eifeladmin
Goto Top

Netgear Switch und Windows NLB

Hallo Community

betreibt hier jemand einen Windows NLB im Multicast Modus an einem Netgear Switch?
Wir haben hier vier Netgear M4300 in einem Stack-Verbund aber die Kommunikation mit einem Windows NLB, den wir für unsere Exchange Server nutzen, funktioniert nicht. IGMP Snooping ist auf dem Switch aktiv und ich habe schon einen statischen ARP Eintrag für die IP- und MAC-Adresse versucht aber leider hat das nicht gebracht.

Viele Dank Euch.
EA

Content-ID: 648769

Url: https://administrator.de/contentid/648769

Ausgedruckt am: 25.11.2024 um 04:11 Uhr

aqui
aqui 06.02.2021 aktualisiert um 10:15:32 Uhr
Goto Top
Beim NLB IGMP Mode sind 2 wichtige Dinge zu beachten:
  • Welchen Join Mode hast du im NLB Cluster aktiviert ? Sinnvollerweise nimmt man hier den Dynamic Join
  • Bei aktivem IGMP Snooping muss der Switch aktiver IGMP Querrier sein
Leider machst du keinerlei Angaben zu diesen Punkten so das wir mal wieder nur die Kristallkugel haben. face-sad
Sehr hilfreich wäre auch ein Konfig Screenshot deines statischen ARP Eintrages der NLB VIP Adresse und ein Vergleich ob diese VIP Adresse überhaupt stimmt.
Entscheident auch zu wissen ob dein "Stack Verbund" ein wirklicher, physischer Full Stack ist oder nur ein billiges Clustering.
All das ist ohne jegliche Infos in einem Forum, wo man nicht mal schnell deine NLB oder dein Switch Setup sehen und nachvollziehen kann, sehr schwer bis gar nicht zu troubleshooten. Das leuchtet dir sicher auch selber ein.
Vielleicht hilft dir eine Cisco Doku die noch einmal die genaue NLB Funktion beschreibt und wie man das dann auf einem Switch umsetzt. All das gilt im Grundsatz auch für deine NetGear Gurken.
https://www.cisco.com/c/de_de/support/docs/switches/catalyst-6500-series ...
Eifeladmin
Eifeladmin 06.02.2021 um 09:51:25 Uhr
Goto Top
Wo kann ich den Join Mode nachsehen?
Wir hatte vorher einen HP Aruba Switch und dort war das IGMP Snooping wohl nur auf dem VLAN aktiviert.
Auf dem Netgear Switch habe ich den ARP Eintrag über die CLI mit ARP Befehlt gesetzt und dieser wurde auch übernommen.
Ich hab mir die Doku mal durchgelesen. Einen statischen Eintrag in die MAC Tabelle hab ich noch nicht gemacht. Sollte der Switch die MAC Adresse nicht selbst lernen?
aqui
aqui 06.02.2021 aktualisiert um 10:14:09 Uhr
Goto Top
Wir hatte vorher einen HP Aruba Switch
Du Armer...vom Regen in die Traufe.... face-wink
und dort war das IGMP Snooping wohl nur auf dem VLAN aktiviert.
Das ist bei allen Herstellern so. Generell kann man IGMP Snooping immer per VLAN oder auch global (gilt dann für alle VLANs) aktivieren.
IGMP Snooping sollte man generell immer in einem Switch Setup aktivieren und dann natürlich auch immer global.
Andernfalls müsste der Switch die MC Pakete alle zwangsweise auf alle Ports fluten. Diese Paket Replikation geschieht bei den meisten Billigswitches wie deinen netGear Gurken in Software und belastet deren ohnehin schwachbrüstige CPU nur noch mehr. Man tut also immer gut daran das global zu aktivieren.
Sollte der Switch die MAC Adresse nicht selbst lernen?
Generell ja und tut er im reinen Layer 2 Mode also innerhalb seines eigenen VLANs natürlich auch. Das funktioniert dann aber nicht mehr in einer VLAN Segmentierten Umgebung die in NLB Designs fast immer die Regel ist. In einem gerouteten Umfeld ist ein statischer ARP Eintrag damit immer ein Muss.
Wenn du natürlich nur ein dummes, flaches nicht segmentiertes IP Netz hast kannst du das natürlich ignorieren.
Das Cisco Blättle oben wirklich zu lesen hilft ! face-wink
So sieht ein NLB Switch Setup z.B. aus:
igmp
Wie man ein wenig mit der IGMP Snooping Funktion rumspielt um sie einmal wasserdicht zu testen erklärt dir z.B. dieser Foren Thread:
Fehlersuche im lokalem Netzwerk (RSTP, MRP, Multicast)
tech-flare
tech-flare 06.02.2021 aktualisiert um 15:02:26 Uhr
Goto Top
Zitat von @Eifeladmin:

Hallo Community

betreibt hier jemand einen Windows NLB im Multicast Modus an einem Netgear Switch?
ja. Ich betreibe hier ebenfalls 5 x M4300 in einem Stack mit 2 Windows Server für den ARR Proxy mit NLB.

Sind die Server bei euch physisch dran oder virtuallisiert?
Eifeladmin
Eifeladmin 06.02.2021 um 16:27:26 Uhr
Goto Top
Die Server sind bei uns als VM in einer Hyper-V Umgebung.
Eifeladmin
Eifeladmin 06.02.2021 um 16:35:06 Uhr
Goto Top
Bei dem Netgear sieht das so aus:
für das VLAN:
igmp interface
für die Querier Konfig:
igmp vlan
tech-flare
tech-flare 07.02.2021 um 13:06:50 Uhr
Goto Top
Ich habe hier den statischen Eintrag für die NLB MAC Adresse als statischen ARP Eintrag mit der IP hinterlegt und das NLB funktioniert ohne Probleme.

m4300-nlb
Eifeladmin
Eifeladmin 07.02.2021 um 13:11:36 Uhr
Goto Top
Danke für deine Antwort.
Das hab ich auch gemacht. Aber leider hat das nicht gebracht.
Könntest du mir sagen welche Optionen unter IGMP Snooping bei dir aktiv sind?
Einen statischen MAC-Adressen Eintrag hast du nicht gemacht?
tech-flare
tech-flare 07.02.2021 aktualisiert um 13:49:54 Uhr
Goto Top
Zitat von @Eifeladmin:

Könntest du mir sagen welche Optionen unter IGMP Snooping bei dir aktiv sind?
Ich habe nur die Global Configuration auf Enabled...sonst nicht.

Einen statischen MAC-Adressen Eintrag hast du nicht gemacht?
Nein. Nur den ARP Eintrag. Jedoch musste ich auf den vSphere vSwitchen etwas konfigurieren. Gut möglich, dass dies bei Hyper-V auch der Fall ist.

Schau dir dazu mal das an: Hyper-V Cluster Multicast ggf hilft dir das weiter
Eifeladmin
Eifeladmin 07.02.2021 um 13:44:58 Uhr
Goto Top
Was habt ihr den dort eingestellt?
Wir hatten vorher einen HP Switch und mussten im Hyper-V nichts einstellen.
tech-flare
tech-flare 07.02.2021 um 13:49:30 Uhr
Goto Top
Zitat von @Eifeladmin:

Was habt ihr den dort eingestellt?
dies gibts bei Hyper-V nicht..von daher unerheblich.

Aber nochmal kurz zum Verständnis...Ich nutzt nicht IGMP Multicast, sondern "einfaches" Multicast.

m4300-nlb-1
Eifeladmin
Eifeladmin 07.02.2021 um 13:55:54 Uhr
Goto Top
Ja genau so haben wir das auch eingestellt.
Dann vermute ich mal den Fehler in er Firmware des Switches.
aqui
aqui 07.02.2021 um 13:56:26 Uhr
Goto Top
Ist die denn aktuell ??
Eifeladmin
Eifeladmin 07.02.2021 um 14:03:28 Uhr
Goto Top
Die ist auf Version: 12.0.11.10. Nicht ganz aktuell.
Ich weiß halt leider nicht genau wie ich die Switche in der Stack-Konfig updaten kann ohne das die alle gleichzeitig einen Neustart machen.
Meine Theorie, das Update in ein Image hochladen. Das Image auf die Switche kopieren und dann einen nach dem anderen neu starten.
tech-flare
tech-flare 08.02.2021 um 15:49:38 Uhr
Goto Top
Zitat von @Eifeladmin:

Die ist auf Version: 12.0.11.10. Nicht ganz aktuell.
Ich habe hier die 12.0.11.8

Ich weiß halt leider nicht genau wie ich die Switche in der Stack-Konfig updaten kann ohne das die alle gleichzeitig einen Neustart machen.
Meine Theorie, das Update in ein Image hochladen. Das Image auf die Switche kopieren und dann einen nach dem anderen neu starten.
Das wird nicht gehen, denn für den Stack Betrieb müssen alle Member die gleiche Version haben. Das Stack durchstarten dauert ca 3-4 Min.
Eifeladmin
Eifeladmin 09.02.2021 um 09:50:39 Uhr
Goto Top
Aber das ist doch eigentlich nicht im Sinne bei einem solchen Setup das man den ganzen Stack neu starten muss für ein Update. Man will doch die Redundanz haben.
Eifeladmin
Eifeladmin 14.02.2021 um 08:58:06 Uhr
Goto Top
Also ich hab jetzt auch die 12.0.11.8 installiert und es funktioniert leider immer noch nicht.
Hast du vielleicht noch was eingestellt?
Komischerweise kann der Switch die Adresse anpingen aber nicht die VMs.
aqui
aqui 14.02.2021 um 09:04:11 Uhr
Goto Top
Hast du auf dem Switch auch ein Default Gateway/Route definiert sofern die VMs in anderen IP Netzen liegen ?!
Ohne Route oder Gateway ist es klar warum die dann nicht pingbar sind weil die Rückroute fehlt.
Eifeladmin
Eifeladmin 14.02.2021 um 09:13:59 Uhr
Goto Top
Ja das Gateway ist eingetragen und die VMs liegen im gleichen Netz.
aqui
aqui 14.02.2021 um 09:18:33 Uhr
Goto Top
Dann kann es auf den VMs nur das deaktivierte ICMP Protokoll (Ping) ein sofern das Winblows VMs sind:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Eifeladmin
Eifeladmin 14.02.2021 um 11:03:32 Uhr
Goto Top
Andere VMs in dem Netz kann ich ja anpingen. Nur die eine Adresse mit dem Multicast nicht. Der Ping ist auch erlaubt.
aqui
aqui 14.02.2021 aktualisiert um 13:06:33 Uhr
Goto Top
Multicast IP Adressen kann man prinzipienbedingt nicht pingen ohne RP:
https://www.youtube.com/watch?v=OMRByA64xuA Bei 8:15
tech-flare
tech-flare 14.02.2021 um 12:09:58 Uhr
Goto Top
Zitat von @aqui:

Multicast IP Adressen kann man prinzienbedingt nicht pingen.

Er meint sicherlich die NLB IP vom Windowscluster
tech-flare
tech-flare 14.02.2021 aktualisiert um 12:11:12 Uhr
Goto Top
Zitat von @Eifeladmin:

Also ich hab jetzt auch die 12.0.11.8 installiert und es funktioniert leider immer noch nicht.
Hast du vielleicht noch was eingestellt?
Komischerweise kann der Switch die Adresse anpingen aber nicht die VMs.


Kannst du mal komplette Config vom Switch reinstellen?

Alternativ per PN, wenn du diese nicht öffentlich machen willst

Das Routing erfolgt komplett über den Switch?
ThomasH2
ThomasH2 20.03.2023 aktualisiert um 12:11:15 Uhr
Goto Top
Hallo ist zwar ein alter Thread ..

im Testnetz ist reines Multicast beim MS NLB aktiviert (Switch kann auch IGMP) und ein Netgear Switch S3300 eingerichtet via:
Select Routing > ARP > Advanced > ARP Create
sind die Multicast MAC (korrigiert) + die IP Adressem des virtuellen NLB Knotens eingetragen.

Es funktioniert zwar alles wie erhofft, beim Eintragen der statischen ARP Konfiguration gab es jedoch eine Warnung mit dem Text: "Alert: ARP entry configured although target is not on local subnet"

Muss ich davon ausgehen, dass mein Eintrag im Switch fehlerhaft ist, oder liegt es daran, dass es eine MAC ist, die im Multicast IP Bereich liegt, der natürlich nicht identisch mit dem eigenen Subnetz ist?

Danke vorab
aqui
aqui 20.03.2023 aktualisiert um 10:34:16 Uhr
Goto Top
Du hast scheinbar noch wenig bis gar nicht mit Multicast gearbeitet, denn dann hättest du wissen müssen das sich die Mac Adresse bei Multicast immer dynamisch aus der IP Multicast Adresse selbst ergibt!!
https://de.wikipedia.org/wiki/Multicast#IP-Multicast
Lesen und verstehen!!
Einmal mit dem Wireshark selber angesehen und der Thread wäre überflüssig gewesen. face-wink

Keinesfalls darf man also deshalb einen statischen ARP Eintrag auf die Multicast IP Adresse setzen sondern immer auf die virtuelle IP Adresse des NLB Knotens!!!
Das bewirkt dann auch logischerweise das die o.a. Fehlermeldung ausbleibt.
Du kannst dir das genaue ToDo bei NLB mit Multicast hier nochmal an einem Cisco Dokument ansehen wo das explizit beschrieben ist:
https://www.cisco.com/c/de_de/support/docs/switches/catalyst-6500-series ...
Die Konfig Schritte sind auch auf einer Netgear Gurke völlig identisch. Sie gelten für alle Switches gleichermaßen.

Fazit:
Deine o.a. Konfiguration ist damit also in der Tat fehlerhaft und die Fehlermeldung des Switches natürlich berechtigt. Kein Wunder also wenn das nicht sauber funktioniert!
Solche Adressierungsbasics sollte man aber schon kennen als Administrator. 🧐
ThomasH2
ThomasH2 20.03.2023 um 12:27:26 Uhr
Goto Top
Hallo und sorry für den Verschreiber. Ich habe selbigen korrigiert.
Ich bin kein Administrator und administriere auch keine Netze sondern bin Entwickler, der den ganzen administrativen Kram natürlich auch nebenbei kennen (aber nicht können) muss.

Mit Multicast habe ich in der Tat noch nie gearbeitet, die Basics gelesen, aber sicherlich nicht verstanden, sonst hätte ich nicht gefragt.

Im Testnetz 192.168.1.x existiert ein NLB Knoten mit der IP 192.168.1.245 mit Multicast

nlb ip2mac iisnlb
NLB Clustersteuerungshilfsprogramm V2.6
Der Name "iisnlb" wurde zu "192.168.1.245" aufgelöst.  
Cluster:             192.168.1.245
Unicast-MAC:         02-bf-c0-a8-01-f5
Multicast-MAC:       03-bf-c0-a8-01-f5
IGMP-Multicast-MAC:  01-00-5e-7f-01-f5


Beim ARP Routing im Netgear habe ich eingetragen

IP Address MAC Address
192.168.1.245 03-bf-c0-a8-01-f5

Das ist also definitiv falsch so?
aqui
aqui 20.03.2023 aktualisiert um 17:54:54 Uhr
Goto Top
ein NLB Knoten mit der IP 192.168.1.245 mit Multicast
Die .254 ist die virtuelle Cluster IP Adresse ?? Wenn ja trägst du dann die Multicast Mac (NICHT die IGMP Mac!) statisch ein. Folgende ToDos sind zu machen:
  • Die Mac 03:bf:c0:a8:01:f5 statisch in die Mac Forwarding Tabelle für ALLE Links eintragen die mit dem MS Cluster verbunden sind. Du kannst auch mit show mac address im Switch checken ob diese Mac 03:bf:c0:a8:01:f5 ggf. schon in der Forwarding Tabelle ist dann entfällt dieser statische Eintrag.
  • Beachte das in den meisten Switches die Forwarding Tabelle VLAN spezifisch ist! Du musst also immer eine VLAN ID mitgeben sofern das Cluster in einem dedizierten VLAN liegt.
  • Dann den statischen ARP Eintrag vornehmen! Dieser muss nur auf dem L3 Switch konfiguriert werden wenn Client und NLB Cluster in unterschiedlichen VLANs liegen.
192.168.1.245 03-bf-c0-a8-01-f5
Leider weiss man damit nicht genau ob du damit nun den statischen Mac Tabellen Eintrag oder den ARP Eintrag meinst? Etwas mehr präzisere Angaben bzw. ein Auszug der Switchkonfig wäre hier hilfreich!
ThomasH2
ThomasH2 21.03.2023 um 16:00:01 Uhr
Goto Top
Danke @aqui für die Tipps.

Ja, die .245 ist die virtuelle Cluster IP Adresse (VIP)

Multicast MAC ist auch klar: 03-bf-c0-a8-01-f5 (virtuelle multicast mac)

es liegt alles in einem einzigen VLAN

Der Netgear S3300 ist leider nur ein L2 Smart Switch ohne CLI, so dass man alles klicken muss
https://www.downloads.netgear.com/files/GDC/S3300/S3300_SWA_EN.pdf

Eine Mac Forwarding Tabelle finde ich in dem Switch leider nicht.

laut MS soll man so konfigurieren:
https://learn.microsoft.com/de-de/troubleshoot/windows-server/networking ...

"Um diese Konfiguration zu unterstützen, müssen Sie die Netzwerkinfrastruktur so konfigurieren, dass statische ARP-Einträge und MAC-Adresstabelleneinträge verwendet werden. "

Dlink z.B.:
https://files.dlink.com.au/Products/DGS-3620-52P/REV_A/SetupGuides/Layer ...

VIP: Multicast virtuelle MAC:
create arpentry 192.168.20.100 03-BF-C0-A8-14-64

und mehr wollte ich bei dem Netgear S3300 auch nicht machen
aqui
aqui 21.03.2023 aktualisiert um 18:51:32 Uhr
Goto Top
OK, dann benötigst du den ARP Eintrag natürlich nicht! Der ist logischerweise nur relevant in einem Layer 3 Umfeld wo Clients und NLB Cluster in unterschiedlichen IP Segmenten liegen. Nur da passiert ja überhaupt ein ARP auf einen L3 Switch oder Router.
In einem dummen, flachen Layer 2 Netz ohne Segmentierung und damit ohne jegliches Routing ist das natürlich alles irrelevant.
Da ARPt ein Client ja immer direkt die NLB Cluster IP die dann auch direkt mit ihrer MC Mac Adresse dem Client antwortet. Das kannst du auf einem Winblows PC auch immer direkt selber mit arp -a in der Eingabeaufforderung in seinem ARP Cache sehen.
In einem Layer 2 Umfeld muss man da dann auch gar nix auf dem Switch einstellen, denn der arbeitet ja eh nur auf Mac Adress Basis. IP Adressen "kennt" der nicht.
Kannst du auch wunderbar selber sehen wenn du am Client einmal einen Wireshark mitlaufen lässt und dir den Sessionaufbau mit ARP usw. zum NLB Cluster live ansiehst. face-wink

Das Einzige was man auf einem L2 Switch immer aktivieren sollte, wenn nicht schon geschehen, ist IGMP Snooping. Ansonsten muss der Switch alle Multicast Frames auf alle Ports fluten (kopieren) was immer massiv CPU und damit Performance kostet. Gerade bei schwachbrüstigen Billigheimern wie dem Netgear hat sowas oft fatale Folgen wenn man das nicht macht.
ThomasH2
ThomasH2 21.03.2023 um 17:43:44 Uhr
Goto Top
vielen Dank für diese fundierte wichtige Info. Ich hatte ja eingangs geschrieben, dass alles so weit funktioniert.

IGMP Snooping habe ich erstmal global aktiviert, muss mich da aber noch belesen.
aqui
aqui 21.03.2023 aktualisiert um 18:47:45 Uhr
Goto Top
IGMP Snooping habe ich erstmal global aktiviert
Das ist auch absolut richtig so!
vielen Dank für diese fundierte wichtige Info.
Immer gerne... 🙂
aqui
aqui 11.04.2023 um 17:49:12 Uhr
Goto Top
Wenns das denn nun war bitte deinen Thread hier dann auch als erledigt markieren!