Fragen zu LACP unter 2012R2

Mitglied: Henere

Henere (Level 3) - Jetzt verbinden

25.04.2016 um 22:35 Uhr, 1364 Aufrufe, 8 Kommentare

Hallo zusammen,

ich muss mal wieder was Neues zusammenbasteln ;-) face-wink

Ich habe mir jetzt das Dokument "Windows Server 2012 R2 NIC Teaming (LBFO) Deployment and Management" von https://www.microsoft.com/en-us/download/confirmation.aspx?id=40319 durchgelesen, aber habe noch ein paar Fragen und bin mir sicher, hier gibt es Leute die Antworten für mich haben. Zumal mein Englisch ziemlich eingerostet ist, wie ich grad festgestellt habe.

Mein "Spielserver" hat ein ASUS Z10PE-16WS Board mit 4 NICs, 2 davon (INTEL) sind für das OS, die dritte für das IPMI-Modul, die vierte NIC ist eine Mellanox 10GbE mit direkter Verbindung zu meinem NAS. Als Switch habe ich einen HP 1920-16

IPs:
Nic1: 192.168.200.1/24
Nic2: derzeit deaktiviert
Nic3: 192.168.200.30/24
Nic4: 192.168.201.1/24

1. Wie funktioniert das mit den IP-Adressen ? Haben dann beide Netzwerkkatzen die gleiche IP ? Oder bekommt das Team dann eine neue Adresse ?
1a. Wenn neue Adresse, muss ich dann die CA auf dem Hyper-V Host erneuern ? Dem DC auf dem Host sollte das ja nix ausmachen (ja, ich weiss, nicht supported, aber da "Spielwiese" für mich vollkommen ok.)
1b. Ist es sinnvoll der 2ten NIC vorher eine neue IP Adresse zu vergeben ? Im Moment ist sie noch deaktiviert.
2. Was passiert mit dem Hyper-V Switch ? Muss dieser neu angelegt werden ?
3. Wenn ich den Switch independent Mode wähle, macht der HP-Switch das mit, oder wäre es besser auch den HP-Switch dementsprechend zu konfigurieren ?
4. Sollte ich das besser über IPMI machen, oder geht auch ne RDP-Session ?
5.... mir fällt bestimmt noch mehr dazu ein ....

Danke und Grüße, Henere
Mitglied: Kakinger
25.04.2016 um 23:08 Uhr
Hi,
LACP ist ein Steuerprotokoll bei Bildung eines Teams. LACP muss bei dem Einsatz sowohl auf Team als auch auf Switch konfiguriert werden. Zu deinen Fragen:

1. Das Team bekommt entweder die gleiche IP (wenn du sie wieder konfigurierst) oder bleibt auf DHCP stehen.
1a. Das Team hat nix mit der CA zu tun. Sieh das Team wie eine einzelne Karte bzw. einen einzelnen Port an.
1b. Egal, geht beides. Bei Auflösung des Teams bekommt die Karte wieder die Einstellung wie vorher.
2. Ich würde den Switch vorher herunternehmen, das Team bauen und dann den Switch wieder auf das Team legen.
3. Jeder Switch macht Switch Independent mit, deshalb ist der Modus einfacher zu konfigurieren. Ist auch empfohlen für die Nutzung als Basis für einen Hyper-V Switch, Stichwort "Sum of Queue", siehe LBFO Guide.
4. Wenn du bisher kein Team gemacht hast, setz dich entweder davor oder mach es per IPMI, das ist sicherer.

Gruß, Jan
Bitte warten ..
Mitglied: Henere
26.04.2016 um 03:55 Uhr
Servus Jan,

na dann werde ich mich die Tage mal an den Server setzen und testen. Danke Dir erstmal. Die nächsten Fragen kommen dann bestimmt.

Grüße, Henere
Bitte warten ..
Mitglied: aqui
26.04.2016 um 09:07 Uhr
Ein paar Grundlagen behandelt auch dieses Tutorial zu dem Thema:
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Im Grunde ist oben alle korrekt erklärt.
Das NIC Team verhält sich wie virtuelle ein NIC aus IP Sicht. Der Treiber darunter macht das Hashing und die L2 Verteilung der Sessions auf die einzelnen physischen NICs bzw. Links.
Sieht man auch etwas am Setup:
https://www.administrator.de/wissen/vlan-routing-802-1q-trunk-ms-linux-s ...

Eine weiteres MS Dokument dazu findet man hier:
http://www.microsoft.com/en-us/download/details.aspx?id=40319
Bitte warten ..
Mitglied: Dobby
26.04.2016 um 10:38 Uhr
Hallo,

unter Windowsumgebunden verhält es sich anders als unter Linux, BSD und Unix Betriebssystemen,
dort wird es in der Regel nur bzw. rein Software technisch das LAG (LACP) realisiert und unter einem
Windows OS ist es zwangsweise so dass die NICs und der Treiber das auch unterstützen müssen.

IPs:
Nic1: 192.168.200.1/24
Nic2: derzeit deaktiviert
Nic3: 192.168.200.30/24
Nic4: 192.168.201.1/24

Nimm die Intel NICs dazu wenn der Treiber (bitte vorher aktualisieren) das Bilden eines LAG (LACP)
erlaubt, das wäre für mich wesentlich sicherer und sicherlich auch stabiler!!! Man geht dann wie folgt
vor unter Windows Server:
- Beide Kartenkonfigurationen löschen bzw. auf Null setzen
- Die erste Karte ist die primäre Karte (NIC oder einfach nur der LAN Port) dessen MAC Adresse wird
dann auch als MAC Adresse für das LAG benutzt, danach zu diesem Port den anderen Port als sekundär
NIC dazu setzen, fertig. Je nach Intel Treiber und/oder Chip kann das auch unterschiedlich ausfallen, nur
im Allgemeinen werden, sieht es eben so aus das man eine NIC konfiguriert und dann erst die andere bzw.
die anderen hinzufügt, fertig. Erscheinen wird das LAG dann als eine NIC bzw. Interface mit einer MAC und
einer IP Adresse! Aber Achtung eine Ausnahme gibt es dazu, der MS Windows SBS2008 oder SBS2011
Server, der akzeptiert nur eine NIC, man kann hier zwar tricksen, aber wenn der Server einmal abschmiert
kann das auch böse in die Hose gehen! Also ich würde es lieber lassen wenn es eine MS SBS Server ist.

1. Wie funktioniert das mit den IP-Adressen ? Haben dann beide Netzwerkkatzen die gleiche IP ?
Oder bekommt das Team dann eine neue Adresse ?
MAC Adresse von der primären NIC und IP Adresse für das gesamte LAG (LACP).

1a. Wenn neue Adresse, muss ich dann die CA auf dem Hyper-V Host erneuern?
Man kann auch nur den Treiber erneuern und dann einfach die primäre Karte bzw. NIC in ein LAG aufnehmen
und dann dort nur einfach diese dann als primäre NIC einrichten und dann die zweite dazunehmen & sichern.

Dem DC auf dem Host sollte das ja nix ausmachen (ja, ich weiss, nicht supported, aber da "Spielwiese"
für mich vollkommen ok.)
Nein denn wenn man einfach nur die erste NIC benutzt bleibt die IP ja erhalten und deren MAC wird ja
auch verwendet, sollte es Probleme geben kann man ja auch vorher ein Backup machen und dann wieder
einspielen.

1b. Ist es sinnvoll der 2ten NIC vorher eine neue IP Adresse zu vergeben ? Im Moment ist sie noch
deaktiviert.
Wenn das die Intel NICs sind nein! Dann ist es eventuell sogar von Vorteil!!!! Man kann einfach die erste NIC
als LAG Mitglied (primär) konfigurieren und bitte auch die beiden LAN Ports am Switch (LACP einschalten)
und dann einfach die zweite NIC aktivieren und dann als zweite (sekundäre) NIC dazu konfigurieren.

2. Was passiert mit dem Hyper-V Switch ? Muss dieser neu angelegt werden ?
Kann ich nichts zu sagen.

3. Wenn ich den Switch independent Mode wähle, macht der HP-Switch das mit, oder wäre es besser
auch den HP-Switch dementsprechend zu konfigurieren ?
Das ist sogar zwingend notwendig, denn wenn man ein LAG aufsetzt sind die beiden Seiten die damit
eingebunden sind völlig gleich zu konfigurieren, das macht aber dann das LACP.

4. Sollte ich das besser über IPMI machen, oder geht auch ne RDP-Session ?
Bist Du nicht direkt vor Ort? Wenn ja versuch doch das direkt an den Server zu erledigen.

5.... mir fällt bestimmt noch mehr dazu ein ....
Warte mal ab bis es schief geht!

Es kommt immer darauf an zwischen welchen Geräten man das LAG aufsetzen möchte!
Ist das der HP Switch und der Server direkt, also deren echte NICs, sollte man das LAG
natürlich auch zwischen diesen beiden "Geräten" aufbauen, intern können die VMs dann
das LAG als ein Interface sehen und benutzen.

Gruß
Dobby

Bitte warten ..
Mitglied: aqui
26.04.2016 um 13:39 Uhr
dort wird es in der Regel nur bzw. rein Software technisch das LAG (LACP) realisiert
Das ist aber bei unixoiden OS wie z.B. Linux auch keineswegs anders !

Du solltest immer wenn irgend möglich den Switch dependend Mode vorziehen bei managed Switches !
https://blogs.technet.microsoft.com/keithmayer/2012/10/16/nic-teaming-in ...
Independend ausschliesslich nur wenn man ungemanagte Dummswitches einsetzt !
Bitte warten ..
Mitglied: Kakinger
26.04.2016 um 13:45 Uhr
Zitat von @aqui:
Du solltest immer wenn irgend möglich den Switch dependend Mode vorziehen bei managed Switches !
https://blogs.technet.microsoft.com/keithmayer/2012/10/16/nic-teaming-in ...
Independend ausschliesslich nur wenn man ungemanagte Dummswitches einsetzt !

Das ist so nicht korrekt. Bei der Nutzung von einem Team unter WS2012 oder WS2012R2 zur Nutzung als Hyper-V Switch ist es empfohlen, ein switch independant Team zu erstellen und zu nutzen. Dies liegt daran, dass in diesem Modus die Summe aller VMQ Warteschlangen genutzt werden kann, bei einem LACP- oder Static-Team wird nur der Min-Queue-Mode genutzt. Informationen bzgl. der Queues sind hier in dieser Blogreihe super beschrieben: https://blogs.technet.microsoft.com/networking/2013/09/10/vmq-deep-dive- ...

Gruß, Jan
Bitte warten ..
Mitglied: Henere
26.04.2016, aktualisiert um 17:54 Uhr
Servus zusammen,

da ich zu faul war, in den ersten Stock hochzulaufen hab ich das Ganze per IPMI gemacht.
Erst den Hyper-V Switch entfernt, dann das TEAM über den Server-Manager gebildet. Switch independent ausgewählt.
Beim Hinzufügen der zweiten NIC hat er gemault, dass diese nicht aktiviert sei. Schnell aktiviert, dann konnte ich sie hinzufügen.
Der "neuen" NIC musste ich dann noch eine feste IP geben, den HYPER-V-Switch wieder erstellt und schon war die Sache erledigt.

Was mich jetzt aber noch interessiert....

Hier wird mir nur eine MAC-Adresse angezeigt, heisst das, beide NICs haben jetzt die Gleiche MAC ?
Wenn ja, warum mault der Switch dann nicht ? Der müsste doch durcheinander kommen, oder denke ich da falsch ?
Der HP 1920-16 ist in Default-Einstellung, also es wird kein ARP-Poisoning erkannt. Aber woher weiss der Switch nun, wie er routen (bzw auf welchem Port er die Pakete auswerfen) soll ?

Der Switch sieht folgendes:
mac - Klicke auf das Bild, um es zu vergrößern

Auf dem Client sehe ich nur eine MAC-Adresse:


Danke und Grüße, Henere

Edit: ARP-Poisoning ist der falsche Ausdruck... Komm nur grad nicht auf den richtigen Namen.
Bitte warten ..
Mitglied: aqui
27.04.2016, aktualisiert 20.11.2018
heisst das, beide NICs haben jetzt die Gleiche MAC ?
Ja, der 802.3ad Standard definiert das so !
Wenn ja, warum mault der Switch dann nicht ?
802.3ad macht ein Hashing, sprich es verteilt die Sessions auf Basis der Mac Adressen (L2) oder IP Adressen (L3). Der Switch selber fasst LAG Ports zu einem virtuellen Port zusammen für das es nur eine Mac Adresse in der L2 Forwarding Database gibt. Der interne Hash Algorythmus forwardet dann im Switch die Sessions wieder auf die physischen Links.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Infrastruktur für Firma
brainwashVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kurze Erklärung zu meinem Problem Wir sind eine kleine Firma mit zwei Standorten im Bereich Brandschutz. Zur Zeit nutzen wir für unsere ...

Server-Hardware
Verkaufe RX300 S7 Server von Fuijutsu
HolzBrettVor 1 TagAllgemeinServer-Hardware12 Kommentare

Hi, Ich wohne in Aachen und habe die Server von der Firma umsonst erhalten. Ich habe sie bereits überprüft (es geht alles). Ich möchte ...

Windows 10
Netzwerkzugriff intern extern blockiert nach Aufbau NordVPN Verbindung
Slavik-10Vor 23 StundenFrageWindows 1029 Kommentare

hallo Leute, ich habe mir vor kurzem ein VPN Anbieter bestellt. Das Problem an der ganzen Sache ist, sobald eine VPN Verbindung zu einem ...

Netzwerkprotokolle
Proxy Zugang von Extern
gelöst Jannik2018Vor 1 TagFrageNetzwerkprotokolle17 Kommentare

Hallo zusammen, ich habe mir einen Squid Proxy auf einer Linux VM aufgesetzt und möchte das man aus allen netzen drauf zugreifen kann allerdings ...

Off Topic
Namenskonzept Kundengeräte
bitnarratorVor 16 StundenFrageOff Topic5 Kommentare

Hallo, ich möchte gerne einmal die Diskussion anstoßen, weil ich eine hier in diese Richtung noch nichts gefunden habe. Es geht um die Bennenung ...

Windows Server
Kein Internetzugriff bei einem Domänenclient
KerberoVor 22 StundenFrageWindows Server13 Kommentare

Hallo community, ich habe ein ganz komisches Verhalten eines Clients bei mir. Ich habe eine kleine Domäne (6 Clients und ein Windows Server 2016 ...

LAN, WAN, Wireless
Verständnisfrage VPN Performance pfSense
flabsVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Moin Kollegen, ich betreibe 3 pfSense Firewalls an 3 Standorten. Zwischen Standort A und B gibt es einen IPSec Tunnel. Der läuft seit Jahren ...

Sicherheit
Verpackter Laptop entwendet
r0x3llVor 5 StundenFrageSicherheit9 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...