Agrégation LACP sous Linux : configuration, vérification et dépannage

L'agrégation LACP sous Linux combine plusieurs interfaces Ethernet en une seule liaison logique, vous offrant ainsi une bande passante agrégée plus importante et un basculement automatique entre les cartes réseau physiques. Elle utilise la norme IEEE 802.3ad, les deux côtés (serveur et commutateur) négociant quelles liaisons sont actives et comment le trafic est réparti. Cet article explique ce que fait réellement le LACP, quand le choisir plutôt que les autres modes de regroupement sous Linux, comment le configurer sur un serveur Linux moderne et comment vérifier qu'il fonctionne.

Qu'est-ce que l'agrégation de liens et le LACP ?

L'agrégation de liens combine plusieurs connexions réseau physiques en un seul canal logique. Elle remplit deux fonctions : augmenter la bande passante totale disponible sur l'ensemble du groupe de liens et assurer un basculement automatique en cas de défaillance d'un lien membre.

Le LACP (Link Aggregation Control Protocol) est la version dynamique de l'agrégation de liens définie par la norme IEEE 802.3ad. Au lieu de s'appuyer sur une configuration statique aux deux extrémités, le LACP échange des paquets de contrôle appelés LACPDU entre le serveur et le commutateur. Les deux parties négocient les liaisons à inclure dans l'agrégation, surveillent l'état de chaque liaison et intègrent ou excluent des membres du groupe en fonction de l'évolution des conditions.

Dans un contexte Linux, LACP fonctionne en mode 4 (802.3ad) du pilote de liaison du noyau. Le pilote crée une interface logique (généralement bond0) qui détient l'adresse IP, tandis que les interfaces physiques telles que eth0 et eth1 deviennent subordonnées à la liaison. Du point de vue du système d'exploitation, il n'y a qu'une seule interface réseau. Du point de vue physique, il existe plusieurs liaisons Ethernet parallèles.

Voici quelques choses que le LACP ne fait pas spécifiquement, contrairement à ce que l'on pourrait croire :

• Une connexion TCP unique continue de transiter sur une seule liaison physique. LACP équilibre les flux, et non les paquets au sein d’un flux. Deux liaisons 1 GbE agrégées ne permettront pas à un téléchargement unique d’atteindre un débit supérieur à 1 Gbps.
• Le LACP nécessite un commutateur prenant en charge la norme 802.3ad. Il ne formera pas de liaison avec un commutateur non géré ou non compatible LACP.
• Toutes les liaisons membres doivent fonctionner à la même vitesse et en mode duplex identique. Il n'est pas possible de lier un port 1 GbE à un port 10 GbE.

Modes de bonding Linux : quand utiliser LACP

Le pilote de liaison Linux prend en charge sept modes. La plupart des déploiements en production utilisent l'un des trois modes suivants.

Mode 1 : active-backup

Une interface membre est active, les autres restent inactives. Si l'interface active tombe en panne, une autre prend le relais en quelques centaines de millisecondes. Aucune configuration de commutateur n'est nécessaire, ce qui en fait le choix idéal lorsque les commutateurs échappent à votre contrôle ou ne prennent pas en charge la norme 802.3ad. Vous bénéficiez d'une redondance, mais pas de bande passante supplémentaire.

Mode 4 : 802.3ad (LACP)

Tous les membres acheminent le trafic. Le pilote de regroupement et le commutateur utilisent LACP pour négocier l'ensemble actif et détecter les défaillances. Le trafic sortant est réparti entre les membres selon une politique de hachage que vous configurez. C'est le choix standard pour les serveurs dédiés connectés à des commutateurs gérés lorsque vous souhaitez à la fois une redondance et une bande passante supplémentaire pour les charges de travail à flux multiples.

Mode 6 : balance-alb

Équilibrage de charge adaptatif dans les deux sens, sans nécessiter de prise en charge par le commutateur. Le pilote intercepte les réponses ARP pour réécrire les adresses MAC et distribuer le trafic entrant. Cela fonctionne, mais c'est fragile par rapport au LACP. Ne l'utilisez que lorsque la configuration côté commutateur est véritablement impossible.

Règle de décision :

• Pas de commutateur géré, ou si vous avez uniquement besoin d'un basculement : mode 1 (active-backup).
• Commutateur géré, flux multiples, vous souhaitez à la fois de la bande passante et de la redondance : mode 4 (LACP).
• Pas de commutateur géré mais besoin d'un équilibrage dans les deux sens : mode 6 (balance-alb).

Les modes 0 (balance-rr), 2 (balance-xor), 3 (broadcast) et 5 (balance-tlb) existent, mais constituent rarement le bon choix sur le matériel moderne. Choisissez le mode 1 ou le mode 4, sauf si vous avez une raison spécifique de ne pas le faire.

Configuration de l'agrégation LACP sous Linux

Sur les systèmes Ubuntu et Debian modernes, LACP se configure via netplan. Sur RHEL, CentOS Stream, AlmaLinux et Rocky Linux, utilisez NetworkManager via nmcli ou en modifiant les fichiers de connexion sous-jacents.

Netplan (Ubuntu, Debian)

Ajoutez ce qui suit dans /etc/netplan/01-lacp.yaml:

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: no
    eth1:
      dhcp4: no
  bonds:
    bond0:
      interfaces: [eth0, eth1]
      addresses: [10.0.0.5/24]
      gateway4: 10.0.0.1
      parameters:
        mode: 802.3ad
        lacp-rate: fast
        mii-monitor-interval: 100
        transmit-hash-policy: layer3+4

Puis appliquez avec netplan apply. Les paramètres clés :

• mode: 802.3ad active LACP.
• lacp-rate: fast envoie des LACPDU toutes les secondes au lieu des 30 secondes par défaut. Doit correspondre au paramètre du commutateur.
• mii-monitor-interval: 100 interroge l'état de la liaison toutes les 100 ms.
• transmit-hash-policy: layer3+4 répartit les flux en fonction de l'adresse IP source/destination et du port TCP/UDP. Cela permet d'obtenir un meilleur équilibrage que la layer2 pour le trafic Web et de base de données classique.

NetworkManager (RHEL, AlmaLinux, Rocky)

nmcli con add type bond ifname bond0 con-name bond0 \
  bond.options "mode=802.3ad,miimon=100,lacp_rate=fast,xmit_hash_policy=layer3+4"
nmcli con add type ethernet ifname eth0 master bond0
nmcli con add type ethernet ifname eth1 master bond0
nmcli con mod bond0 ipv4.addresses 10.0.0.5/24 ipv4.gateway 10.0.0.1 ipv4.method manual
nmcli con up bond0

Côté commutateur

Le commutateur nécessite un groupe LAG (souvent appelé « port-channel ») configuré en mode LACP actif, avec le même nombre de ports membres que le bond. La syntaxe exacte varie selon le fournisseur, mais les exigences restent les mêmes : les ports doivent se trouver dans le même VLAN, être réglés sur la même vitesse et le même mode duplex, et utiliser le mode LACP actif sur au moins un côté. La configuration la plus sûre consiste à activer le mode LACP actif des deux côtés.

Sur Cisco IOS :

interface range gigabitethernet0/1 - 2
 channel-group 1 mode active
 channel-protocol lacp

Sur Aruba/ProCurve :

trunk 1-2 trk1 lacp

Le lacp_rate paramètre du commutateur doit correspondre à celui de l'hôte. Une non-correspondance à ce niveau est l'une des erreurs de configuration LACP les plus courantes et provoque des fluctuations intermittentes toutes les 30 secondes.

Vérification et dépannage du LACP

Vérifiez l'état en temps réel de la liaison agrégée côté Linux :

cat /proc/net/bonding/bond0

Quatre éléments à rechercher dans la sortie :

1. Bonding Mode: IEEE 802.3ad Dynamic link aggregation confirme que le mode 4 est chargé.
2. Chaque interface subordonnée répertoriée avec MII Status: up et link failure count: 0.
3. Une valeur non nulle Partner Mac Address pour chaque interface subordonnée. Si tous les chiffres sont à zéro, cela signifie que le commutateur n'envoie aucun paquet LACP, soit parce que le port ne fait pas partie d'un LAG LACP actif, soit parce que le câble est branché sur le mauvais port.
4. Aggregator ID est identique sur tous les membres. Des ID différents signifient que les membres ne sont pas réellement combinés, ils agissent indépendamment.

Le moyen le plus rapide de vérifier que la bande passante est utilisée consiste à exécuter iperf3 avec plusieurs flux parallèles (iperf3 -P 8) depuis un autre hôte. Si le débit total dépasse la capacité d'une seule liaison, le LACP effectue correctement l'équilibrage. Un test à flux unique indiquant la vitesse d'une seule liaison est un comportement attendu, et non un bug.

Problèmes LACP les plus courants et leurs causes :

• L'adresse MAC du partenaire est composée uniquement de zéros : le port du commutateur ne fait pas partie d'un LAG LACP actif, ou les câbles sont mal raccordés.
• La liaison est établie mais le débit reste bloqué sur une seule liaison : la politique de hachage a probablement été définie par défaut sur layer2, qui effectue le hachage uniquement sur l'adresse MAC de destination. Passez à layer3+4.
• Fluctuation intermittente toutes les 30 secondes : lacp_rate incompatibilité entre l'hôte et le commutateur.
• Un subordonné fonctionne mais l'autre ne transporte jamais de trafic : incompatibilité de vitesse/duplex, ou les ports du commutateur ne font pas partie du même groupe LAG côté commutateur.

Quand LACP n'est pas la bonne solution

Le LACP résout un problème spécifique : l'agrégation de plusieurs liaisons entre un hôte et un commutateur (ou une pile de commutateurs) afin d'obtenir une redondance et une bande passante par flux. Il existe des scénarios dans lesquels ce n'est pas l'outil approprié.

Si vous avez uniquement besoin de redondance et que les commutateurs ne prennent pas en charge la norme 802.3ad, utilisez plutôt le mode 1 (active-backup). Il fonctionne avec tout.

Si vous avez besoin d’agréger deux commutateurs distincts pour une redondance au niveau du châssis, le LACP standard ne reliera pas deux commutateurs non liés. Vous avez besoin de l'agrégation de liens multi-châssis (MLAG), où deux commutateurs se présentent comme un seul partenaire LACP logique. La plupart des fournisseurs de commutateurs d'entreprise implémentent cette fonctionnalité sous leur propre nom : Cisco vPC, Arista MLAG, Juniper MC-LAG.

Si vous avez besoin qu'un flux unique dépasse la bande passante d'une liaison, le LACP ne peut pas le faire. Les options consistent à utiliser une liaison physique plus rapide (remplacer 2x 10 GbE par 1x 25 GbE ou 1x 40 GbE), ou à utiliser une technologie entièrement différente. SR-IOV offre aux machines virtuelles des performances de flux unique proches du débit de la ligne en dotant chaque VM d'une carte réseau virtuelle accélérée par le matériel, mais cette technologie résout un problème différent et comporte ses propres contraintes. Ce sujet fera l'objet d'un article distinct.

Pour la plupart des serveurs dédiés et en colocation gérant de nombreuses connexions simultanées, le LACP reste la solution standard. Deux liaisons 10 GbE agrégées avec layer3+4 hachage gèrent aisément plus de 18 Gbps de trafic agrégé sur de nombreux flux tout en résistant à une défaillance de carte réseau ou de câble sans perdre un seul paquet.