W większości sieci korporacyjnych czy nawet dostawców usług hostingowych firewall jest tzw. elementem single point of failure. W konsekwencji w przypadku awarii całe rozwiązanie może stać się niedostępne. Przedstawiony schemat zaopatrzony jest w kilka (np. dwa) firewalle które są w stanie pracować w trybie active-passive lub też active-active. K2 wykorzystuje do tego otwarty system operacyjny OpenBSD wraz z narzędziami CARP (Common Address Redundancy Protocol) oraz pfsync.

CARP i pfsync działają w obrębie warstwy łącza oraz warstwy sieci modelu OSI i do wymiany komunikatów używane są pakiety multicast. Dodatkowo pomiędzy firewallami działa wymiana sesji za pomocą protokołu pfsync, który umożliwia zachowanie informacji o bieżących stanach połączeń na każdej z maszyn.

Zasada działania ustawienia active-passive, gdzie jeden firewall jest aktywny i obsługuje ruch, a drugi jest swego rodzajem hot-swap'em, który uaktywnia się w momencie, gdy fw1 przestaje działać, jest prosta. Grupy adresów IP w interfejsach CARP oraz wirtualne MAC adresy na dwóch hostach są identyczne. Gdy fw1 jest aktywny i obsługuje ruch, jednocześnie rozsyła komunikaty o swojej dostępności wraz z informacją o aktualnych połączeniach IP poprzez odpowiednio protokół CARP i pfsync. Fw2 który jest w trybie passive, odbiera te komunikaty oraz dane i aktualizuje w kernelu tablice stanów połączeń. W wypadku gdy fw1 ulegnie awarii i przestaje nadawać komunikaty, Fw2 staje się aktywny i sam zaczyna rozgłaszać pakiety CARP. Dzięki wymianie stanów sesji TCP/IP przełączenie pomiędzy firewallami nie skutkuje przerwaniem bieżących połączeń sieciowych.

W niektórych przypadkach jest potrzeba rozszerzenia tego rozwiązania tak, aby obydwa firewalle obsługiwały jednocześnie cały ruch (active/active), czyli oprócz cechy fail-over, zyskujemy również load-balancing przychodzącego ruchu. Może być to konieczne np., jeśli wielkość ruchu jest tak duża, że pojedynczy firewall nie jest w stanie go obsłużyć – np. ilość ruchu jest większa niż przepustowość karty sieciowej w firewallu. W tym wypadku CARP wraz pfsynciem również radzą sobie dobrze. Konfiguracja wygląda niemal identycznie, tym razem jednak współdzielone adresy IP istnieją w różnych grupach CARPowych, a tym samym mają inne MAC adresy. Każdy z firewalli jest masterem w swojej grupie, dzięki czemu każdy jest aktywny i obsługuje ruch dla współdzielonego IP. Ruch jest rozkładany za pomocą algorytmu hashującego na podstawie adresu źródłowego nadawcy pakietu. Połączenia z tego samego IP zawsze będą więc obsłużone przez ten sam firewall.