UCARP (VRRP) kullanan KEMP yük dengeleyicileri - çok noktaya yayın MAC adresi alınamıyor


10

Tamam - arka arkaya en az 20 saat boyunca mücadele .. Bu uzun rant, ya da bir blog yazısı gibi görünüyor üzgünüm, ama bitkinlik noktasına alıyorum.

İşte anlaşma. HA kalp atışı ve kalıcı durumlar için UCARP (bir VRRP klonu olan CARP'nin bir Linux klonu) kullanan KEMP yük dengeleyicileri kullanıyoruz. Veri merkezindeki taşkınları önlemek için IGMP'yi ortamımızda kullanmak istiyoruz.

Raf üstü işlevi gören SW 5.1.1.7 çalıştıran iki Dell PowerConnect 8124F anahtarımız var. Bu ikisi çekirdek olan yığılmış bir çift Cisco 3750-X'e bağlanıyor.

Sorunlar, PowerConnect 5.1.x'e yükselttiğimizde başladı, aksi takdirde aksi belirtilmedikçe IGMP gözetleme açık bırakıldı. Ve işte - yük dengeleyicilerimiz bölünmüş beyne gitti ve her türlü sıcak bulanık eğlenceye neden oldu.

  • Yük dengeleyicilerinin çok noktaya yayın yaptıkları VLAN'da IGMP gözetlemesini devre dışı bırakırsam, çok noktaya yayın hala ölür
  • Çekirdeğimize IP PIM kurarsam, PowerConnect anahtarları aynı VLAN'da görür, ancak yine de çok noktaya yayın trafiği yoktur
  • Tüm kayıtlı olmayan çok noktaya yayın trafiğinin taşmasını etkinleştirirsem, yine de hiçbir şey yapmaz.
  • PowerConnect anahtarlarında IGMP gözetlemesini genel olarak devre dışı bırakırsam , tüm çok noktaya yayın trafiği çalışır. O kadar harika çalışıyor ki, aynı VLAN etiketli her bağlantı noktasına çok noktaya yayın trafiğini sular altında bırakıyoruz. Olağanüstü.

Bizim çekirdek VLAN bazı garip MAC adresi girişleri fark ettim:

coresw#sh mac address-table vlan 367 | include 5e00
 367    0000.5e00.0101    DYNAMIC     Po13   seq_no:0

Ve sanırım .. Bu çok noktaya yayın adresi değil mi? Bu neden "sh mac adres tablosu çok noktaya yayın" bölümünde yer almıyor?

coresw#sh mac address-table multicast vlan 367
Vlan    Mac Address       Type        Ports
----    -----------       ----        -----
coresw#

Ve sonra bunu PowerConnect CLI kılavuzunda okudum:

Çok noktaya yayın trafiği, bir ana bilgisayar grubuna yönlendirilen trafiktir. Ana bilgisayar grupları hedef MAC adresi ile tanımlanır, yani IPv4 çok noktaya yayın trafiği için 01: 00: 5e: 00: 00: 00-01: 00: 5e: 7f: ff: ff: ff veya 33: 33: xx: xx aralığı : xx: IPv6 çok noktaya yayın trafiği için xx.

MAC adresinin başında "01" eksik gibi görünüyor, değil mi? Yukarıdaki dinamik MAC girişi "00" ile başlar. Bu noktada KEMP'yi aramayı ve ürünlerinin korkunç şekilde yanlış yapılandırıldığını bildirmelerini düşünüyorum. Ama sonra VRRP için RFC'yi okuyorum - ve bakalım:

Sanal yönlendiriciyle ilişkilendirilmiş sanal yönlendirici MAC adresi aşağıdaki biçimde bir IEEE 802 MAC Adresidir:

IPv4 durumu: 00-00-5E-00-01- {VRID} (onaltılık, İnternet standardı bit sırasına göre)

Tamam - anahtarlar normalde VRRP için çok noktaya yayın mac adres aralığını almaz. Tamam, Dell anahtarlarında statik bir ana bilgisayar grubu yapılandıralım. Hayır!

Geçersiz giriş: Çok noktaya yayın MAC Adresi 01XX: XXXX: XXXX biçiminde olmalıdır

Tamam o zaman .. Sonraki adım, statik bir mac girişi eklemeyi deneyin:

osl-sys-swrack03(config)#mac address-table multicast ?

forbidden                forbid adding specific multicast addresses to
                         specific ports.

osl-sys-swrack03(config)#

Yani - statik bir çok noktaya yayın MAC girişi yapılandırmanın bir yolu yoktur. Aynı şeyi normal bir statik MAC girişi ile yapmaya çalışırsam, yalnızca bir bağlantı noktasına bağlayabilirim - bu yük dengeleme kümesi 4 farklı 10gig bağlantı noktasında çalışır.

Güncelleme : MAC adresleri ile ilgili bir karışıklık var gibi görünüyor. 172.30.1.0/24 öne bakan yük dengeleyici ağıdır. 172.30.1.6, küme için varsayılan paylaşılan VIP, .7 ilk yük dengeleyici için yönetim IP'si ve .8 ikinci yük dengeleyici için. Diğer tüm adreslerin (30, 40, 70, 80 vb.) Hepsi farklı hizmetler sunan VIP'dir. Bir yük devretme meydana geldiğinde, tüm VIP'ler MAC adreslerini ikinci LB'nin fiziksel MAC adresiyle değiştirir. Alt tablodaki noktaya yayın adresi yok değil değiştirin.

coresw#sh ip arp vlan 367
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  172.30.1.6             78   0050.56b4.5004  ARPA   Vlan367    <- VIP - Loadbalancer1 physical MAC
Internet  172.30.1.40           204   0050.56b4.5004  ARPA   Vlan367    <- VIP - Loadbalancer1 physical MAC
Internet  172.30.1.80           167   0050.56b4.5004  ARPA   Vlan367    <- VIP - Loadbalancer1 physical MAC
Internet  172.30.1.70            38   0050.56b4.5004  ARPA   Vlan367    <- VIP - Loadbalancer1 physical MAC
Internet  172.30.1.66            12   0050.56b4.5004  ARPA   Vlan367    <- VIP - Loadbalancer1 physical MAC
Internet  172.30.1.35           185   0050.56b4.5004  ARPA   Vlan367    <- VIP - Loadbalancer1 physical MAC
Internet  172.30.1.60            97   0050.56b4.5004  ARPA   Vlan367    <- VIP - Loadbalancer1 physical MAC
Internet  172.30.1.30            80   0050.56b4.5004  ARPA   Vlan367    <- VIP - Loadbalancer1 physical MAC
Internet  172.30.1.61            33   0050.56b4.5004  ARPA   Vlan367    <- VIP - Loadbalancer1 physical MAC
Internet  172.30.1.7             27   0050.56b4.5004  ARPA   Vlan367    <- Management - Loadbalancer1 physical MAC
Internet  172.30.1.8             21   0050.56b4.08c2  ARPA   Vlan367    <- Management - Loadbalancer2 physical MAC

osl-sys-coresw#sh mac address-table dynamic vlan 367
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
 367    0000.5e00.0101    DYNAMIC     Po13   seq_no:0   <- multicast HA mac (UCARP)
 367    0050.56b4.08c2    DYNAMIC     Po13   seq_no:0   <- Loadbalancer1 physical MAC
 367    0050.56b4.5004    DYNAMIC     Po13   seq_no:0   <- Loadbalancer2 physical MAC

Ve işte hikaye. Bununla ne yapacağım?


What on earth am I going to do with this?<- Tekila. Çoğusu.
voretaq7

"Sanal yönlendiriciler" (kimin orada ve kimin ana olduğunu söylemek için) arasında kullanılan çok noktaya yayın adresini ve sanal yönlendiricinin kendisi için kullanılan tek noktaya yayın adresini (yani sanal IP için MAC) karıştırıyorsunuz
Ricky Beam

@RickyBeam Biraz daha spesifik olabilir misiniz? Yukarıdaki listede iki mac adresinin (olmasının) nedeni, her birinin kendi kimliğine sahip (sonunda 01 ve 02) iki çift yük dengeleyicimiz olması - bunun hakkında düşündüğünüz şeyse?
pauska

1
Hayır, sanal yönlendirici IP'si ile ilişkili tek noktaya yayın MAC hakkında hala kafanız karıştı - bu, MAC ana bilgisayarlarının yük dengeli hizmetleriyle konuşmak için kullandıkları. Çok noktaya yayın adresi yük dengeleyicilerin kimin sorumlu olduğunu bilmek için kullandıkları adrestir. (bölüm 5.1.1'i okuyun)
Ricky Beam

@RickyBeam Üzgünüm, benim için bir anlamı yok. Her yük dengeleyicisinin (00:56, vmware) tek noktaya yayın MAC adresi, IGMP gözetlemesini devre dışı bıraktığımda görüyorum 0000.5e00.0101'den tamamen farklı.
pauska

Yanıtlar:


5

Sorunu çözebildim. Kemp'de (HA çifti ile) bir "Sanal MAC Adresi" kullanma seçeneğiniz vardır. Bu kutu işaretlenmezse, yük dengeleyici VIP'nin MAC'si aktif Kemp biriminin fiziksel arabirimidir. Bu kutu işaretlenirse VIP'nin MAC adresi bir VRRP MAC'dir. Yukarıda belirttiğiniz gibi VRRP RFC, MAC'ın "00:00" {blah} olduğunu ve son sekizlinin Yönlendirici Kimliği olduğunu belirtir. Varsayılan Kemp HA [yönlendirici] kimliği 01'dir. Firmware 5.1.xx kullanan Powerconnects'imde VRRP kullanmıyorum, ancak bazı izler çalıştırdım ve yönlendirici kimliği kendisiyle aynı ise Powerconnect'in bir VRRP çerçevesi bırakacağını belirledim. VRRP yapılandırılmamışsa bunu yaparlar ve bu modda varsayılan olarak 01 olurlar. Bu nedenle Kemp HA yönlendirici kimliğini 22 (0x16) gibi bir şeye değiştirmek, her şeyin çalışmasına neden oldu.


Kahramanımsın. Sonunda bunu çözdüğün için teşekkürler! KEMP'nin kısmının son derece zayıf ifadeleri - size bunun VRRP yönlendirici kimliğine dönüştüğünü söyleyen bir açıklama yapmalıdırlar.
pauska

2

Aradığınız çok noktaya yayın adresi 224.0.0.18 [mac: 01005e.000012]. Tüm VRRP düğümleri için kontrol kanalı budur. KEMP kodu değiştirmedikçe, CARP (UCARP) VRRP tek noktaya yayın MAC'ı kullanarak trafik oluşturur [00005e.0001xx] - bu bir anahtarın doğal olarak öğreneceği yerdir.

Ağda bir sorgucınız yoksa (muhtemelen her segmentte), anahtarlarınız sonunda hangi grupların nerede olduğunu unutacak - ana bilgisayarlar sorulmadıkça periyodik üyelik göndermez. [değiştir: Konfigürasyona bağlı olarak, bir anahtar, seleye karşı bilinmeyen çok noktaya yayın bırakabilir.] Bu özel bir sorgu olabilir (paketi gönderir, herhangi bir cevabı umursamaz) veya daha çok altyapınızdaki çok noktaya yayın yönlendiricisi olabilir . Bu basit durumda, VRRP mesajlarının yine de segmentleri geçmesi yasaklandığından bir sorgulama yeterlidir.

Dell anahtarlarını bilmiyorum, bu yüzden hangi cli komutlarına ihtiyacınız olduğunu bilmiyorum.

[GÜNCELLEME]

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
367    0000.5e00.0101    DYNAMIC     Po13   seq_no:0   <- multicast HA mac (UCARP)

Bu çok noktaya yayın mac değil. Çok noktaya yayın trafiğinin tek noktaya yayın MAC kaynağı budur . Çok noktaya yayın mac'u mac adres tablosunda görünmez. Çok noktaya yayın grubu tablosunda. Cisco IOS show mac-address-table multicast(yönlendiricimde hiçbir şey göstermez) ve show ip igmp groups(3 grup gösterir) vardır. Bu yönlendirici seyrek moda pim olarak ayarlanmıştır; nortel ve cisco anahtarları bir sorgulayıcı olarak görür.

Ve KEMP yöntemi, sanal adresler için ana bilgisayar NIC MAC'i kullanılarak derinden kusurludur. Senin durumunda 5004 bir nike ait. 5004 kaybolduğunda, herkesin hala masalarında "IP: 6 == MAC: 5004" olacak; bu giriş değiştirilene kadar ölü sunucu ile konuşmaya devam ederler. KEMP, ağdaki her şey tarafından onurlandırılan bedava arp üzerinde kumar oynuyor. HSRP, VRRP, ve OpenBSD sazan tasarlanmış tüm bu sebepten kullanımını sanal MAC. (çoklu yayın trafiğini iletirken VRRP sanal mac yerine nic mac'i kullanmak için UCARP'ı hacklememiş gibi görünüyorlar.)

UCARP'ın hacklendiği göz önüne alındığında, çok noktaya yayın kullandığından emin misiniz?


Aynı VLAN'da çekirdeğimizde zaten bir PIM yönlendirici kurdum - bu, bir sorgulayıcı ihtiyacını ortadan kaldırmamalı mı?
pauska

1
Teorik olarak, evet. Anahtar (lar) ın bir sorgu gördüğünü doğrulayın. ( show ip igmp snooping querier vlan 367bir cisco için)
Ricky Beam

Herhangi bir sorgulayıcı görmüyorlar, ancak mrouter'ı görüyorlar (sh ip igmp snooping mrouter). Bir sorgucım ve bir yönlendiricim olmalı mı? Ben ikincisinin yerine
geçeceğini

1
Dell'in bunu tedavi ettiğini bilmiyorum. Cisco, hp ve adtran anahtarlarım PIM aktarıcısını sorgulayıcı olarak gösteriyor, ancak PIM desteğinin kendisinde yok (veya için yapılandırılmamış).
Ricky Beam
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.