Undeterministische Verbindungsverluste mit Linuxfirewall, Bonding und Ciscoswitch

[Maximilian Wilhelm]

Am Freitag, den 15 September hub Florian Lohoff folgendes in die Tasten:

[falsches Topologiebild]
> Nicht ganz so wie ich dich verstanden habe 

> LSD ---lan--- switch ---bond--- fw ---bond--- switch ---lan---client

Du hast natuerlich recht, das Bild war bloedsinn.
Ich hatte in Vlans gedacht...

> Auf den Bonds koennten sich pakete ueberholen - D.h. paket 1 ist nach
> paket 2 am ende. Zumindest ist das im moment meine vermutung. Die
> einzelnen interfaces auf dem bond haben queues und im prinzip wird das
> linux nen round-robin machen. Wenn also per zufall ein kleines auf dem
> eth1 und ein grosses auf dem eth0 vor dem nutzpaketen sind ueberholen
> sich 2 pakete. Typischerweise machen cisco und co kein load balancing 
> per round-robin sondern per flow um genau soetwas zu verhindern.

AFAIK macht der Cisco das Balancing per hash der MACs.

Ich hab mich mal ein wenig schlauer gemacht und herausgefunden, dass man
dem Linux bonding modul mitgeben kann, wie er load balancing macht...
Dem kann man u.a. beibringen das auch per 
(src MAC address XOR'd with dst MAC address) modulo slave count
zu machen.

Alternativ auch noch mit "802.3ad" was wohl auf Ciscoseite LACP
erfordern wuerde.

Ich favorisiere stumpfes XOR ohne gross Gedoens, sprich Variante 1.
Damit sollte man race-Problemen ja vorbeugen koennen...

> Du musst im prinzip am LSD und am client tracen - oder - einmal mit und
> einmal ohne bond am client.

> > Ich frage mich nu wo ich am besten Sniffe:
> >  1. Auf der Firewall
> >  2. Ne Bridge zwischen LSD-Server und Firewall
> >  3. Ne Bridge zwischen Client und Firewall

> Monitor port am client - Dann traffic vorher und nachher vergleichen.

Ok, das koennte man auch mal nutzen...
(Ich bin offensichtlich noch nicht faul genug.)

Ich werde mir das ganze naechste Woche mal anschauen, wenn ich wieder in
der Uni bin.

Ciao
Max
-- 
	Follow the white penguin.