Linux LACP bonding: configurare, verificare și depanare

Linux LACP bonding combină mai multe interfețe Ethernet într-o singură legătură logică, oferindu-vă o lățime de bandă agregată mai mare și failover automat între plăcile de rețea fizice. Utilizează standardul IEEE 802.3ad, ambele părți (serverul și switch-ul) negociind care legături sunt active și cum este distribuit traficul. Acest articol prezintă ce face de fapt LACP, când să îl alegeți în locul celorlalte moduri de legare Linux, cum să îl configurați pe un server Linux modern și cum să verificați dacă funcționează.

Ce este agregarea de legături și LACP?

Agregarea legăturilor combină mai multe conexiuni fizice de rețea într-un singur canal logic. Aceasta are două scopuri: creșterea lățimii de bandă totale disponibile în cadrul grupului de legături și asigurarea unei comutări automate în cazul în care o singură legătură membră se întrerupe.

LACP, Link Aggregation Control Protocol, este versiunea dinamică a agregării de legături definită de IEEE 802.3ad. În loc să se bazeze pe o configurație statică la ambele capete, LACP schimbă pachete de control numite LACPDU între server și switch. Cele două părți negociază care legături se alătură agregării, monitorizează starea fiecărei legături și introduc sau elimină membri din grup pe măsură ce condițiile se schimbă.

În contextul Linux, LACP rulează ca modul 4 (802.3ad) al driverului de legare al kernelului. Driverul creează o interfață logică (de obicei bond0) care deține adresa IP, în timp ce interfețele fizice precum eth0 și eth1 devin subordonate legăturii. Din perspectiva sistemului de operare, există o singură interfață de rețea. Din perspectiva cablului, există mai multe legături Ethernet paralele.

Câteva lucruri pe care LACP nu le face în mod specific, dar pe care oamenii le așteaptă adesea:

• O singură conexiune TCP se transmite în continuare pe o singură legătură fizică. LACP echilibrează fluxurile, nu pachetele dintr-un flux. Două legături 1 GbE legate nu vor face ca o singură descărcare să depășească viteza de 1 Gbps.
• LACP necesită un switch care acceptă 802.3ad. Nu va forma o legătură cu un switch neadministrat sau care nu acceptă LACP.
• Toate legăturile membre trebuie să funcționeze la aceeași viteză și în același mod duplex. Nu puteți lega un port de 1 GbE cu un port de 10 GbE.

Moduri de bonding Linux: când se utilizează LACP

Driverul de bonding Linux acceptă șapte moduri. Majoritatea implementărilor de producție utilizează unul dintre cele trei.

Modul 1: activ-rezervă

O singură interfață membră este activă, celelalte rămân inactive. Dacă cea activă se defectează, alta preia controlul în câteva sute de milisecunde. Nu este necesară nicio configurare a comutatorului, ceea ce face ca aceasta să fie alegerea potrivită atunci când comutatoarele sunt în afara controlului dvs. sau nu acceptă 802.3ad. Obțineți redundanță, dar fără lățime de bandă suplimentară.

Modul 4: 802.3ad (LACP)

Toți membrii transportă trafic. Driverul de legătură și switch-ul utilizează LACP pentru a negocia setul activ și a detecta defecțiunile. Traficul de ieșire este echilibrat între membri utilizând o politică hash pe care o configurați. Aceasta este alegerea standard pentru serverele dedicate conectate la switch-uri gestionate atunci când doriți atât redundanță, cât și lățime de bandă suplimentară pentru sarcini de lucru cu fluxuri multiple.

Modul 6: balance-alb

Echilibrare adaptivă a încărcării în ambele direcții, fără a necesita suportul switch-ului. Driverul interceptează răspunsurile ARP pentru a rescrie adresele MAC și a distribui traficul de intrare. Funcționează, dar este fragil în comparație cu LACP. Utilizați-l numai atunci când configurarea părții switch-ului este cu adevărat imposibilă.

Regula de decizie:

• Fără switch gestionat sau aveți nevoie doar de failover: modul 1 (active-backup).
• Switch gestionat, fluxuri multiple, doriți atât lățime de bandă, cât și redundanță: modul 4 (LACP).
• Switch-ul gestionat este imposibil, dar aveți nevoie de echilibrare în ambele direcții: modul 6 (balance-alb).

Modurile 0 (balance-rr), 2 (balance-xor), 3 (broadcast) și 5 (balance-tlb) există, dar sunt rareori alegerea potrivită pe hardware-ul modern. Alegeți modul 1 sau modul 4, cu excepția cazului în care aveți un motiv specific să nu o faceți.

Configurarea legăturii LACP pe Linux

Pe sistemele moderne Ubuntu și Debian, LACP se configurează prin netplan. Pe RHEL, CentOS Stream, AlmaLinux și Rocky Linux, utilizați NetworkManager prin nmcli sau prin editarea fișierelor de conexiune subiacente.

Netplan (Ubuntu, Debian)

Introduceți următoarele în /etc/netplan/01-lacp.yaml:

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: no
    eth1:
      dhcp4: no
  bonds:
    bond0:
      interfaces: [eth0, eth1]
      addresses: [10.0.0.5/24]
      gateway4: 10.0.0.1
      parameters:
        mode: 802.3ad
        lacp-rate: fast
        mii-monitor-interval: 100
        transmit-hash-policy: layer3+4

Apoi aplicați cu netplan apply. Parametrii cheie:

• mode: 802.3ad activează LACP.
• lacp-rate: fast trimite LACPDU-uri la fiecare secundă în loc de intervalul implicit de 30 de secunde. Trebuie să corespundă setării switch-ului.
• mii-monitor-interval: 100 verifică starea legăturii la fiecare 100 ms.
• transmit-hash-policy: layer3+4 distribuie fluxurile în funcție de IP-ul sursă/destinație și portul TCP/UDP. Acest lucru produce un echilibru mai bun decât layer2 pentru traficul tipic de web și baze de date.

NetworkManager (RHEL, AlmaLinux, Rocky)

nmcli con add type bond ifname bond0 con-name bond0 \
  bond.options "mode=802.3ad,miimon=100,lacp_rate=fast,xmit_hash_policy=layer3+4"
nmcli con add type ethernet ifname eth0 master bond0
nmcli con add type ethernet ifname eth1 master bond0
nmcli con mod bond0 ipv4.addresses 10.0.0.5/24 ipv4.gateway 10.0.0.1 ipv4.method manual
nmcli con up bond0

Partea switch-ului

Switch-ul are nevoie de un grup LAG (denumit adesea port-channel) configurat în modul activ LACP, cu același număr de porturi membre ca și legătura. Sintaxa exactă variază în funcție de furnizor, dar cerințele nu: porturile trebuie să se afle în același VLAN, să fie setate la aceeași viteză și duplex și să utilizeze modul activ LACP pe cel puțin o parte. Configurația cea mai sigură este cea în care ambele părți sunt active.

Pe Cisco IOS:

interface range gigabitethernet0/1 - 2
 channel-group 1 mode active
 channel-protocol lacp

Pe Aruba/ProCurve:

trunk 1-2 trk1 lacp

Setarea lacp_rate setarea de pe switch trebuie să corespundă cu cea de pe gazdă. O neconcordanță aici este una dintre cele mai frecvente erori de configurare LACP și provoacă flapping intermitent la fiecare 30 de secunde.

Verificarea și depanarea LACP

Verificați starea în timp real a legăturii pe partea Linux:

cat /proc/net/bonding/bond0

Patru lucruri de urmărit în ieșire:

1. Bonding Mode: IEEE 802.3ad Dynamic link aggregation confirmă că modul 4 este încărcat.
2. Fiecare interfață subordonată listată cu MII Status: up și link failure count: 0.
3. Un Partner Mac Address pentru fiecare subordonat. Dacă aici sunt numai zerouri, înseamnă că switch-ul nu trimite deloc pachete LACP, fie pentru că portul nu se află într-un LAG activ LACP, fie pentru că cablul este conectat la un port greșit.
4. Aggregator ID este același pe fiecare membru. ID-urile diferite înseamnă că membrii nu sunt de fapt combinați, ci acționează independent.

Cea mai rapidă verificare a faptului că lățimea de bandă este utilizată este rularea iperf3 cu mai multe fluxuri paralele (iperf3 -P 8) de pe o altă gazdă. Dacă debitul total depășește capacitatea unei singure legături, LACP echilibrează corect. Un test cu un singur flux care arată viteza unei singure legături este un comportament așteptat, nu o eroare.

Cele mai frecvente probleme LACP și cauzele lor:

• MAC-ul partenerului este format numai din zerouri: portul switch-ului nu se află într-un LAG activ LACP sau cablurile sunt conectate greșit.
• Legătura se activează, dar debitul este blocat pe o singură legătură: politica de hash a fost probabil setată implicit la layer2, care efectuează hash-ul doar pe MAC-ul de destinație. Treceți la layer3+4.
• Fluturări intermitente la fiecare 30 de secunde: lacp_rate nepotrivire între gazdă și switch.
• Un subordonat funcționează, dar celălalt nu transportă niciodată trafic: nepotrivire de viteză/duplex sau porturile switch-ului nu se află în același grup LAG pe partea switch-ului.

Când LACP nu este soluția potrivită

LACP rezolvă o problemă specifică: agregarea mai multor legături între o gazdă și un comutator (sau o stivă de comutatoare) pentru a obține redundanță și lățime de bandă per flux. Există scenarii în care acesta nu este instrumentul potrivit.

Dacă aveți nevoie doar de redundanță și switch-urile nu acceptă 802.3ad, utilizați în schimb modul 1 (active-backup). Acesta funcționează cu orice.

Dacă aveți nevoie de o legătură între două switch-uri separate pentru redundanță la nivel de șasiu, LACP standard nu va acoperi două switch-uri fără legătură între ele. Aveți nevoie de Multi-Chassis Link Aggregation (MLAG), unde două switch-uri se prezintă ca un singur partener LACP logic. Majoritatea furnizorilor de switch-uri pentru întreprinderi implementează acest lucru sub propriul nume: Cisco vPC, Arista MLAG, Juniper MC-LAG.

Dacă aveți nevoie ca un singur flux să depășească lățimea de bandă a unei legături, LACP nu poate face acest lucru. Opțiunile sunt să utilizați o legătură fizică mai rapidă (înlocuiți 2x 10 GbE cu 1x 25 GbE sau 1x 40 GbE) sau să utilizați o tehnologie complet diferită. SR-IOV oferă performanță de flux unic aproape de viteza liniei pentru mașinile virtuale, oferind fiecărei mașini virtuale o placă de rețea virtuală accelerată hardware, dar rezolvă o problemă diferită și are propriile sale constrângeri. Acesta este un subiect pentru un articol separat.

Pentru majoritatea serverelor dedicate și de colocare care gestionează multe conexiuni simultane, LACP rămâne răspunsul standard. Două legături 10 GbE legate cu layer3+4 hashing gestionează cu ușurință peste 18 Gbps de trafic agregat pe mai multe fluxuri, rezistând în același timp la o defecțiune a plăcii de rețea sau a cablului fără a pierde niciun pachet.