Netzwerkauslastung durch CARP-/VRRP-Multicast?!

[serioussimon]

Hello,

Ich habe eine Frage bzgl. der Auslastung des Netzwerks beim Einsatz von CARP.

Es sollen zwei OpenBSD-Maschinen (Firewall) in einem Aktiv/Passiv Cluster betrieben werden. Der CARP-Heartbeat des Master-Systems sendet jede Sekunde eine CARP-Nachricht an die Multicast-Adresse 224.0.0.18. In einem geswitchten Netzwerk (nur Layer 2) verhält sich ein Multicast- genauso wie ein Broadcast-Paket.

In dem Netzwerk befinden sich neben mehreren Servern auch 150 Windows-Clients.

Hat dieser sekündliche Heartbeat, der an jedes Gerät im Netzwerk geht, fühlbare Auswirkungen auf die Netzleistung?
Hat jemand Erfahrungen bzgl. des Multicast-Traffics mit dem Betrieb von Clustern unter CARP oder VRRP?

Um den Multicast-Traffic einzudämmen gäbe es die Möglichkeit, einen Switch mit Multicast-Filtering einzusetzen - AFAIK dann über IGMP?!
Nur, sendet der passive Clusterknoten auch eine Anmeldung per IGMP?
Ich habe mal den Traffic bei einem Testsystem mitgeschnitten und konnte nicht wirklich etwas entdecken, dass nach IGMP aussah

Eine andere Möglichkeit wäre, den Cluster in ein VLAN "auszulagern" und nur die Hosts mit in das VLAN zu stecken, die auch wirklich mit dem Cluster kommunizieren müssen.

Denk ich zu kompliziert bzw. stellt der MC-Traffic kein Problem dar oder muss ich wirklich etwas beachten?

Gruß Simon

 

[SierraX]

Ich bin mir nicht hunderprozentig sicher.... Aber wäre es allgemein nicht sinniger sowas über ein Management-Netzwerk mit eigener NIC zu regeln? Ok die Gefahr, daß die NIC ausfällt und dadurch eine IP Collision entsteht ist da aber kalkulierbar.
Zu sehr sollte es sich aber nicht auswirken. Bei den Netzwerkgeschwindigkeiten heutzutage sollte man es eigentlich garnicht bemerken.

 

[serioussimon]

Danke für deine Antwort!

Diese Möglichkeit hab' ich auch schon in Betracht gezogen. Dann würde aber nur ein Failover erfolgen, wenn die OBSD-Maschine entweder komplett tot oder das Managementinterface down ist. Glaub' nicht, dass das so gedacht ist?!

Irgendwie denke ich auch, dass diese 70 Byte "großen" Frames keine so hohe Belastung darstellen. Es wurmt mich aber doch, dass die Multicasts über das ganze Netzwerk verteilt werden. Evtl. ist ja diese MC-Filterung bei Switchen über IGMP noch eine Möglichkeit.
Vllt. sollte ich da nochmal 'nen Sniffer dazwischenklemmen ...

Gruß Simon

 

[blur]

Moin, moin,

Danke für deine Antwort!
Diese Möglichkeit hab' ich auch schon in Betracht gezogen. Dann würde aber nur ein Failover erfolgen, wenn die OBSD-Maschine entweder komplett tot oder das Managementinterface down ist. Glaub' nicht, dass das so gedacht ist?!

Ich kenne das sogar nur so. Wir hatten immer erhebliche Probleme, wenn es keine direkte Verbindung zwischen den Servern gab und Switche oder andere Komponenten dazwischen lagen.

Irgendwie denke ich auch, dass diese 70 Byte "großen" Frames keine so hohe Belastung darstellen. Es wurmt mich aber doch, dass die Multicasts über das ganze Netzwerk verteilt werden. Evtl. ist ja diese MC-Filterung bei Switchen über IGMP noch eine Möglichkeit.
Vllt. sollte ich da nochmal 'nen Sniffer dazwischenklemmen ...

Läuft das schon? Der Multicast hat an sich keine Auswirkungen auf das Netzwerk.


Gruß
Blur

 

[serioussimon]

Ich weiß jetzt nicht, ob ich dich richtig verstanden habe. Sinn und Zweck von CARP ist es doch das zwei Host im selben Netzsegment die selbe IP haben können und bei dem Ausfall des Masters, die IP auf die Standby-Maschine übernommen wird. Betreibe ich jetzt CARP über ein gesondertes Management-Netzwerk, dann habe ich diesen IP-Failover nur auf diesem Netz?!

Wie bereits beschrieben handelt es sich um ein Firewallsystem, welches zwei Netzsegmente verbindet. Wenn ich nicht alles falsch verstanden hab', brauche ich dazu zwei CARP-Pseudodevices (für jedes Netzsegment eins). So kann ich das jedenfalls aus den man-Pages und dem FAQ rauslesen ...

Ich kenne das sogar nur so. Wir hatten immer erhebliche Probleme, wenn es keine direkte Verbindung zwischen den Servern gab und Switche oder andere Komponenten dazwischen lagen.

Also hab' hier in meiner Testumgebung zwei Switche dazwischen hängen und keine Probleme.

... Der Multicast hat an sich keine Auswirkungen auf das Netzwerk.

Naja bis auf den ganzen Traffic halt?!

Gruß Simon

 

[blur]

Ich weiß jetzt nicht, ob ich dich richtig verstanden habe. Sinn und Zweck von CARP ist es doch das zwei Host im selben Netzsegment die selbe IP haben können und bei dem Ausfall des Masters, die IP auf die Standby-Maschine übernommen wird. Betreibe ich jetzt CARP über ein gesondertes Management-Netzwerk, dann habe ich diesen IP-Failover nur auf diesem Netz?!

War mein Denkfehler CARP ist leider nicht drbd mit heartbeat. Sorry, wegen der Umstände.

Wie bereits beschrieben handelt es sich um ein Firewallsystem, welches zwei Netzsegmente verbindet. Wenn ich nicht alles falsch verstanden hab', brauche ich dazu zwei CARP-Pseudodevices (für jedes Netzsegment eins). So kann ich das jedenfalls aus den man-Pages und dem FAQ rauslesen ...

Lies mal unter PDF, da steht auch etwas von möglichen Problemen drin.

Gruß
Blur

 

[serioussimon]

Danke für den Artikel. Meine eigentliche Frage nach der Belastung des Netzwerks durch den CARP-Traffic sehe ich leider noch nicht beantwortet. Da sich darüber aber noch niemand besonders den Kopf zerbrochen zu haben scheint, vermute ich, dass es kein Problem gibt

Danke für eure Antworten.
Gruß, Simon

 

[hex]

Also wenn du kein 10 Mbit Netz betreibst wirst du denk ich mal auf keine größeren Probleme stoßen!

Die Frage ist halt auch, was für Switches du einsetzt. Bei günstigeren Modellen kann es natürlich zu Performanceeinbußen kommen. Bei "Normalen" dürfte das kein Problem sein.

Und eine Sekunde ist im Netzwerk eine relativ lange Zeit. Aber versprechen kann ich da nichts. Ist jetzt nur so mal ne Vermutung!

mfg hex

 

[serioussimon]

Also wenn du kein 10 Mbit Netz betreibst wirst du denk ich mal auf keine größeren Probleme stoßen!

Ne is alles Giga.

Die Frage ist halt auch, was für Switches du einsetzt. Bei günstigeren Modellen kann es natürlich zu Performanceeinbußen kommen. Bei "Normalen" dürfte das kein Problem sein.

Es sind relativ hochwertige Switche von Cisco und HP im Einsatz - sollte also keine Problem darstellen. Werde das denk ich nochmal testen, evtl. auch mit Multicast-Filtering auf den Switchen.

Gruß, Simon

 

[blur]

Moin, moin,

pro Sekunde 1 Päckchen ist langweilig. Das belastet soviel wie ein Tropfen Wasser in einem 50 Meter Schwimmbecken.

gruß
Blur