Frage an die Netzwerkprofis: Link Aggregation und Varianten

  • Hallo liebe Netzwerkspezialisten im Portal.


    Das Thema hat mal garnix mit VDR oder Linux zu tun, daher habe ich es mal in der Rubrik "Andere Hardware" reingestellt. Da ich aber weiß, dass hier im Forum sehr kluge Köpfe unterwegs sind dachte ich mir einfach: Versuch macht Kluch. :D


    Also "kurz" mal das Problem erläutert.


    Wir haben in der Firma zwei Standorte. Diese sind nun seit ein paar Jahren mit einer 10MBit Leitung der Telekom direkt vernetzt. Da ich jedoch etwas misstrauisch bei firmeninternen Daten bin, wird der Verkehr über ein IPSec VPN getunnelt. Nun sind inzwischen die Preise etwas angepasst worden und wir haben uns entschieden eine zweite 10MBit Leitung zu beauftragen. So von der Theorie muss man ja nur per LACP einen Trunk definieren und beide Leitungen werden genutzt. Theoretisch jedenfalls. Die Praxis zeigt nun, dass dieses Vorhaben nicht so einfach umzusetzen ist.


    Unsere HP ProCurve Switche sprechen inzwischen wunderbar miteinander über LACP. Der Trunk funktioniert auch. Simuliert man eine Leitungsstörung durch Abziehen eines Kabels, geht es auf der anderen Leitung munter weiter. So soll es sein. Dann habe ich mal mit netio den Durchsatz gemessen und leider feststellen müssen, dass anscheinend nur eine Leitung gleichzeitig genutzt wird. Nach ein paar Stunden Lektüre habe ich auch den Grund dafür gefunden. Die zu nutzende Leitung wird anhand eines Hashwertes aus Sende- und Empfangs-ID ausgewählt (was immer die bei HP auch unter ID verstehen). Kurz und knapp heißt das: zwei Rechner sprechen miteinander immer über die selbe Leitung. Und genau das ist das Problem. Es sprechen ja immer nur die Endpunkte des VPN miteinander - unsere Firewalls. Eine andere Verteilungsstrategie gibt es leider bei den Switchen auch nicht.


    Nun also zu der eigentlichen Frage:
    Kennt jemand ein Gerät, das Netzwerkverkehr quasi "gerecht" (round robin z. B.) auf zwei Leitungen aufteilen kann? Ist so etwas überhaupt machbar bei unterschiedlichen Latenzen? Preislich sollte das im unteren 4-stelligem Bereich darstellbar sein.


    Ich bin für jeden Tip Dankbar. Google hat die Firma Syswan ausgespuckt. Laut deren Produktbeschreibung können die z. B. eine Lastverteilung nach Anzahl der gesendeten und empfangenen Pakete oder Bits vornehmen. Nachteil ist nur, dass es sich um ein komplettes Firewallsystem handelt. Unsere Firewall (IPCop) möchte ich eigentlich behalten.


    Schönen Gruß,
    Saxman2k

    Hardware: Gigabyte GA-970A-D3, AMD Athlon II X2 235e, 4GB RAM, Zotac GeForce 210 Synergy Edition 1GB, Corsair Force3 60GB SSD, Mystique SaTiX-S2 Dual, 6.4" TFT, Atric IR Einschalter Rev.5, Logitech Harmony 900, Samsung LE46A789 full HD LCD, Denon AVR-1910, USB Atmo-Light von Slime
    Software: yaVDR 0.5
    Streaming Client 1: Hauppauge MediaMVP
    Streaming Client 2: Telegant TG100 (wenn ich mal irgendwann die Zeit finde das UPnP-Plugin zu testen)

  • Hallo,


    das gleiche Problem hatte ich vor etlichen Jahren mit Etherchanneling bei Cisco Switches. Wir haben uns dann so beholfen, dass wir die MAC-Adressen der Server so gesetzt haben, dass sie sich gegenseitig nicht stören, da es keine andere Lösungsmöglichkeit gab.


    Die zu nutzende Leitung wird anhand eines Hashwertes aus Sende- und Empfangs-ID ausgewählt (was immer die bei HP auch unter ID verstehen).

    Bei Cisco waren das die untersten Bits aus einem XOR der Source- und Destination MAC Adresse. (bei 2 Leitungen 1 Bit, bei einen Etherchannel mit 4 Leitungen entsprechend 2 Bit)


    Ist so etwas überhaupt machbar bei unterschiedlichen Latenzen?

    So hatte uns das damals Cisco erklärt dass man wegen unterschiedlicher Latenzen kein round-robin anbietet.

  • Hi,


    ich habe vor einiger Zeit auch mal einen solchen Etherchannel (bei Cisco heisst es Channel, bei HP Trunk) eingerichtet. Soweit ich mich erinnere gab es bei den Cisco Layer 3 Switches (C3560 mit irgendeinem 12er IOS) sowohl Verteilungsmechanismen aufgrund der Source- bzw. Destination MAC als auch bezüglich der Source- bzw. Destination IP. Wenn du aber eh alles über einen IP Sec Tunnel leitest, ist das natürlich für dich alles nichts.


    Auch wenn du die beiden Leitungen getrennt per Layer3 nutzen würdest (also auf beiden Seiten der Verbindung einen Router bzw. Layer 3 Switch und pro Verbindung ein eigenes Transfernetz, das Loadsharing würde dann das Routingprotokoll, z.B. OSPF übernehmen), wäre das ganze sessionbasiert. Ein Tunnel...eine Session ;( Bietet denn die IPCop (die ich ehrlich gesagt nicht wirklich als eine Lösung im professionellen Umfeld ansehe) die Möglichkeit, zwei Tunnel aufzubauen und dann darüber Loadsharing zu machen? Dann könntest du über die Routing Lösung dein Ziel erreichen...


    Ciao Louis

  • Hallo FireFly!

    Hallo,
    das gleiche Problem hatte ich vor etlichen Jahren mit Etherchanneling bei Cisco Switches. Wir haben uns dann so beholfen, dass wir die MAC-Adressen der Server so gesetzt haben, dass sie sich gegenseitig nicht stören, da es keine andere Lösungsmöglichkeit gab.


    Zumindest habe ich das Problem dann nicht erfunden. :)

    Bei Cisco waren das die untersten Bits aus einem XOR der Source- und Destination MAC Adresse. (bei 2 Leitungen 1 Bit, bei einen Etherchannel mit 4 Leitungen entsprechend 2 Bit)


    Das Ergebnis ist dann leider das selbe.

    So hatte uns das damals Cisco erklärt dass man wegen unterschiedlicher Latenzen kein round-robin anbietet.


    Das wäre natürlich das Aus für unser Vorhaben. :(
    So richtig aufmunternd sieht das also nicht aus. Trotzdem Danke für Deine Antwort!

    Hardware: Gigabyte GA-970A-D3, AMD Athlon II X2 235e, 4GB RAM, Zotac GeForce 210 Synergy Edition 1GB, Corsair Force3 60GB SSD, Mystique SaTiX-S2 Dual, 6.4" TFT, Atric IR Einschalter Rev.5, Logitech Harmony 900, Samsung LE46A789 full HD LCD, Denon AVR-1910, USB Atmo-Light von Slime
    Software: yaVDR 0.5
    Streaming Client 1: Hauppauge MediaMVP
    Streaming Client 2: Telegant TG100 (wenn ich mal irgendwann die Zeit finde das UPnP-Plugin zu testen)

  • Hallo louis!

    Hi,
    ich habe vor einiger Zeit auch mal einen solchen Etherchannel (bei Cisco heisst es Channel, bei HP Trunk) eingerichtet. Soweit ich mich erinnere gab es bei den Cisco Layer 3 Switches (C3560 mit irgendeinem 12er IOS) sowohl Verteilungsmechanismen aufgrund der Source- bzw. Destination MAC als auch bezüglich der Source- bzw. Destination IP. Wenn du aber eh alles über einen IP Sec Tunnel leitest, ist das natürlich für dich alles nichts.


    Ja, das sehe ich auch so.

    Auch wenn du die beiden Leitungen getrennt per Layer3 nutzen würdest (also auf beiden Seiten der Verbindung einen Router bzw. Layer 3 Switch und pro Verbindung ein eigenes Transfernetz, das Loadsharing würde dann das Routingprotokoll, z.B. OSPF übernehmen), wäre das ganze sessionbasiert. Ein Tunnel...eine Session ;( Bietet denn die IPCop (die ich ehrlich gesagt nicht wirklich als eine Lösung im professionellen Umfeld ansehe) die Möglichkeit, zwei Tunnel aufzubauen und dann darüber Loadsharing zu machen? Dann könntest du über die Routing Lösung dein Ziel erreichen...


    Mehrere Tunnel sind generell kein Problem. Wenn diese jedoch die selben Subnetze verbinden gibt es bestimmt Routing-Probleme - bei jeder Firewall-Lösung.


    Auch Dir Danke für Deine Antwort!


    Aus gegebenem Anlass werde ich meine Frage mal umformulieren:

    Zitat

    Wie könnte man zwei Unternehmen über zwei parallele Standleitungen verbinden?
    Ziel ist es sowohl ein Failover als auch eine Kapazitätserhöhung zu erzielen.
    Im optimalen Fall ist der Traffic auch noch gesichert.


    In der Zwischenzeit werde ich das auch mal mit der Telekom besprechen. Schließlich sollten das ja auch Profis auf dem Gebiet sein.


    Gruß,
    Saxman2k

    Hardware: Gigabyte GA-970A-D3, AMD Athlon II X2 235e, 4GB RAM, Zotac GeForce 210 Synergy Edition 1GB, Corsair Force3 60GB SSD, Mystique SaTiX-S2 Dual, 6.4" TFT, Atric IR Einschalter Rev.5, Logitech Harmony 900, Samsung LE46A789 full HD LCD, Denon AVR-1910, USB Atmo-Light von Slime
    Software: yaVDR 0.5
    Streaming Client 1: Hauppauge MediaMVP
    Streaming Client 2: Telegant TG100 (wenn ich mal irgendwann die Zeit finde das UPnP-Plugin zu testen)

  • Saxman2k


    Das ist aber immer die Krux an der Kanalbündelung bei Paket basierter Übertragung wie Ethernet oder FibreChannel. Ein Paket kann halt nur über einen Kanal aus der Bündelung gehen, dessen max. Durchsatz immer noch der selbe ist, bei Dir z.B. 10Mb/s. Auch wird immer der für die Kommunikationssequenz eingeschlagene Weg beibehalten und nur immer Fehlerfall umgeleitet. Man kann da auch nicht von Problem reden, der Gewinn ergibt sich erst aus der Parallelität der Kommunikation.


    Das bedeutet bei Dir, Du solltest min. 2 netio Tests parallel laufen lassen, vorher über einen Kanal, danach über den Trunk, der Summenunterschied beider Tests ist dann Dein Gewinn.


    Das gilt dann ebenso auch für die Zahl der Teilnehmer, bei nur einem Teilnehmer pro Seite, wird der Gewinn durch Bündelung eher gering ausfallen ...


    Regards
    fnu

    HowTo: APT pinning

  • hi


    man kann mit hp switchen auch einen normalen trunk bauen ohne LACP.


    wenn ich das richtig im kopf habe gibt es dann auch paar einstellungen mehr.


    nicht jedes geraet was im zweifel an einen hp switsch darnn kommt kann lcap.


    holger

    VDR1 : core2duo 3.2 Ghz , 1GB Ram , 2x TT 1501 DVB-C 1 GB HD , Asus EN 210 Silent , Debian Squeeze 64bit + e-tobi Pakete
    VDR2 : 1.2 Ghz P3 , Digitainer 768 MB Ram , yavdr 0.3a 32 bit

  • Hallo Holger,


    leider muß ich zwingend LACP benutzen. Hintergrund ist, dass der Switch auch dan einen Link bekommt, wenn die Leitung irgendwo unterwegs gestört ist. Ein normaler Trunk unterscheidet nur Link ja/nein und sendet fleißig, auch wenn keine Pakete durch die komplette Leitung gehen.


    An der Konstellation der Lastverteilung ändert leider auch ein einfacher Trunk nichts. Die Optionen, die Du vermutlich meinst, sind die VLan Einstellungen. Da ich jedoch einen statischen Trunk definiert habe, der jedoch per LACP aufgebaut wird, kann ich ebenfalls VLans zuweisen. Bei einem komplett dynamischen Trunk ist dies in der Tat nicht möglich.


    Gruß,
    Saxman2k

    Hardware: Gigabyte GA-970A-D3, AMD Athlon II X2 235e, 4GB RAM, Zotac GeForce 210 Synergy Edition 1GB, Corsair Force3 60GB SSD, Mystique SaTiX-S2 Dual, 6.4" TFT, Atric IR Einschalter Rev.5, Logitech Harmony 900, Samsung LE46A789 full HD LCD, Denon AVR-1910, USB Atmo-Light von Slime
    Software: yaVDR 0.5
    Streaming Client 1: Hauppauge MediaMVP
    Streaming Client 2: Telegant TG100 (wenn ich mal irgendwann die Zeit finde das UPnP-Plugin zu testen)

  • hm


    eigenlich ist lacp ja im kern nur fuer automaitisch link aggregation IEEE 802.3ad .


    z.b. kann ich mit openbsd lcap in kombination mit loadbalance nutzen innerhalb von einem tunk


    http://www.openbsd.org/cgi-bin/man.cgi?query=trunk&sektion=4


    das sollte dann in die richtung gehen was du suchst.


    wenn hp einfach nur darauf versteift kann man im zweifel , die switsch rauswerden und diese m openbsd ersetzen und somit den trunk aufbauen.
    das ganze geht sogar dann mit high aviability.


    holger

    VDR1 : core2duo 3.2 Ghz , 1GB Ram , 2x TT 1501 DVB-C 1 GB HD , Asus EN 210 Silent , Debian Squeeze 64bit + e-tobi Pakete
    VDR2 : 1.2 Ghz P3 , Digitainer 768 MB Ram , yavdr 0.3a 32 bit

  • Hi,


    über welche Arten von "Leitungen" reden wir hier überhaupt? So wie ich dich verstehe sind das doch private Leitungen von der Telekom (Etherconnect) und keine Internetzugänge oder? Aus meiner Sicht ist es dann ziemlich überflüssig, da noch eine Verschlüsselung drüberzulegen...lass das IP Sec weg, dann hast du keinen Stress...


    Ciao Louis

  • Hi,


    über welche Arten von "Leitungen" reden wir hier überhaupt? So wie ich dich verstehe sind das doch private Leitungen von der Telekom (Etherconnect) und keine Internetzugänge oder? Aus meiner Sicht ist es dann ziemlich überflüssig, da noch eine Verschlüsselung drüberzulegen...lass das IP Sec weg, dann hast du keinen Stress...


    Ciao Louis


    Ja, das sind keine Internetleitungen. Es sind quasi gaaaaanz lange "Netzwerkkabel". Laut Telekom ist ein Abhören nicht möglich, aber ich habe da so meine Bedenken. Vielleicht bin ich ja auch paranoid?? :)


    Denken wir mal weiter:
    Ich lass das IPSec weg und packe wie auch immer einen Router dazwischen, damit die Netze verbunden sind. Bei der nächtlichen Datensicherung habe ich dann leider trotzdem keinen Geschwindigkeitszuwachs, da jede Verbindung nur über eine Leitung geroutet wird. Der Vorteil ist aber, dass die zweite Leitung für anderen Traffic vorhanden ist.
    Muss ich mal drüber nachdenken. Ohne IPSec fühle ich mich so nackt. :)

    Hardware: Gigabyte GA-970A-D3, AMD Athlon II X2 235e, 4GB RAM, Zotac GeForce 210 Synergy Edition 1GB, Corsair Force3 60GB SSD, Mystique SaTiX-S2 Dual, 6.4" TFT, Atric IR Einschalter Rev.5, Logitech Harmony 900, Samsung LE46A789 full HD LCD, Denon AVR-1910, USB Atmo-Light von Slime
    Software: yaVDR 0.5
    Streaming Client 1: Hauppauge MediaMVP
    Streaming Client 2: Telegant TG100 (wenn ich mal irgendwann die Zeit finde das UPnP-Plugin zu testen)


  • Hallo Piet,


    danke für den Link. Zumindest das Beispiel wird mit dem selben Problem zu kämpfen haben, das ich nun auch habe. Dort ist von "session round-robin" die Rede. Da aber im jetzigen Fall nur eine Session besteht, funktioniert auch die Lastverteilung nicht ordentlich.
    Andere Arten der Verteilung habe ich leider nicht in der Doku gefunden.


    Gruß,
    Saxman2k

    Hardware: Gigabyte GA-970A-D3, AMD Athlon II X2 235e, 4GB RAM, Zotac GeForce 210 Synergy Edition 1GB, Corsair Force3 60GB SSD, Mystique SaTiX-S2 Dual, 6.4" TFT, Atric IR Einschalter Rev.5, Logitech Harmony 900, Samsung LE46A789 full HD LCD, Denon AVR-1910, USB Atmo-Light von Slime
    Software: yaVDR 0.5
    Streaming Client 1: Hauppauge MediaMVP
    Streaming Client 2: Telegant TG100 (wenn ich mal irgendwann die Zeit finde das UPnP-Plugin zu testen)

  • hi



    wie ich es machen wuerde ?



    werf deine router raus , nimm openbsd ... das ganze richtig konfiguriert und gut ist.



    holger

    VDR1 : core2duo 3.2 Ghz , 1GB Ram , 2x TT 1501 DVB-C 1 GB HD , Asus EN 210 Silent , Debian Squeeze 64bit + e-tobi Pakete
    VDR2 : 1.2 Ghz P3 , Digitainer 768 MB Ram , yavdr 0.3a 32 bit

  • Um dieses Thema mal abzuschließen:


    eine ordentliche Möglichkeit der transparenten Bündelung auf 20MBit scheint nicht möglich zu sein. Daher werde ich auf das VPN verzichten und den Traffic transparent durchlaufen lassen. Somit gibt es mehrere Sessions, die dann hoffentlich vernünftig verteilt werden. Sinnvoll ist hier kein Algorithmus, der die MAC zur Verteilung nutzt, sondern die IPs der Pakete.


    Somit kann ein Host immer nur auf 10MBit kommen, aber allen Hosts stehen in Summe 20MBit zur Verfügung.


    Somit: closed.

    Hardware: Gigabyte GA-970A-D3, AMD Athlon II X2 235e, 4GB RAM, Zotac GeForce 210 Synergy Edition 1GB, Corsair Force3 60GB SSD, Mystique SaTiX-S2 Dual, 6.4" TFT, Atric IR Einschalter Rev.5, Logitech Harmony 900, Samsung LE46A789 full HD LCD, Denon AVR-1910, USB Atmo-Light von Slime
    Software: yaVDR 0.5
    Streaming Client 1: Hauppauge MediaMVP
    Streaming Client 2: Telegant TG100 (wenn ich mal irgendwann die Zeit finde das UPnP-Plugin zu testen)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!