Linux LACP bonding: konfigurace, ověření a řešení problémů

Linux LACP bonding kombinuje více ethernetových rozhraní do jediného logického spojení, čímž vám poskytuje větší agregovanou šířku pásma a automatické přepnutí mezi fyzickými síťovými kartami. Využívá standard IEEE 802.3ad, přičemž obě strany (server a switch) se domlouvají, která spojení jsou aktivní a jak se distribuuje provoz. Tento příspěvek se zabývá tím, co LACP vlastně dělá, kdy jej zvolit namísto jiných režimů Linux bonding, jak jej nakonfigurovat na moderním serveru s Linuxem a jak ověřit, že funguje.

Co je agregace linek a LACP?

Agregace linek kombinuje více fyzických síťových připojení do jednoho logického kanálu. Slouží dvěma účelům: zvyšuje celkovou dostupnou šířku pásma v rámci skupiny linek a poskytuje automatické převzetí služeb při selhání, pokud dojde k výpadku kterékoli z jednotlivých linek.

LACP (Link Aggregation Control Protocol) je dynamická verze agregace linek definovaná normou IEEE 802.3ad. Namísto spoléhání se na statickou konfiguraci na obou koncích si LACP vyměňuje řídicí pakety zvané LACPDU mezi serverem a přepínačem. Obě strany se dohodnou, které spoje se připojí k agregaci, monitorují stav každého spoje a podle změny podmínek přidávají členy do skupiny nebo je z ní odebírají.

V kontextu Linuxu běží LACP jako režim 4 (802.3ad) ovladače bonding jádra. Ovladač vytvoří logické rozhraní (obvykle bond0), které vlastní IP adresu, zatímco fyzická rozhraní jako eth0 a eth1 se stávají podřízenými bondu. Z pohledu operačního systému existuje jedno síťové rozhraní. Z pohledu kabeláže existuje více paralelních ethernetových spojů.

Několik věcí, které LACP konkrétně nedělá, ale které lidé často očekávají:

• Jedno TCP připojení stále probíhá přes jedno fyzické připojení. LACP vyvažuje toky, nikoli pakety v rámci toku. Dvě propojená 1GbE připojení nezrychlí stahování nad 1 Gbps.
• LACP vyžaduje přepínač, který podporuje 802.3ad. Nevytvoří spojení s nespravovaným přepínačem nebo přepínačem, který nepodporuje LACP.
• Všechna členská připojení musí běžet se stejnou rychlostí a duplexem. Nelze spojit port 1 GbE s portem 10 GbE.

Režimy bondingu v Linuxu: kdy použít LACP

Ovladač Linux bonding podporuje sedm režimů. Většina produkčních nasazení používá jeden ze tří.

Režim 1: active-backup

Jedno rozhraní je aktivní, ostatní jsou nečinná. Pokud dojde k selhání aktivního rozhraní, převezme jeho funkci jiné rozhraní během několika set milisekund. Není nutná žádná konfigurace přepínače, což z něj činí správnou volbu, pokud jsou přepínače mimo vaši kontrolu nebo nepodporují standard 802.3ad. Získáte redundanci, ale žádnou dodatečnou šířku pásma.

Režim 4: 802.3ad (LACP)

Všichni členové přenášejí provoz. Ovladač propojení a přepínač používají LACP k vyjednání aktivní sady a detekci selhání. Odchozí provoz je rozložen mezi členy pomocí hashové politiky, kterou nakonfigurujete. Toto je standardní volba pro dedikované servery připojené ke spravovaným přepínačům, pokud chcete jak redundanci, tak dodatečnou šířku pásma pro pracovní zatížení s více toky.

Režim 6: balance-alb

Adaptivní vyvažování zátěže v obou směrech, bez nutnosti podpory přepínače. Ovladač zachycuje odpovědi ARP, přepisuje MAC adresy a distribuuje příchozí provoz. Funguje to, ale ve srovnání s LACP je to nestabilní. Používejte to pouze v případě, že konfigurace na straně přepínače je skutečně nemožná.

Pravidlo pro rozhodnutí:

• Žádný spravovaný přepínač, nebo potřebujete pouze failover: režim 1 (active-backup).
• Správaný přepínač, více toků, potřebujete šířku pásma i redundanci: režim 4 (LACP).
• Řízený přepínač není možný, ale potřebujete vyvážení v obou směrech: režim 6 (balance-alb).

Režimy 0 (balance-rr), 2 (balance-xor), 3 (broadcast) a 5 (balance-tlb) existují, ale na moderním hardwaru jsou zřídka tou správnou volbou. Vyberte režim 1 nebo režim 4, pokud nemáte konkrétní důvod, proč tak neučinit.

Konfigurace LACP bonding v Linuxu

Na moderních systémech Ubuntu a Debian se LACP konfiguruje přes netplan. Na RHEL, CentOS Stream, AlmaLinux a Rocky Linux použijte NetworkManager přes nmcli nebo úpravou podkladových souborů připojení.

Netplan (Ubuntu, Debian)

Vložte následující do /etc/netplan/01-lacp.yaml:

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: no
    eth1:
      dhcp4: no
  bonds:
    bond0:
      interfaces: [eth0, eth1]
      addresses: [10.0.0.5/24]
      gateway4: 10.0.0.1
      parameters:
        mode: 802.3ad
        lacp-rate: fast
        mii-monitor-interval: 100
        transmit-hash-policy: layer3+4

Poté použijte příkaz netplan apply. Klíčové parametry:

• mode: 802.3ad zapíná LACP.
• lacp-rate: fast odesílá LACPDU každou sekundu namísto výchozího nastavení 30 sekund. Musí odpovídat nastavení přepínače.
• mii-monitor-interval: 100 zjišťuje stav spojení každých 100 ms.
• transmit-hash-policy: layer3+4 rozděluje toky podle zdrojové/cílové IP adresy a TCP/UDP portu. To zajišťuje lepší vyvážení než výchozí layer2 pro typický webový a databázový provoz.

NetworkManager (RHEL, AlmaLinux, Rocky)

nmcli con add type bond ifname bond0 con-name bond0 \
  bond.options "mode=802.3ad,miimon=100,lacp_rate=fast,xmit_hash_policy=layer3+4"
nmcli con add type ethernet ifname eth0 master bond0
nmcli con add type ethernet ifname eth1 master bond0
nmcli con mod bond0 ipv4.addresses 10.0.0.5/24 ipv4.gateway 10.0.0.1 ipv4.method manual
nmcli con up bond0

Strana přepínače

Switch potřebuje skupinu LAG (často nazývanou port-channel) nakonfigurovanou do aktivního režimu LACP, se stejným počtem členských portů jako bond. Přesná syntaxe se liší podle výrobce, ale požadavky zůstávají stejné: porty musí být ve stejné VLAN, nastaveny na stejnou rychlost a duplex a musí používat aktivní režim LACP alespoň na jedné straně. Nejbezpečnější nastavení je, když je aktivní režim LACP na obou stranách.

Na Cisco IOS:

interface range gigabitethernet0/1 - 2
 channel-group 1 mode active
 channel-protocol lacp

Na Aruba/ProCurve:

trunk 1-2 trk1 lacp

Nastavení lacp_rate nastavení na přepínači musí odpovídat hostiteli. Nesoulad v tomto bodě je jednou z nejčastějších chyb konfigurace LACP a způsobuje přerušované kolísání každých 30 sekund.

Ověření a řešení problémů s LACP

Zkontrolujte aktuální stav spojení na straně Linuxu:

cat /proc/net/bonding/bond0

Ve výstupu hledejte čtyři věci:

1. Bonding Mode: IEEE 802.3ad Dynamic link aggregation potvrzuje, že je načten režim 4.
2. Každé podřízené rozhraní uvedené s MII Status: up a link failure count: 0.
3. nenulovou hodnotou Partner Mac Address pro každé podřízené rozhraní. Pokud jsou zde samé nuly, znamená to, že přepínač vůbec neodesílá pakety LACP, buď proto, že port není v LAG s aktivním LACP, nebo proto, že kabel je zapojen do nesprávného portu.
4. Aggregator ID je na každém členovi stejné. Různá ID znamenají, že členové nejsou ve skutečnosti spojeni, ale fungují nezávisle.

Nejrychlejší kontrolou, zda je šířka pásma využívána, je spuštění iperf3 s více paralelními toky (iperf3 -P 8) z jiného hostitele. Pokud celková propustnost překročí kapacitu jednoho spojení, LACP vyvažuje správně. Test s jedním proudem ukazující rychlost jednoho spojení je očekávané chování, nikoli chyba.

Nejčastější problémy s LACP a jejich příčiny:

• MAC partnera je samá nula: port přepínače není v LAG s aktivním LACP nebo jsou kabely špatně zapojeny.
• Bond se spustí, ale propustnost uvízne na jednom spojení: politika hashování byla pravděpodobně nastavena na výchozí hodnotu layer2, která provádí hashování pouze na cílovou MAC adresu. Přepněte na layer3+4.
• Přerušované kolísání každých 30 sekund: lacp_rate nesoulad mezi hostitelem a přepínačem.
• Jeden podřízený port funguje, ale druhý nikdy nepřenáší provoz: nesoulad rychlosti/duplexu, nebo porty přepínače nejsou na straně přepínače ve stejné skupině LAG.

Kdy LACP není správným řešením

LACP řeší konkrétní problém: agregaci více spojů mezi jedním hostitelem a jedním přepínačem (nebo jedním stackem přepínačů) za účelem získání redundance a šířky pásma na jeden tok. Existují scénáře, ve kterých není tím správným nástrojem.

Pokud potřebujete pouze redundanci a přepínače nepodporují 802.3ad, použijte místo toho režim 1 (active-backup). Funguje s čímkoli.

Pokud potřebujete propojit dva samostatné přepínače pro redundanci na úrovni šasi, standardní LACP nepropojí dva nesouvisející přepínače. Potřebujete Multi-Chassis Link Aggregation (MLAG), kde se dva přepínače prezentují jako jeden logický partner LACP. Většina dodavatelů podnikových přepínačů to implementuje pod svým vlastním názvem: Cisco vPC, Arista MLAG, Juniper MC-LAG.

Pokud potřebujete, aby jeden tok překročil šířku pásma jednoho spojení, LACP to nedokáže. Možnosti jsou použít rychlejší fyzické spojení (nahradit 2x 10 GbE za 1x 25 GbE nebo 1x 40 GbE) nebo použít úplně jinou technologii. SR-IOV poskytuje virtuálním strojům výkon s jedním tokem blížící se rychlosti linky tím, že každému virtuálnímu stroji přidělí hardwarově akcelerovanou virtuální síťovou kartu, ale řeší jiný problém a má svá vlastní omezení. To je téma na samostatný příspěvek.

Pro většinu dedikovaných a kolokačních serverů, které zpracovávají mnoho souběžných připojení, zůstává standardním řešením LACP. Dvě propojené 10 GbE linky s layer3+4 hashingem pohodlně zvládnou více než 18 Gbps souhrnného provozu napříč mnoha toky a zároveň přežijí selhání síťové karty nebo kabelu bez ztráty jediného paketu.