Skip to main content

Конференции

Просмотр конференции fido7.ru.windows.2003:



Дата: 25 Aug 2017, 11:47:08
От: Alexandr Kruglikov @ 2:5053/58.1
Кому: All
Тема: NLB-кластер и бродкасты


Привет, All!

Сразу говорю, мопед не мой. Обратился коллега из смежной фирмы с просьбой о помощи.

========================================

Есть у меня для такая херовина, как балансир сетевой грузки (nlb-кластер). Он делает следующее - принимает внешние подключения от водителей (на маршрутизатор), редиректит на NLB адрес , вследствие
чего кластер в нужных мне пропорциях перенаправляет пакеты на узлы этого кластера (узлов 3).
Работает эта штука в unicast режиме. Т.е. при вхождении в кластер всем узлам присваивается общий MAC адрес (который еще и зашифровывается на уровне ОС windows). В итоге при посылке запроса через
коммутаторы, коммутаторы нихера не понимают на какой порт отправить пакет и фигачат широковещательный по всем портам. Т.к. коммутаторы гигабитные я вообщем-то проблем с сетью не испытываю, но от кучи
бродкаста хочу избавиться.
Самое простое решение, что приходит в голову - выделить всё это хозяйство в отдельный VLAN и пусть там всё бродкастится на здоровье, пофик. Однако, в этом случае мне придётся менять подсеть, причем
не только узлов кластера, а еще кучи сервисов, т.к. узлы являются виртуальными и на физических железках еще с добрый десяток виртуалок.
Да и к тому же остановку нужно делать, что руководство явно не захочет)
Коммутаторы все умные - HP Procurve.
Можно ли на уровне коммутаторов поотключать, например, приём широковещательных запросов?
Вычитал про Eavesdrop Prevention, но пока не совсем понимаю как она работает.
Eavesdrop Prevention . функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет
неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).
Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.
Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention

Смотрю на коммутаторах, функция включена по умолчанию, только как-то бестолково, посколько бродкаст имеет место быть

# show port-security 40

 Port Security
  Port : 40
  Learn Mode [Continuous] : Continuous
  Action [None] : None
  Eavesdrop Prevention [Enabled] : Enabled

Может придёт в голову какое-нибудь решение? Очень уж не хочется подсети менять(
Спасибо.

========================================

Моё мнение простое - выкинуть всё в отдельный vlan и пусть там бродкастит. Но:

Дмитрий Бурмистров, [25.08.17 11:28]
Еще жопа в том, что в гипервизоре на одну виртуальную сеть нельзя транкануть более 1 VLAN`а Т.е. если у меня, например, есть АТС , куда я VLAN`ами получаю телефонные транки, штук 10, например. Я не
смогу пробросить туда 10 сетей

* Оригинал написан в RU.NETWORKS
* Скопировано в ru.windows.2003
* Скопировано в ru.windows.xp

С наилучшими пожеланиями, Alexandr.

--- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" ---
Origin: Press INTER to DEL Setup... (2:5053/58.1)



К списку сообщений
К списку конференций