Kết nối Linux LACP: cấu hình, xác minh và khắc phục sự cố

Linux LACP bonding kết hợp nhiều giao diện Ethernet thành một liên kết logic duy nhất, mang lại băng thông tổng hợp lớn hơn và khả năng chuyển đổi tự động giữa các NIC vật lý. Nó sử dụng tiêu chuẩn IEEE 802.3ad, trong đó cả hai bên (máy chủ và bộ chuyển mạch) đàm phán để xác định các liên kết nào đang hoạt động và cách lưu lượng được phân phối. Bài viết này trình bày về chức năng thực tế của LACP, khi nào nên chọn LACP thay vì các chế độ kết nối khác của Linux, cách cấu hình trên máy chủ Linux hiện đại và cách xác minh hoạt động của nó.

Tập hợp liên kết và LACP là gì?

Tập hợp liên kết kết hợp nhiều kết nối mạng vật lý thành một kênh logic. Nó phục vụ hai mục đích: tăng tổng băng thông có sẵn trên toàn bộ nhóm liên kết và cung cấp chuyển đổi dự phòng tự động nếu bất kỳ liên kết thành viên nào bị ngắt.

LACP (Link Aggregation Control Protocol) là phiên bản động của liên kết tổng hợp được định nghĩa bởi tiêu chuẩn IEEE 802.3ad. Thay vì dựa vào cấu hình tĩnh ở cả hai đầu, LACP trao đổi các gói điều khiển gọi là LACPDUs giữa máy chủ và bộ chuyển mạch. Hai bên đàm phán để xác định các liên kết nào sẽ tham gia vào nhóm, theo dõi tình trạng hoạt động của từng liên kết và đưa các thành viên vào hoặc ra khỏi nhóm khi điều kiện thay đổi.

Trong bối cảnh Linux, LACP chạy ở chế độ 4 (802.3ad) của trình điều khiển bonding kernel. Trình điều khiển này tạo ra một giao diện logic (thường là bond0) sở hữu địa chỉ IP, trong khi các giao diện vật lý như eth0 và eth1 trở thành các thành phần phụ thuộc của liên kết. Từ góc độ hệ điều hành, chỉ có một giao diện mạng. Từ góc độ đường truyền, có nhiều liên kết ethernet song song.

Một số điều mà LACP cụ thể không làm, mà mọi người thường mong đợi:

• Một kết nối TCP duy nhất vẫn truyền qua một liên kết vật lý. LACP cân bằng các luồng, không phải các gói tin trong một luồng. Hai liên kết 1 GbE được liên kết sẽ không làm cho một lần tải xuống duy nhất nhanh hơn 1 Gbps.
• LACP yêu cầu một bộ chuyển mạch hỗ trợ 802.3ad. Nó sẽ không tạo liên kết với bộ chuyển mạch không được quản lý hoặc không hỗ trợ LACP.
• Tất cả các liên kết thành viên phải chạy ở cùng tốc độ và chế độ duplex. Bạn không thể kết hợp cổng 1 GbE với cổng 10 GbE.

Các chế độ liên kết Linux: khi nào nên sử dụng LACP

Trình điều khiển liên kết Linux hỗ trợ bảy chế độ. Hầu hết các triển khai sản xuất sử dụng một trong ba chế độ sau.

Chế độ 1: active-backup

Một giao diện thành viên đang hoạt động, các giao diện khác ở trạng thái không hoạt động. Nếu giao diện đang hoạt động gặp sự cố, giao diện khác sẽ thay thế trong vòng vài trăm mili giây. Không cần cấu hình công tắc, điều này làm cho đây trở thành lựa chọn phù hợp khi các công tắc nằm ngoài tầm kiểm soát của bạn hoặc không hỗ trợ 802.3ad. Bạn có được tính dự phòng nhưng không có băng thông bổ sung.

Chế độ 4: 802.3ad (LACP)

Tất cả các thành viên đều truyền tải lưu lượng. Trình điều khiển liên kết và bộ chuyển mạch sử dụng LACP để thương lượng bộ hoạt động và phát hiện lỗi. Lưu lượng đi được cân bằng giữa các thành viên bằng cách sử dụng chính sách băm mà bạn cấu hình. Đây là lựa chọn tiêu chuẩn cho các máy chủ chuyên dụng được kết nối với các bộ chuyển mạch được quản lý khi bạn muốn có cả tính dự phòng và băng thông bổ sung cho các khối lượng công việc đa luồng.

Chế độ 6: balance-alb

Cân bằng tải thích ứng ở cả hai hướng, không yêu cầu hỗ trợ từ bộ chuyển mạch. Trình điều khiển chặn các phản hồi ARP để viết lại địa chỉ MAC và phân phối lưu lượng đến. Tính năng này hoạt động, nhưng không ổn định so với LACP. Chỉ sử dụng tính năng này khi thực sự không thể cấu hình phía bộ chuyển mạch.

Quy tắc quyết định:

• Không có bộ chuyển mạch được quản lý, hoặc bạn chỉ cần chuyển đổi dự phòng: chế độ 1 (active-backup).
• Có bộ chuyển mạch được quản lý, nhiều luồng, muốn cả băng thông và dự phòng: chế độ 4 (LACP).
• Không thể sử dụng bộ chuyển mạch được quản lý nhưng bạn cần cân bằng cả hai hướng: chế độ 6 (balance-alb).

Các chế độ 0 (balance-rr), 2 (balance-xor), 3 (broadcast) và 5 (balance-tlb) tồn tại nhưng hiếm khi là lựa chọn phù hợp trên phần cứng hiện đại. Hãy chọn chế độ 1 hoặc chế độ 4 trừ khi bạn có lý do cụ thể để không làm vậy.

Cấu hình liên kết LACP trên Linux

Trên các hệ thống Ubuntu và Debian hiện đại, LACP được cấu hình thông qua netplan. Trên RHEL, CentOS Stream, AlmaLinux và Rocky Linux, hãy sử dụng NetworkManager thông qua nmcli hoặc bằng cách chỉnh sửa các tệp kết nối cơ bản.

Netplan (Ubuntu, Debian)

Thêm đoạn sau vào /etc/netplan/01-lacp.yaml:

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: no
    eth1:
      dhcp4: no
  bonds:
    bond0:
      interfaces: [eth0, eth1]
      addresses: [10.0.0.5/24]
      gateway4: 10.0.0.1
      parameters:
        mode: 802.3ad
        lacp-rate: fast
        mii-monitor-interval: 100
        transmit-hash-policy: layer3+4

Sau đó áp dụng bằng netplan apply. Các tham số chính:

• mode: 802.3ad kích hoạt LACP.
• lacp-rate: fast gửi LACPDU mỗi giây thay vì mặc định là 30 giây. Phải khớp với cài đặt của bộ chuyển mạch.
• mii-monitor-interval: 100 kiểm tra trạng thái liên kết mỗi 100 ms.
• transmit-hash-policy: layer3+4 phân phối luồng theo địa chỉ IP nguồn/đích và cổng TCP/UDP. Điều này mang lại sự cân bằng tốt hơn so với layer2 cho lưu lượng web và cơ sở dữ liệu thông thường.

NetworkManager (RHEL, AlmaLinux, Rocky)

nmcli con add type bond ifname bond0 con-name bond0 \
  bond.options "mode=802.3ad,miimon=100,lacp_rate=fast,xmit_hash_policy=layer3+4"
nmcli con add type ethernet ifname eth0 master bond0
nmcli con add type ethernet ifname eth1 master bond0
nmcli con mod bond0 ipv4.addresses 10.0.0.5/24 ipv4.gateway 10.0.0.1 ipv4.method manual
nmcli con up bond0

Phía bộ chuyển mạch

Bộ chuyển mạch cần có một nhóm LAG (thường được gọi là kênh cổng) được cấu hình ở chế độ hoạt động LACP, với số lượng cổng thành viên giống như liên kết. Cú pháp chính xác khác nhau tùy theo nhà cung cấp, nhưng các yêu cầu thì giống nhau: các cổng phải nằm trong cùng một VLAN, được đặt cùng tốc độ và chế độ song công, và sử dụng chế độ hoạt động LACP ở ít nhất một bên. Cả hai bên đều hoạt động là thiết lập an toàn nhất.

Trên Cisco IOS:

interface range gigabitethernet0/1 - 2
 channel-group 1 mode active
 channel-protocol lacp

Trên Aruba/ProCurve:

trunk 1-2 trk1 lacp

Thiết lập lacp_rate cài đặt trên bộ chuyển mạch phải khớp với máy chủ. Sự không khớp ở đây là một trong những lỗi cấu hình LACP phổ biến nhất và gây ra hiện tượng flapping không liên tục cứ sau 30 giây.

Kiểm tra và khắc phục sự cố LACP

Kiểm tra trạng thái hoạt động của liên kết trên hệ điều hành Linux:

cat /proc/net/bonding/bond0

Bốn điều cần chú ý trong kết quả:

1. Bonding Mode: IEEE 802.3ad Dynamic link aggregation xác nhận chế độ 4 đã được tải.
2. Mỗi giao diện phụ được liệt kê với MII Status: up và link failure count: 0.
3. một giá trị khác 0 Partner Mac Address cho mỗi giao diện phụ. Tất cả các giá trị đều là 0 ở đây có nghĩa là bộ chuyển mạch không gửi gói tin LACP nào cả, hoặc vì cổng đó không nằm trong LAG hoạt động LACP, hoặc vì cáp được cắm vào cổng sai.
4. Aggregator ID là giống nhau trên mọi thành viên. Các ID khác nhau có nghĩa là các thành viên không thực sự được kết hợp, mà đang hoạt động độc lập.

Cách kiểm tra nhanh nhất để xác định băng thông đang được sử dụng là chạy iperf3 với nhiều luồng song song (iperf3 -P 8) từ một máy chủ khác. Nếu tổng thông lượng vượt quá dung lượng của một liên kết, LACP đang cân bằng chính xác. Thử nghiệm một luồng duy nhất hiển thị tốc độ của một liên kết là hành vi dự kiến, không phải là lỗi.

Các vấn đề LACP phổ biến nhất và nguyên nhân của chúng:

• MAC đối tác toàn là số 0: cổng chuyển mạch không nằm trong LAG hoạt động LACP, hoặc cáp bị cắm sai.
• Bond hoạt động nhưng thông lượng bị kẹt ở một liên kết: chính sách băm có thể được đặt mặc định thành layer2, chỉ băm dựa trên địa chỉ MAC đích. Chuyển sang layer3+4.
• Tình trạng ngắt kết nối ngắt quãng cứ sau 30 giây: lacp_rate không khớp giữa máy chủ và bộ chuyển mạch.
• Một thiết bị phụ hoạt động nhưng thiết bị còn lại không bao giờ truyền tải lưu lượng: không khớp về tốc độ/chế độ duplex, hoặc các cổng chuyển mạch không nằm trong cùng một nhóm LAG ở phía chuyển mạch.

Khi LACP không phải là giải pháp phù hợp

LACP giải quyết một vấn đề cụ thể: tổng hợp nhiều liên kết giữa một máy chủ và một bộ chuyển mạch (hoặc một ngăn xếp bộ chuyển mạch) để đạt được tính dự phòng và băng thông cho từng luồng. Có những trường hợp mà nó không phải là công cụ phù hợp.

Nếu bạn chỉ cần dự phòng và các thiết bị chuyển mạch không hỗ trợ 802.3ad, hãy sử dụng chế độ 1 (active-backup) thay thế. Chế độ này hoạt động với mọi thiết bị.

Nếu bạn cần kết nối qua hai bộ chuyển mạch riêng biệt để có tính dự phòng ở cấp khung máy, LACP tiêu chuẩn sẽ không kết nối hai bộ chuyển mạch không liên quan với nhau. Bạn cần sử dụng Multi-Chassis Link Aggregation (MLAG), trong đó hai bộ chuyển mạch sẽ xuất hiện như một đối tác LACP logic duy nhất. Hầu hết các nhà cung cấp bộ chuyển mạch doanh nghiệp đều triển khai tính năng này dưới tên riêng của họ: Cisco vPC, Arista MLAG, Juniper MC-LAG.

Nếu bạn cần một luồng dữ liệu vượt quá băng thông của một liên kết, LACP không thể làm được điều này. Các tùy chọn là sử dụng liên kết vật lý nhanh hơn (thay thế 2x 10 GbE bằng 1x 25 GbE hoặc 1x 40 GbE), hoặc sử dụng công nghệ hoàn toàn khác. SR-IOV cung cấp hiệu suất luồng đơn gần bằng tốc độ đường truyền cho các máy ảo bằng cách cấp cho mỗi VM một NIC ảo được tăng tốc bằng phần cứng, nhưng nó giải quyết một vấn đề khác và có những hạn chế riêng. Đó là chủ đề cho một bài viết riêng.

Đối với hầu hết các máy chủ chuyên dụng và máy chủ colocation xử lý nhiều kết nối đồng thời, LACP vẫn là giải pháp tiêu chuẩn. Hai liên kết 10 GbE được liên kết với layer3+4 phương pháp băm có thể dễ dàng xử lý lưu lượng tổng hợp trên 18 Gbps trên nhiều luồng đồng thời vẫn hoạt động bình thường ngay cả khi NIC hoặc cáp bị lỗi mà không làm mất gói tin nào.