PF Problem bei NIC Teaming (Broadcom SLB)

[paul007]

Hallo,

beim Durchsehen der Messages habe ich festgestellt, dass das Broadcom NIC Teaming (Smart Load Balancing) offensichtlich mit den original MAC Adressen der NICs arbeitet. Das bedeutet, das für eine IP zwei MAC Adressen vorhanden sind, die sich in der ARP Table der OpenBSD Maschine, die als Firewall läuft, ständig gegenseitig überschreiben. Dadurch werden Sessions mit unseren Terminal Servern, die in einem anderen Netz liegen, sporatisch getrennt. In der messages finden sich folgende Logs:

Nov 13 10:04:05 firewall2-1 /bsd: arp info overwritten for 192.168.100.4 by 00:18:8b:33:69:f0 on em2
Nov 13 10:04:06 firewall2-1 /bsd: arp: attempt to overwrite entry for 192.168.100.4 on em2 by 00:18:8b:33:69:f2 on carp3
Nov 13 10:04:06 firewall2-1 /bsd: arp info overwritten for 192.168.100.4 by 00:18:8b:33:69:f2 on em2
Nov 13 10:04:06 firewall2-1 /bsd: arp info overwritten for 192.168.100.4 by 00:18:8b:33:69:f0 on em2
Nov 13 10:04:07 firewall2-1 /bsd: arp: attempt to overwrite entry for 192.168.100.4 on em2 by 00:18:8b:33:69:f2 on carp3
Nov 13 10:04:07 firewall2-1 /bsd: arp info overwritten for 192.168.100.4 by 00:18:8b:33:69:f2 on em2
Nov 13 10:04:07 firewall2-1 /bsd: arp info overwritten for 192.168.100.4 by 00:18:8b:33:69:f0 on em2
Nov 13 10:04:08 firewall2-1 /bsd: arp: attempt to overwrite entry for 192.168.100.4 on em2 by 00:18:8b:33:69:f2 on carp3
Nov 13 10:04:08 firewall2-1 /bsd: arp info overwritten for 192.168.100.4 by 00:18:8b:33:69:f2 on em2
Nov 13 10:04:08 firewall2-1 /bsd: arp info overwritten for 192.168.100.4 by 00:18:8b:33:69:f0 on em2
Nov 13 10:13:11 firewall2-1 /bsd: arp info overwritten for 192.168.100.4 by 00:18:8b:33:69:f2 on em2
Nov 13 10:13:11 firewall2-1 /bsd: arp: attempt to overwrite entry for 192.168.100.4 on em2 by 00:18:8b:33:69:f0 on carp3
Nov 13 10:13:42 firewall2-1 last message repeated 6 times
Nov 13 10:13:47 firewall2-1 /bsd: arp info overwritten for 192.168.100.4 by 00:18:8b:33:69:f0 on em2
Nov 13 10:20:31 firewall2-1 /bsd: arp: attempt to overwrite entry for 192.168.100.113 on em2 by 00:18:8b:34:2b:f3 on carp3
Nov 13 10:20:56 firewall2-1 last message repeated 5 times
Nov 13 10:21:31 firewall2-1 last message repeated 6 times

Gibt es einen Weg dieses Problem zu lösen, ohne das Teaming aufzugeben.

Danke im Voraus für Eure Hilfe

 

[uwerler]

mmh, wie wäre es, wenn du die beiden interfaces einfach als trunk konfigurierst (man 4 trunk)?

 

[paul007]

Von den beiden Interfaces hängt jedes auf einer anderen Switch, um den Ausfall einer Switch abzufangen. Das geht leider nur mit SLB.
Trunking, bzw. FEC funktioniert nur wenn beide Interfaces auf einer Switch hängen.

Aber Danke für Deine prompte Antwort.

 

[uwerler]

Sicher? Ich denke, daß Du die trunks bei OpenBSD auch auf verschieden Switches machen kannst. Das Beispiel in der Manpage beschreibt ja einen "active failover trunk to set up roaming between wired and wireless networks". Ich würd's einfach mal ausprobieren. Wenn Du ein round robin machen willst, weiß ich nicht, ob das zwischen beiden Switches funktionieren würde, Failover sollte aber problemlos gehen.

 

[paul007]

Damit wir uns richtig verstehen:
Die Windows Server besitzen die geteamten Interfaces, hängen in einem separatem Subnetz und melden sich mit zwei unterschiedlichen MAC Adressen beim Interface der OpenBSD Firewall, die zwischen dem Client- und dem Servernetz hängt.

 

[uwerler]

Oh, dann habe ich das falsch verstanden. Sorry.

 

[uwerler]

Versuch's doch mal mit dem "Network Load Balancing" von Microsoft. Dasarbeitet dann mit einer virtuellen MAC.

 

[paul007]

Gute Idee. Danke für den Tipp.

 

[uwerler]

Und, hast du's schon ausprobiert?

 

[paul007]

Wars leider auch nicht. NLB arbeitet völlig anders. Hier werden Anfragen unter einer virtuellen IP auf mehrere Server verteilt. In unserem Fall werden Anfragen unter einer virtuellen IP an mehrere Interfaces eines Servers verteilt (hat nichts mit Clustern zu tun).

 

[paul007]

Wir werden das Problem umgehen indem wir jeder NIC eine eigene IP zuweisen und den Lastausgleich über Round Robin im DNS realisieren. Ist zwar nicht so performant beim Ausfall eines Interfaces oder einer Switch, tut's aber vielleicht auch.

 

[uwerler]

Warum macht Ihr das nicht einfach über einen Redirect-Pool in PF?

 

[paul007]

Bist du dir sicher, dass du mein Problem wirklich verstanden hast?

 

[uwerler]

Ich dachte schon. Du willst über eine OpenBSD-Firewall auf den M$-Server zugreifen, dessen NIC's an zwei verschiedenen Switches hängen. Oder? Und wie Du zuletzt geschrieben hast, den NIC's nun doch unterschiedliche IP's geben und auf diese mittels DNS-Round-Robin zugreifen. Anstatt das nun mittels DNS zu tun, könntest Du via PF den Traffic auf die beiden Interfaces/IP's verteilen. Oder liege ich total falsch? Leider hast Du nicht ja nicht mitgeteilt, wie Dein Netz aussieht.