）を実行し、上記のスクリプトを少し変更してコピーし、rc.confにパラメーターを追加できます。（もちろん、カーネルパラメーターには、最初にこれらの65536テーブルを含める必要があります。）

メインの「ルーター」での私のrc.conf設定：

しかし、最初に、いくつかのコメント：

Eth0は、メイン外部チャネルの物理インターフェイスです。

Eth1は、バックアップ外部チャネルの物理インターフェイスです。

Eth2は、内部チャネルの物理インターフェイスです。

Vlan1-メイン外部チャネルのインターフェース。

Vlan2-バックアップ外部チャネルインターフェイス。

vlan3およびvlan4-将来の機能のために予約されています。これについては記事の最後で説明します。

10.0.0.1-内部ネットワーク内の「ルーター」のアドレス。それぞれ、たとえば、10.0.0.2になります。

1.1.1.2および1.1.1.1-メイン外部チャネルのIPアドレスとデフォルトゲートウェイ。

2.2.2.2および2.2.2.1-バックアップ外部チャネルのIPアドレスとデフォルトゲートウェイ。

##注意！ インターフェイスとIPアドレスの名前は例として使用され、それぞれの場合に独自のものになります！ ##

/etc/rc.conf

 hostname="SERVER1.companyname.local" keymap="ru.koi8-r" font8x8="cp866-8x8" font8x14="cp866-8x14" font8x16="cp866-8x16" scrnmap="koi8-r2cp866" cursor="destructive" ifconfig_eth0="up" vlans_eth0="vlan1 vlan3" create_args_vlan1="vlan 1" create_args_vlan3="vlan 3" ifconfig_eth1="up" vlans_eth1="vlan2 vlan4" create_args_vlan2="vlan 2" create_args_vlan4="vlan 4" ifconfig_eth2="inet 10.0.0.1 netmask 255.255.255.0" ifconfig_vlan1="inet 1.1.1.2/24" ifconfig_vlan3="inet 10.0.1.1/30" ifconfig_vlan2="inet 2.2.2.2/24" ifconfig_vlan4="inet 10.0.2.1/30" defaultrouter="1.1.1.1" setfib1_enable="YES" setfib1_defaultrouter="2.2.2.1" gateway_enable="YES" sshd_enable="YES" moused_enable="YES" ntpd_enable="YES" powerd_enable="YES" hald_enable="YES" dbus_enable="YES" dumpdev="AUTO" firewall_enable="YES" firewall_logging="YES" firewall_script="/etc/firewall.sh" named_enable="YES" named_program="/usr/sbin/named" named_flags="-u bind -c /etc/namedb/named.conf" dhcpd_enable="YES" dhcpd_conf="/usr/local/etc/dhcpd.conf" dhcpd_ifaces="eth2"

以下は、私にとって有効なNATとファイアウォールの設定です。

メイン外部チャネルを介して作業する場合：

/etc/rules.firewall0

 #!/bin/sh # Delete all rules /sbin/ipfw -q -f flush /sbin/ipfw -q -f pipe flush /sbin/ipfw -q -f queue flush /sbin/ipfw -q -f nat 1 delete /sbin/ipfw -q -f table all flush # Parameters ipfw="/sbin/ipfw -q add" extM_if="vlan1" extM_ip="1.1.1.2" extS_if="vlan2" extS_ip="2.2.2.2" int_if="eth2" int_ip="10.0.0.1" lan_net="10.0.0.0/24" odmin="10.0.0.111" # Tables # Table 1 - non-routes networks /sbin/ipfw table 1 add 192.168.0.0/16 /sbin/ipfw table 1 add 172.16.0.0/12 /sbin/ipfw table 1 add 10.0.0.0/8 /sbin/ipfw table 1 add 127.0.0.0/8 /sbin/ipfw table 1 add 0.0.0.0/8 /sbin/ipfw table 1 add 169.254.0.0/16 /sbin/ipfw table 1 add 192.0.2.0/24 /sbin/ipfw table 1 add 204.152.64.0/23 /sbin/ipfw table 1 add 224.0.0.0/3 # Choose route table $ipfw setfib 0 all from any to any via $int_if # Allow all traffic on loopback $ipfw allow all from any to any via lo0 # Deny access to lo0 from out $ipfw deny log all from any to 127.0.0.0/8 # Deny outcome packets from lo0 $ipfw deny log all from 127.0.0.0/8 to any # Allow returning $ipfw check-state # Deny IPv6 $ipfw deny log ipv6 from any to any # Antispoofing $ipfw deny log all from any to any not antispoof in # Block any delayed packets (fragments) $ipfw deny all from any to any frag ######################################### # Internal interface, outcoming traffic # ######################################### # Allow all traffic from gateway to lan $ipfw allow all from any to $lan_net out via $int_if # Deny and log other $ipfw deny log all from any to any out via $int_if ######################################## # Internal interface, incoming traffic # ######################################## # Deny all Netbios $ipfw deny tcp from any to any 81,137,138,139 in via $int_if # Allow traffic on internal interface # DHCP $ipfw allow udp from any to me 67,68,1515,1516 in via $int_if # Mail $ipfw allow tcp from $lan_net to any 25,110,143,465,993,995 in via $int_if # Time $ipfw allow tcp from $lan_net to any 37 in via $int_if $ipfw allow udp from $lan_net to any 123 in via $int_if # ICQ $ipfw allow tcp from $lan_net to any 443,5190,5222 in via $int_if # FTP and some other $ipfw allow tcp from $lan_net to any 21,22,49152-65535 in via $int_if # HTTP $ipfw allow tcp from $lan_net to any 80 in via $int_if # Output whois $ipfw allow tcp from $lan_net to any 43 in via $int_if # DNS $ipfw allow udp from $lan_net to any 53 in via $int_if $ipfw allow tcp from $lan_net 53 to $int_ip in via $int_if $ipfw allow tcp from $lan_net to $int_ip 53 in via $int_if # Ping $ipfw allow icmp from $lan_net to any icmptypes 0,3,8,11 in via $int_if # For admin $ipfw allow all from $odmin 1025-6000,11111,22222,50000-60000 to any in via $int_if $ipfw allow all from 10.0.0.2 22 to $int_ip in via $int_if $ipfw 55100 allow all from any to $int_ip 22 in via $int_if # Deny and log other $ipfw deny log all from any to any in via $int_if ######################################### # External interface, outcoming traffic # ######################################### # Deny all outcoming traffic to non-route networks $ipfw deny log all from any to 'table(1)' out via $extM_if $ipfw deny log all from any to 'table(1)' out via $extS_if # Deny broadcast ICMP on ext interface $ipfw deny icmp from any to 255.255.255.255 out via $extM_if $ipfw deny icmp from any to 255.255.255.255 out via $extS_if # Deny multicast on ext interface $ipfw deny all from 224.0.0.0/4 to any out via $extM_if $ipfw deny all from 224.0.0.0/4 to any out via $extS_if # Allow me go to internet $ipfw allow all from $extM_ip to any out via $extM_if setup keep-state $ipfw allow all from $extS_ip to any out via $extS_if setup keep-state # DNS BIND $ipfw allow udp from $extM_ip to any 53 out via $extM_if keep-state $ipfw allow udp from $extS_ip to any 53 out via $extS_if keep-state # Time $ipfw allow udp from $extM_ip to any 123 out via $extM_if keep-state $ipfw allow tcp from $extM_ip to any 37 out via $extM_if setup keep-state # Output whois $ipfw allow tcp from $extM_ip to any 43 out via $extM_if setup keep-state # NAT /sbin/ipfw -q nat 1 config log if $extM_if reset same_ports deny_in unreg_only redirect_port tcp 10.0.0.111:33333 33333 redirect_port udp 10.0.0.111:11111 11111 redirect_port tcp 10.0.0.111:22222 22222 redirect_port udp 10.0.0.111:22222 22222 # NAT outcoming traffic $ipfw nat 1 ip from any to any out via $extM_if # Allow traffic on outcoming interface # Mail $ipfw allow tcp from any to any 25,110,143,465,993,995 out via $extM_if # ICQ $ipfw allow tcp from any to any 443,5190,5222 out via $extM_if # FTP and some other $ipfw allow tcp from any to any 21,22,49152-65535 out via $extM_if # HTTP $ipfw allow tcp from any to any 80 out via $extM_if # Ping $ipfw allow icmp from any to any icmptypes 0,3,8,11 out via $extM_if $ipfw allow icmp from any to any icmptypes 0,3,8,11 out via $extS_if # For admin $ipfw allow tcp from any 1025-6000 to any out via $extM_if $ipfw allow all from any 11111,22222,50000-60000 to any out via $extM_if # Deny and log other $ipfw deny log all from any to any out via $extM_if $ipfw deny log all from any to any out via $extS_if ######################################## # External interface, incoming traffic # ######################################## # Deny all incoming traffic from non-route networks $ipfw deny log all from 'table(1)' to any in via $extM_if $ipfw deny log all from 'table(1)' to any in via $extS_if # Deny ident $ipfw deny tcp from any to any 113 in via $extM_if $ipfw deny tcp from any to any 113 in via $extS_if # Deny all Netbios $ipfw deny tcp from any to any 81,137,138,139 in via $extM_if $ipfw deny tcp from any to any 81,137,138,139 in via $extS_if # SSH (also for internal network) $ipfw allow all from any to me 22 in via $extM_if $ipfw allow all from any to me 22 in via $extS_if # NAT incoming traffic $ipfw nat 1 ip from any to any in via $extM_if # Allow traffic on outcoming interface # Mail $ipfw allow tcp from any 25,110,143,465,993,995 to any in via $extM_if # ICQ $ipfw allow tcp from any 443,5190,5222 to any in via $extM_if # FTP and some other $ipfw allow tcp from any 21,22,49152-65535 to any in via $extM_if # HTTP $ipfw allow tcp from any 80 to any in via $extM_if # Ping $ipfw allow icmp from any to any icmptypes 0,3,8,11 in via $extM_if $ipfw allow icmp from any to any icmptypes 0,3,8,11 in via $extS_if # For admin $ipfw allow tcp from any to $odmin 1025-6000 in via $extM_if $ipfw allow all from any to $odmin 11111,22222,50000-60000 in via $extM_if # Deny and log other $ipfw deny log all from any to any in via $extM_if $ipfw deny log all from any to any in via $extS_if $ipfw deny log all from any to any

バックアップ外部チャネルを使用する場合、すべての設定は同じで、ヘッダーのみが変更されます。

/etc/rules.firewall1 hat

 # Parameters ipfw="/sbin/ipfw -q add" extM_if="vlan2" extM_ip="2.2.2.2" extS_if="vlan1" extS_ip="1.1.1.1" int_if="eth2" int_ip="10.0.0.1" lan_net="10.0.0.0/24" odmin="10.0.0.111" serv="10.0.0.4

また、sshguardは「ルーター」で構成されますが、経験豊富な読者であれば、このプログラムを自分で見つけてインストールすることができます。

スクリプトソース

ToFoIn-インターネットのフェイルオーバーを切り替えます。おそらく、その名前は野心的なものではありませんが、既存の製品よりも正確に製品の特性を考え出すことはできませんでした。以下に、スクリプトと関連ファイルのテキストを少し説明します。

tofoin.conf

 ## tofoin.conf ## ## by LordNicky v0.6 20140719 ## ## Little about the modules and about what function they perform. ## Tester - Testing the availability of the Internet on selected channel. ## Judge - Test results analysis, the decision to switch ## from one channel to another. ## Logger - Event logging. ## Watchdog - Testing and debugging of the scripts. ## Configuration. ## Amouth of the Internet channels. CNUMBER=2 ## Main Internet channel properties. ## Interface name. EXT_0_IF=vlan10 ## Id number of the routing table. RTABLE_0=0 ## Reserve Internet channel properties. ## Interface name. EXT_1_IF=vlan20 ## Id number of the routing table RTABLE_1=1 ## URL's supposed to be used for diagnostic of the availability ## of the Internet channel. PTARGET_0 should be domain name, and ## PTARGET_1 should be IP address. ## Attention: The resources should be different. PTARGET_0=ya.ru PTARGET_1=8.8.8.8 ## Count of icmp packets used for testing one resource. PNUMBER=2 ## Period of launching of the module "Tester" (in seconds). ## Strongly not recomended to set a value less than 60. TESTERPERIOD=240 ## Period of launching of the module "Judge" (in seconds). ## Strongly not recomended to set a value less than TESTERPERIOD. ## Usually enough TESTERPERIOD + 60. JUDGEPERIOD=300 ## Launching sensitivity for the modules Tester and Judge. ## Usually enough 60. SENSITIVITY=60 ## The maximum operating time for the module Tester. TESTERMAXDELAY=40 ## The maximum operating time for the module Judge. JUDGEMAXDELAY=30 ## The maximum operating time for the module Logger. LOGGERMAXDELAY=20 ## Amount of tests that successfully passed before returning ## to the main channel. Thereby, time elapsed since the restore ## the work main channel is approximately (WNUMBER+1)*JUDGEPERIOD ## seconds. WNUMBER=3 ## The frequency of writing error message into the log file. ## The main idea is the following. At first time the message ## is written completely. After LOGFREQ1 repetitions logger ## writes the only message about LOGFREQ1 the same messages. ## Later in each LOGFREQ2 repetitions logger writes the only ## message about LOGFREQ2 the same messages. This algorithm ## works only if the same messages are following after each other. LOGFREQ1=5 LOGFREQ2=20 ## File paths. ## Paths for configuration script files IPFW. ## Default file. (It is written in the rc.conf) FIRESETDEF=/etc/firewall.sh ## Settings for main Internet channel. FIRESET_0=/etc/rules.firewall0 ## Settings for reserve Internet channel. FIRESET_1=/etc/rules.firewall1 ## Paths for all ToFoIn files. ## Daemon. DAEMON=/path/to/file/tofoin_daemon.sh ## Tester. TESTER=/path/to/file/tofoin_tester.sh ## Judge. JUDGE=/path/to/file/tofoin_judge.sh ## Logger. LOGGER=/path/to/file/tofoin_logger.sh ## Watchdog. WATCHDOG=/path/to/file/tofoin_watchdog.sh ## Log file. It is recommended to locate it into the /var/log. LOGFILE=/path/to/file/tofoin.log ## The directory supposed for test results. It is recomended ## to locate it into the /tmp. TESTER_RESULT=/path/to/directory ## Auxiliary module file Judge. It is recommended to locate ## it into the /tmp. JUDGEMETER=/path/to/file/judgemeter ## Auxiliary module file Logger. It is recommended to locate ## it into the /tmp. LOGTMP=/path/to/file/logger.tmp LOGMETER=/path/to/file/logmeter ## PID files for all executable modules. It is recommended ## to locate it into /var/run. DAEMON_PID=/path/to/file/tofoin_daemon.pid TESTER_PID=/path/to/directory JUDGE_PID=/path/to/file/tofoin_judge.pid LOGGER_PID=/path/to/file/tofoin_logger.pid WATCHDOG_PID=/path/to/file/tofoin_watchdog.pid

tofoin_daemon.sh

 #!/usr/local/bin/bash # by LordNicky v0.5 20140717 . /root/ToFoIn/tofoin.conf test_time=`date +%s`; judge_time=`date +%s`; echo $$ > $DAEMON_PID; $LOGGER "DAEMON: start successfully with pid $$" & tester_0="$TESTER $RTABLE_0 10 0"; tester_1="$TESTER $RTABLE_1 10 1"; $tester_0 & $tester_1 & while true do current_time=`date +%s`; if [ "`expr $current_time - $test_time`" -ge "$TESTERPERIOD" ] then $tester_0 & $tester_1 & test_time=`date +%s`; else :; fi if [ "`expr $current_time - $judge_time`" -ge "$JUDGEPERIOD" ] then $JUDGE & judge_time=`date +%s`; else :; fi sleep $SENSITIVITY; done

tofoin_tester.sh

 #!/usr/local/bin/bash # by LordNicky v0.7 20140717 . /root/ToFoIn/tofoin.conf exit_function () { rm $tester_pid; exit $exit_code; } tester_pid=$TESTER_PID/tofoin_test_$3\.pid; if [ -e $tester_pid ]; then $WATCHDOG "tofoin_test" "$tester_pid" "$3" & exit 0; else echo `date +%s` $$ > $tester_pid; if [ "$2" -eq 10 ]; then if setfib $1 ping -c $PNUMBER $PTARGET_0 > /dev/null; then echo `date +%s` "0 0" > $TESTER_RESULT/result_$3; exit_code=0; exit_function; else if setfib $1 ping -c $PNUMBER $PTARGET_1 > /dev/null; then echo `date +%s` "0 1" > $TESTER_RESULT/result_$3; exit_code=0; exit_function; else echo `date +%s` "1 1" > $TESTER_RESULT/result_$3; exit_code=0; exit_function; fi fi elif [ "$2" -eq 0 ]; then setfib $1 ping -c $PNUMBER $PTARGET_0; exit_code=0; exit_function; elif [ "$2" -eq 1 ]; then setfib $1 ping -c $PNUMBER $PTARGET_1; exit_code=0; exit_function; else setfib $1 ping -c $PNUMBER $2; exit_code=1; exit_function; fi fi

前述のように、テスターモジュールには、手動で起動するための機能がわずかに拡張されています。「ソリューション」セクションでは、その方法について説明します。また、スクリプトのテキストからわかるように、テスターは通常の起動の場合にのみ結果をファイルに書き込みます。

tofoin_judge.sh

 #!/usr/local/bin/bash # by LordNicky v0.7 20140717 . /root/ToFoIn/tofoin.conf exit_function () { rm $JUDGE_PID; exit $exit_code; } decision_function () { if [ "$actualchan" -eq "$prefchan" ]; then if [ "$actualchan" -eq 0 ]; then $LOGGER "JUDGE: No problems detected" & exit_code=0; exit_function; elif [ "$actualchan" -eq 1 ]; then echo -e "0" > $JUDGEMETER; $LOGGER "JUDGE: No problems detected at channel $actualchan" & exit_code=0; exit_function; else $LOGGER "JUDGE(decision): Invalid actualchan = $actualchan" & exit_code=1; exit_function; fi else if [ "$prefchan" -eq 1 ]; then switch_function; exit_code=0; exit_function; elif [ "$prefchan" -eq 0 ]; then if [ "$actualstate" -eq 0 ] then meter=`cat $JUDGEMETER`; if [ "$meter" -eq "$WNUMBER" ]; then switch_function; exit_code=0; exit_function; elif [ "$meter" -lt "$WNUMBER" ]; then expr $meter + 1 > $JUDGEMETER; exit_code=0; exit_function; else echo -e "0" > $JUDGEMETER; exit_code=0; exit_function; fi elif [ "$actualstate" -eq 1 ] then $LOGGER "JUDGE: Emergency switch to $prefchan"; switch_function; exit_code=0; exit_function; else $LOGGER "JUDGE(decision): Invalid actualstate = $actualstate" & exit_code=1; exit_function; fi else $LOGGER "JUDGE(decision): Invalid prefchan = $prefchan" & exit_code=1; exit_function; fi fi } switch_function () { echo -e "0" > $JUDGEMETER; if [ "$prefchan" -eq 0 ]; then /etc/rc.d/named stop; cp $FIRESET_0 $FIRESETDEF; /etc/rc.d/ipfw restart; setfib $RTABLE_0 /etc/rc.d/named start; $LOGGER "JUDGE: Now switching on channel $RTABLE_0" & exit_code=0; exit_function; elif [ "$prefchan" -eq 1 ] then /etc/rc.d/named stop; cp $FIRESET_1 $FIRESETDEF; /etc/rc.d/ipfw restart; setfib $RTABLE_1 /etc/rc.d/named start; $LOGGER "JUDGE: Now switching on channel $RTABLE_1" & exit_code=0; exit_function; else $LOGGER "JUDGE(switch): Invalid prefchan = $prefchan" & exit_code=1; exit_function; fi } createarea_function () { for ((a=0; a < CNUMBER ; a++)) do current_time=`date +%s` timearea[$a]=`cut -c 1-10 $TESTER_RESULT/result_$a`; if [ "`expr $current_time - ${timearea[$a]}`" -ge 0 ]; then if [ "`expr $current_time - ${timearea[$a]}`" -lt "`expr $TESTERPERIOD + 120`" ]; then :; else $LOGGER "JUDGE: MAX period" & $WATCHDOG & exit_code=1; exit_function; fi else $LOGGER "JUDGE: testmodule $a in future" & $WATCHDOG & exit_code=1; exit_function; fi statearea[$a]=`cut -c 12 $TESTER_RESULT/result_$a`; if [ "$actualchan" -eq "$a" ] then actualstate=${statearea[$a]}; else :; fi done } findarea_function () { for ((a=0; a < CNUMBER ; a++)) do if [ "${statearea[$a]}" -eq 0 ] then prefchan=$a; decision_function; exit_code=0; exit_function; else if [ "${statearea[$a]}" -eq 1 ] then continue else $LOGGER "JUDGE: Invalid channel state" & exit_code=1; exit_function; fi fi done } if [ -e $JUDGE_PID ] then $WATCHDOG "tofoin_judge" "$JUDGE_PID" & exit 0; else echo `date +%s` $$ > $JUDGE_PID; if ipfw list | grep nat | egrep -q $EXT_0_IF; then actualchan=0; elif ipfw list | grep nat | egrep -q $EXT_1_IF; then actualchan=1; else $LOGGER "JUDGE: NAT error" & prefchan=0; switch_function; exit_code=1; exit_function; fi createarea_function; findarea_function; $LOGGER "JUDGE: All channels down" & exit_code=1; exit_function; fi

裁判官モジュールには、さらなる改善の余地がありますが、一般に飾り気はありません。

tofoin_logger.sh

 #!/usr/local/bin/bash # by LordNicky v0.5 20140713 . /root/ToFoIn/tofoin.conf exit_function () { rm $LOGGER_PID; exit $exit_code; } main_function () { if [[ `tail -n 1 $LOGFILE | grep -o "$1" | grep -o "JUDGE: No problems detected"` = "JUDGE: No problems detected" ]]; then exit_code=0; exit_function; else if [[ `cat $LOGTMP` = $1 ]]; then meter=`cat $LOGMETER`; if [ "$meter" -ge "$LOGFREQ2" ]; then echo -e "0" > $LOGMETER; echo -e "`date -j +%Y%m%d%H%M` last message repeat $LOGFREQ2 times" >> $LOGFILE; exit_code=0; exit_function; elif [ "$meter" -ge "$LOGFREQ1" ]; then if [[ `tail -n 1 $LOGFILE | grep -o "last message repeat $LOGFREQ1 times"` = "last message repeat $LOGFREQ1 times" ]]; then expr $meter + 1 > $LOGMETER; exit_code=0; exit_function; elif [[ `tail -n 1 $LOGFILE | grep -o "last message repeat $LOGFREQ2 times"` = "last message repeat $LOGFREQ2 times" ]]; then expr $meter + 1 > $LOGMETER; exit_code=0; exit_function; else echo -e "`date -j +%Y%m%d%H%M` last message repeat $LOGFREQ1 times" >> $LOGFILE; exit_code=0; exit_function; fi elif [ "$meter" -ge 0 ]; then expr $meter + 1 > $LOGMETER; exit_code=0; exit_function; else echo -e "0" > $LOGMETER; echo -e "`date -j +%Y%m%d%H%M` LOGGER: logmeter index error, write 0" >> $LOGFILE; exit_code=1; exit_function; fi else if [ `cat $LOGMETER` -eq 0 ]; then echo -e "$1" > $LOGTMP; echo -e "`date -j +%Y%m%d%H%M` $1" >> $LOGFILE; exit_code=0; exit_function; else echo -e "0" > $LOGMETER; echo -e "$1" > $LOGTMP; echo -e "`date -j +%Y%m%d%H%M` $1 ; LOGMETER now zero" >> $LOGFILE; exit_code=0; exit_function; fi fi fi } if [ -e $LOGGER_PID ]; then sleep $((RANDOM%5+1)); if [ -e $LOGGER_PID ]; then $WATCHDOG "tofoin_logger" "$LOGGER_PID" & exit 0; else echo `date +%s` $$ > $LOGGER_PID; main_function "$1"; fi else echo `date +%s` $$ > $LOGGER_PID; main_function "$1"; fi

私の意見では、知覚の面で最も恐ろしいモジュールはロガーです。しかし、残念ながら、書くのは簡単ではありませんでした。基本的に、スクリプトの大部分は重複メッセージの発生を防ぐことに専念しているため、明らかに複雑です。

tofoin_watchdog.sh

 #!/usr/local/bin/bash # by LordNicky v0.5 20140713 . /root/ToFoIn/tofoin.conf exit_function () { rm $WATCHDOG_PID; exit $exit_code; } kill_function () { if [[ "`ps -o command -p $proc_pid | grep -o "$proc_name"`" = "$proc_name" ]]; then $LOGGER "WATCHDOG: Other $proc_s_name working during $diff, kill him" & kill $proc_pid; else $LOGGER "WATCHDOG: None or other process on $proc_s_name pid, cleaning pid file" & fi if [[ "$proc_name" = "tofoin_watchdog" ]]; then main_function; else rm $proc_pid_file; fi } main_function () { echo `date +%s` $$ > $WATCHDOG_PID; proc_name=${one:-all}; return_wait=10 if [[ "$proc_name" = "all" ]]; b=0; c=0 then for ((a=0; a < CNUMBER ; a++)) do current_time=`date +%s`; tester_result=$TESTER_RESULT/result_$a; tester_time=`cut -c 1-10 $tester_result`; diff=`expr $current_time - $tester_time`; if [ "$diff" -ge 0 ] then if [ "$diff" -lt "`expr $TESTERPERIOD + 120`" ]; then :; else proc_name=tofoin_daemon; proc_pid=`cat $DAEMON_PID`; if [[ "`ps -o command -p $proc_pid | grep -o "$proc_name"`" = "$proc_name" ]]; then $LOGGER "WATCHDOG: Restart daemon" & kill $proc_pid; $DAEMON & else $LOGGER "WATCHDOG: None daemon process, start" & $DAEMON & fi exit_code=0; exit_function; fi else $LOGGER "WATCHDOG: Check date" & fi done elif [[ "$proc_name" = "tofoin_test" ]]; then proc_pid_file=$two; cnumber=$three; test_function; return_val=$?; if [[ "$return_val" = "$return_wait" ]]; then sleep $TESTERMAXDELAY; test_function "nowait"; else :; fi elif [[ "$proc_name" = "tofoin_judge" ]]; then proc_pid_file=$JUDGE_PID; judge_function; return_val=$?; if [[ "$return_val" = "$return_wait" ]]; then sleep $JUDGEMAXDELAY; judge_function "nowait"; else :; fi elif [[ "$proc_name" = "tofoin_logger" ]]; then proc_pid_file=$LOGGER_PID; logger_function; return_val=$?; if [[ "$return_val" = "$return_wait" ]]; then sleep $LOGGERMAXDELAY; logger_function "nowait"; else :; fi else $LOGGER "WATCHDOG: Incorrect process name"; fi exit_code=0; exit_function; } test_function () { if [ -e $proc_pid_file ]; then proc_pid=`cut -c 12-18 $proc_pid_file`; proc_s_name="tester $cnumber"; start_time=`cut -c 1-10 $proc_pid_file`; current_time=`date +%s`; diff=`expr $current_time - $start_time`; if [ "$diff" -ge 0 ]; then if [ "$diff" -lt "$TESTERMAXDELAY" ]; then if [[ "$1" = "nowait" ]]; then if [ "$proc_pid" = "$proc_temp_pid" ]; then kill_function; return 0; else $LOGGER "WATCHDOG: Pid of $proc_s_name was changed, exit" & fi else $LOGGER "WATCHDOG: $proc_s_name now working, try wait" & proc_temp_pid=$proc_pid; return $return_wait; fi else kill_function; return 0; fi else $LOGGER "WATCHDOG: Time error in $proc_s_name = $diff" & kill_function; return 0; fi else return 0; fi } judge_function () { if [ -e $proc_pid_file ]; then proc_pid=`cut -c 12-18 $proc_pid_file`; proc_s_name="judge"; start_time=`cut -c 1-10 $proc_pid_file`; current_time=`date +%s`; diff=`expr $current_time - $start_time`; if [ "$diff" -ge 0 ]; then if [ "$diff" -lt "$JUDGEMAXDELAY" ]; then if [[ "$1" = "nowait" ]]; then if [ "$proc_pid" = "$proc_temp_pid" ]; then kill_function; return 0; else $LOGGER "WATCHDOG: Pid of $proc_s_name was changed, exit" & fi else $LOGGER "WATCHDOG: $proc_s_name now working, try wait" & proc_temp_pid=$proc_pid; return $return_wait; fi else kill_function; return 0; fi else $LOGGER "WATCHDOG: Time error in $proc_s_name = $diff" & kill_function; return 0; fi else return 0; fi } logger_function () { if [ -e $proc_pid_file ]; then proc_pid=`cut -c 12-18 $proc_pid_file`; proc_s_name="logger"; start_time=`cut -c 1-10 $proc_pid_file`; current_time=`date +%s`; diff=`expr $current_time - $start_time`; if [ "$diff" -ge 0 ]; then if [ "$diff" -lt "$LOGGERMAXDELAY" ]; then if [[ "$1" = "nowait" ]]; then if [ "$proc_pid" = "$proc_temp_pid" ]; then kill_function; return 0; else echo -e "`date -j +%Y%m%d%H%M` WATCHDOG: Pid of $proc_s_name was changed, exit" >> $LOGFILE; fi else echo -e "`date -j +%Y%m%d%H%M` WATCHDOG: $proc_s_name now working, try wait" >> $LOGFILE; proc_temp_pid=$proc_pid; return $return_wait; fi else kill_function; return 0; fi else echo -e "`date -j +%Y%m%d%H%M` WATCHDOG: Time error in $proc_s_name = $diff" >> $LOGFILE; kill_function; return 0; fi else return 0; fi } one=$1; two=$2; three=$3; if [ -e $WATCHDOG_PID ]; then proc_pid=`cut -c 12-18 $WATCHDOG_PID`; proc_name="tofoin_watchdog"; proc_s_name="watchdog"; start_time=`cut -c 1-10 $WATCHDOG_PID`; current_time=`date +%s`; diff=`expr $current_time - $start_time`; if [ "$diff" -ge 0 ]; then if [ "$diff" -lt "`expr $TESTERMAXDELAY + $JUDGEMAXDELAY + $LOGGERMAXDELAY + 30`" ]; then $LOGGER "WATCHDOG: Other $proc_s_name already working, exit" & exit 0; else kill_function; fi else $LOGGER "WATCHDOG: Time error in $proc_s_name = $diff" & kill_function; fi else main_function; fi

ウォッチドッグは、提示されたすべてのスクリプトの中で最大であり、おそらく曖昧なスクリプトです。考えられるすべての障害オプションを提供しようと試みたため、このようになりました。しかし、これまでのところ。このモジュールはcronを使用して起動することになっているため、/ etc / crontabに次のようなものを追加する必要があります。

 0 * * * * root /path/to/file/tofoin_watchdog.sh

まとめ

スクリプトは6か月間テストされました。重大なエラーは見つかりませんでした。マイナーなエラーは修正されました。すべてのモジュールは、逸脱や予測不可能なアクションなしで、所定のアルゴリズムに従って動作します。イベントログファイルは非常に有益であり、発生した問題とその発生および解決の時間を判断できます。したがって、最初の目標が達成されたと結論付けることができます。さらなる開発計画の概要を以下に示します。

計画

スクリプトのさらなる開発の計画：

適切なシステムディレクトリにファイルを配置します。
特定のタスクのためにsudoを使用して特別なユーザーとして実行する必要があることを考慮してください。肯定的な決定の場合、スクリプトを適合させます。
zabbixと通信するためのモジュールを追加します。
クライアントサーバーシステムを作成します。vlan3とvlan4が構成されたのはこのシステムのためです。内部チャネルの「ルーター」間に接続がない場合は、外部インターフェイスに構成されたvlanを介して通信しようとするためです。
おそらく、遠い明るい将来に、より多くの機能を備えた言語でスクリプト全体を書き直してください。現時点では、bashで可能なすべてのことを絞り出したいという要望があります。

ご質問

もちろん、書くとき、特にその後、多くの疑問が生じました。これらのうち最も重要な

ものは次のとおりです。次の変数があります。

 a =<  > HI_1=”123” HI_2=”321”

変数HI_1とHI_2を呼び出して、aのみを変更する必要があります。呼び出しは次のようになります。

 ${HI_$a} ##

また、a = 1を事前に設定した場合、この式は123を意味し、a = 2の場合は321を意味します。残念ながら、これを行う方法が見つかりませんでした。この関数を使用すると、スクリプトが大幅に簡素化され、拡張が容易になります。

もちろん、残りは一般的な質問です-この決定はどの程度関連していますか？スクリプトでどのような間違いがありますか？計画および記事の本文で特定された問題を解決する最良の方法は何ですか？あなたのコメント

あなたが改善を支援したい場合は、個人的なメッセージを書いて、私たちは可能な協力について議論します。

参照資料

DNS BIND 9:

., . — DNS BIND (5- )

DNS BIND

DHCP:

Failover DHCP

DHS + DHCP:

DDNS+DHCP

SETFIB:

Multiple default routes in FreeBSD without BGP or similar

setfib

FreeBSD . setfib

IPFW + NAT:

ipfw nat

FreeBSD 9 + ipfw + ipfw nat

ipfw nat

DUMMYNET

Kernel NAT

SSH:

SSH

SSH

SSH ( )

BASH:

BASH. 2.

Advanced Bash-Scripting Guide

また、システムを構成してスクリプトを作成するときに、opennet.ru、lissyara.su、habrahabr.ru、および他の多くのサイトから、他の多くの資料が使用されました。残念ながら、時間の経過とともに多くのリンクが失われているため、ここのどこかからフラグメントを見つけた場合は、それらにリンクを追加させていただきます。脚本の作成と作成の過程での困難を解決するためのアドバイスと支援をしてくれたAlexei EreskoとValery Drubaに、そして記事の準備を支援してくれたOleg Matusevichに特に感謝します。

Z.Y. この記事の資料を使用する場合、ソースと著者へのリンクを示すことが義務付けられています。

ToFoIn-インターネットのフェイルオーバーを切り替えるか、FreeBSDの2つの外部チャンネルを切り替える

注釈

はじめに

目標と目的

解決策

技術部

装備品

プリセット

スクリプトソース

まとめ

計画

ご質問

More articles: