Linux LACP-ühendus: konfigureerimine, kontrollimine ja veaotsing

Linux LACP-ühendus ühendab mitu Etherneti liidest üheks loogiliseks ühenduseks, pakkudes suuremat koondribalaiust ja automaatset varundust füüsiliste võrgukaartide vahel. See kasutab IEEE 802.3ad standardit, kus mõlemad pooled (server ja lüliti) lepivad kokku, millised ühendused on aktiivsed ja kuidas liiklus jaotatakse. Käesolevas postituses käsitletakse seda, mida LACP tegelikult teeb, millal seda teiste Linuxi ühendusrežiimide asemel valida, kuidas seda kaasaegsel Linuxi serveril konfigureerida ja kuidas selle toimimist kontrollida.

Mis on linkide koondamine ja LACP?

Linkide koondamine ühendab mitu füüsilist võrguühendust üheks loogiliseks kanaliks. Sellel on kaks eesmärki: suurendada linkide rühma kogu kättesaadavat ribalaiust ja tagada automaatne varundus, kui mõni üksik link rikkub.

LACP (Link Aggregation Control Protocol) on IEEE 802.3ad standardiga määratletud linkide koondamise dünaamiline versioon. Selle asemel, et tugineda mõlema otsa staatilisele konfiguratsioonile, vahetab LACP serveri ja lüliti vahel kontrollpakette, mida nimetatakse LACPDU-deks. Mõlemad pooled lepivad kokku, millised ühendused liituvad koondamisega, jälgivad iga ühenduse seisundit ja lisavad või eemaldavad liikmeid rühmast vastavalt tingimuste muutumisele.

Linuxi kontekstis töötab LACP tuumiku sidumisdraiveri režiimis 4 (802.3ad). Draiver loob loogilise liidese (tavaliselt bond0), mis omab IP-aadressi, samal ajal kui füüsilised liidesed nagu eth0 ja eth1 muutuvad sideme allüksusteks. Operatsioonisüsteemi seisukohast on olemas üks võrgu liides. Võrgu seisukohast on olemas mitu paralleelset Etherneti ühendust.

Mõned asjad, mida LACP konkreetselt ei tee, kuid mida inimesed sageli ootavad:

• Üks TCP-ühendus kulgeb endiselt ühe füüsilise ühenduse kaudu. LACP tasakaalustab vooge, mitte voo sees olevaid pakette. Kaks ühendatud 1 GbE ühendust ei muuda ühtegi allalaadimist kiiremaks kui 1 Gbps.
• LACP vajab 802.3ad-d toetavat lülitit. See ei moodusta ühendust haldamata või LACP-d mittetoetava lülitiga.
• Kõik liitunud ühendused peavad töötama sama kiiruse ja dupleksiga. 1 GbE porti ei saa ühendada 10 GbE portiga.

Linuxi sidumisrežiimid: millal kasutada LACP-d

Linuxi sidumisdraiver toetab seitset režiimi. Enamik tootmiskeskkondades kasutatakse neist kolmest ühte.

Režiim 1: aktiivne varundus

Üks liides on aktiivne, teised on ooterežiimis. Kui aktiivne liides rikneb, võtab teine selle üle mõne sajandiku sekundi jooksul. Lülitite konfigureerimine ei ole vajalik, mis teeb sellest õige valiku, kui lülitid on teie kontrolli alt väljas või ei toeta 802.3ad. Saate redundantsuse, kuid mitte lisaribalaiust.

Režiim 4: 802.3ad (LACP)

Kõik liikmed edastavad liiklust. Sidumisdraiver ja lüliti kasutavad LACP-d, et leppida kokku aktiivse komplekti ja tuvastada rikkeid. Väljaminev liiklus jaotatakse liikmete vahel teie konfigureeritud hash-poliitika alusel. See on standardvalik hallatavatele lülititele ühendatud pühendatud serverite jaoks, kui soovite nii redundantsust kui ka lisaribalaiust mitmevoo töökoormuste jaoks.

Režiim 6: balance-alb

Kohanduv koormuse tasakaalustamine mõlemas suunas, ilma et oleks vaja lüliti tuge. Draiver peatab ARP-vastused, et kirjutada ümber MAC-aadressid ja jaotada sissetulev liiklus. See toimib, kuid on LACP-ga võrreldes ebastabiilne. Kasutage seda ainult siis, kui lüliti poolel konfigureerimine on tõepoolest võimatu.

Otsustusreegel:

• Haldatavat lülitit pole või vajate ainult varukoopia: režiim 1 (active-backup).
• Haldatav lüliti, mitu voogu, soovite nii ribalaiust kui ka redundantsust: režiim 4 (LACP).
• Haldatavat lülitit pole võimalik kasutada, kuid vajate mõlemas suunas koormuse tasakaalustamist: režiim 6 (balance-alb).

Režiimid 0 (balance-rr), 2 (balance-xor), 3 (broadcast) ja 5 (balance-tlb) on olemas, kuid on kaasaegsel riistvaral harva õige valik. Valige režiim 1 või režiim 4, kui teil pole konkreetset põhjust seda mitte teha.

LACP-ühenduse konfigureerimine Linuxis

Kaasaegsetes Ubuntu ja Debian süsteemides konfigureeritakse LACP netplani kaudu. RHEL, CentOS Stream, AlmaLinux ja Rocky Linuxi puhul kasutage NetworkManagerit nmcli või muutes aluseks olevaid ühendusfaile.

Netplan (Ubuntu, Debian)

Lisage järgmine tekst faili /etc/netplan/01-lacp.yaml:

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: no
    eth1:
      dhcp4: no
  bonds:
    bond0:
      interfaces: [eth0, eth1]
      addresses: [10.0.0.5/24]
      gateway4: 10.0.0.1
      parameters:
        mode: 802.3ad
        lacp-rate: fast
        mii-monitor-interval: 100
        transmit-hash-policy: layer3+4

Seejärel rakendage käskuga netplan apply. Olulised parameetrid:

• mode: 802.3ad lülitab sisse LACP.
• lacp-rate: fast saadab LACPDU-sid iga sekundi järel, mitte 30-sekundilise vaikimisi seadistuse järgi. Peab vastama lüliti seadistusele.
• mii-monitor-interval: 100 kontrollib ühenduse seisundit iga 100 ms järel.
• transmit-hash-policy: layer3+4 jaotab vood allika/siht-IP ja TCP/UDP-pordi järgi. See tagab parema tasakaalu kui vaikimisi layer2 poliitika tüüpilise veebi- ja andmebaasiliikluse puhul.

NetworkManager (RHEL, AlmaLinux, Rocky)

nmcli con add type bond ifname bond0 con-name bond0 \
  bond.options "mode=802.3ad,miimon=100,lacp_rate=fast,xmit_hash_policy=layer3+4"
nmcli con add type ethernet ifname eth0 master bond0
nmcli con add type ethernet ifname eth1 master bond0
nmcli con mod bond0 ipv4.addresses 10.0.0.5/24 ipv4.gateway 10.0.0.1 ipv4.method manual
nmcli con up bond0

Lüliti pool

Lüliti vajab LAG-rühma (mida sageli nimetatakse port-channeliks), mis on konfigureeritud LACP aktiivrežiimile ja millel on sama arv liikmesporte kui sidumisel. Täpne süntaks varieerub tootja järgi, kuid nõuded on samad: pordid peavad olema samas VLAN-is, seadistatud samale kiirusele ja dupleksile ning kasutama LACP aktiivset režiimi vähemalt ühel poolel. Kõige turvalisem seadistus on, kui mõlemad pooled on aktiivsed.

Cisco IOS-is:

interface range gigabitethernet0/1 - 2
 channel-group 1 mode active
 channel-protocol lacp

Aruba/ProCurve-s:

trunk 1-2 trk1 lacp

Lüliti lacp_rate peab vastama hostile. Selle mittevastavus on üks levinumaid LACP-konfiguratsiooni vigu ja põhjustab iga 30 sekundi järel katkendlikku flappingut.

LACP kontrollimine ja veaotsing

Kontrollige sideme reaalajas olekut Linuxi poolel:

cat /proc/net/bonding/bond0

Väljundis tuleb tähelepanu pöörata neljale asjale:

1. Bonding Mode: IEEE 802.3ad Dynamic link aggregation kinnitab, et režiim 4 on laaditud.
2. Iga alluv liides on loetletud koos MII Status: up ja link failure count: 0.
3. mitte-null Partner Mac Address iga alluvale. Kui siin on kõik nullid, tähendab see, et lüliti ei saada üldse LACP-pakette, kas seetõttu, et port ei ole LACP-aktiivses LAG-is, või seetõttu, et kaabel on vales pordis.
4. Aggregator ID on igal liikmel sama. Erinevad ID-d tähendavad, et liikmed ei ole tegelikult ühendatud, vaid tegutsevad iseseisvalt.

Kiireim viis kontrollida, kas ribalaiust kasutatakse, on käivitada iperf3 mitme paralleelse vooga (iperf3 -P 8) teiselt hostilt. Kui koguvõimsus ületab ühe ühenduse võimsuse, toimib LACP õigesti. Ühe voo test, mis näitab ühe ühenduse kiirust, on oodatav käitumine, mitte viga.

Kõige levinumad LACP-probleemid ja nende põhjused:

• Partneri MAC-aadress on täis nulli: lüliti port ei ole LACP-aktiivses LAG-is või kaablid on valesti ühendatud.
• Bond käivitub, kuid läbilaskevõime on takerdunud ühele ühendusele: hash-poliitika on tõenäoliselt vaikimisi seatud layer2, mis teeb hash-i ainult siht-MAC-i järgi. Vahetage layer3+4.
• Juhuslikud ühenduse katkemised iga 30 sekundi järel: lacp_rate vasturääkivus hosti ja lüliti vahel.
• Üks alluv töötab, kuid teine ei edasta kunagi liiklust: kiiruse/dupleksi mittevastavus või lüliti pordid ei kuulu lüliti poolel samasse LAG-gruppi.

Kui LACP ei ole õige lahendus

LACP lahendab konkreetse probleemi: mitme ühenduse koondamine ühe hosti ja ühe lüliti (või ühe lülitite pinu) vahel, et saavutada redundantsust ja voo-põhist ribalaiust. On olukordi, kus see ei ole õige vahend.

Kui vajate ainult redundantsust ja lülitid ei toeta 802.3ad, kasutage selle asemel režiimi 1 (active-backup). See töötab kõigi seadmetega.

Kui vajate kahe eraldi lüliti ühendamist šassii tasandi redundantsuse saavutamiseks, ei hõlma standardne LACP kahte omavahel mitteseotud lülitit. Vajate Multi-Chassis Link Aggregation (MLAG) lahendust, kus kaks lülitit esinevad ühe loogilise LACP-partnerina. Enamik ettevõtte lülitite müüjaid rakendab seda oma nime all: Cisco vPC, Arista MLAG, Juniper MC-LAG.

Kui vajate ühte voogu, mis ületab ühe lingi ribalaiust, ei suuda LACP seda teha. Valikud on kasutada kiiremat füüsilist lingi (asendada 2x 10 GbE 1x 25 GbE või 1x 40 GbE-ga) või kasutada täiesti teistsugust tehnoloogiat. SR-IOV pakub virtuaalmasinatele peaaegu liini kiirusega ühe voo jõudlust, andes igale VM-ile riistvarakiirendatud virtuaalse võrgukaardi, kuid see lahendab teistsugust probleemi ja sellel on oma piirangud. See on teema eraldi postituseks.

Enamiku pühendatud ja kolokatsiooniserverite puhul, mis käitlevad palju samaaegseid ühendusi, jääb LACP standardlahenduseks. Kaks ühendatud 10 GbE ühendust koos layer3+4 hashinguga suudavad hõlpsasti käidelda üle 18 Gbps koondliiklust paljude voogude vahel, samal ajal taludes võrgukaardi või kaabli riket ilma ühtegi paketti kaotamata.