forum.wfido.ru  

Вернуться   forum.wfido.ru > Прочие эхи > RU.NETWORKS

Ответ
 
Опции темы Опции просмотра
  #1  
Старый 25.08.2017, 12:00
Alexandr Kruglikov
Guest
 
Сообщений: n/a
По умолчанию NLB-кластер и бродкасты

Alexandr Kruglikov написал(а) к All в Aug 17 11:47:08 по местному времени:

Привет, All!

Сразу говорю, мопед не мой. Обратился коллега из смежной фирмы с просьбой о помощи.

========================================

Есть у меня для такая херовина, как балансир сетевой грузки (nlb-кластер). Он делает следующее - принимает внешние подключения от водителей (на маршрутизатор), редиректит на NLB адрес , вследствие чего кластер в нужных мне пропорциях перенаправляет пакеты на узлы этого кластера (узлов 3).
Работает эта штука в unicast режиме. Т.е. при вхождении в кластер всем узлам присваивается общий MAC адрес (который еще и зашифровывается на уровне ОС windows). В итоге при посылке запроса через коммутаторы, коммутаторы нихера не понимают на какой порт отправить пакет и фигачат широковещательный по всем портам. Т.к. коммутаторы гигабитные я вообщем-то проблем с сетью не испытываю, но от кучи бродкаста хочу избавиться.
Самое простое решение, что приходит в голову - выделить всё это хозяйство в отдельный VLAN и пусть там всё бродкастится на здоровье, пофик. Однако, в этом случае мне придётся менять подсеть, причем не только узлов кластера, а еще кучи сервисов, т.к. узлы являются виртуальными и на физических железках еще с добрый десяток виртуалок.
Да и к тому же остановку нужно делать, что руководство явно не захочет)
Коммутаторы все умные - НP Procurve.
Можно ли на уровне коммутаторов поотключать, например, приём широковещательных запросов?
Вычитал про Eavesdrop Prevention, но пока не совсем понимаю как она работает.
Eavesdrop Prevention . функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).
Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.
Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention

Смотрю на коммутаторах, функция включена по умолчанию, только как-то бестолково, посколько бродкаст имеет место быть

# show port-security 40

Port Security
Port : 40
Learn Mode [Continuous] : Continuous
Action [None] : None
Eavesdrop Prevention [Enabled] : Enabled

Может придёт в голову какое-нибудь решение? Очень уж не хочется подсети менять(
Спасибо.

========================================

Моё мнение простое - выкинуть всё в отдельный vlan и пусть там бродкастит. Но:

Дмитрий Бурмистров, [25.08.17 11:28]
Еще жопа в том, что в гипервизоре на одну виртуальную сеть нельзя транкануть более 1 VLAN`а Т.е. если у меня, например, есть АТС , куда я VLAN`ами получаю телефонные транки, штук 10, например. Я не смогу пробросить туда 10 сетей

* Оригинал написан в RU.NETWORKS
* Скопировано в ru.windows.2003
* Скопировано в ru.windows.xp

С наилучшими пожеланиями, Alexandr.

--- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" ---
Ответить с цитированием
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 16:24. Часовой пояс GMT +4.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot