на главнуюВсе эхи RU.WINDOWS.2003
войти ?

NLB-кластер и бродкасты

От Alexandr Kruglikov (2:5053/58.1) к All

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


Привет, All!

Сразу говорю, мопед не мой. Обратился коллега из смежной фирмы с просьбой о помощи.

========================================

Есть у меня для такая херовина, как балансир сетевой грузки (nlb-кластер). Он делает следующее - принимает внешние подключения от водителей (на маршрутизатор), редиректит на NLB адрес , вследствие чего кластер в нужных мне пропорциях перенаправляет пакеты на узлы этого кластера (узлов 3).
Работает эта штука в unicast режиме. Т.е. при вхождении в кластер всем узлам присваивается общий MAC адрес (который еще и зашифровывается на уровне ОС windows). В итоге при посылке запроса через коммутаторы, коммутаторы нихера не понимают на какой порт отправить пакет и фигачат широковещательный по всем портам. Т.к. коммутаторы гигабитные я вообщем-то проблем с сетью не испытываю, но от кучи бродкаста хочу избавиться.
Самое простое решение, что приходит в голову - выделить всё это хозяйство в отдельный VLAN и пусть там всё бродкастится на здоровье, пофик. Однако, в этом случае мне придётся менять подсеть, причем не только узлов кластера, а еще кучи сервисов, т.к. узлы являются виртуальными и на физических железках еще с добрый десяток виртуалок.
Да и к тому же остановку нужно делать, что руководство явно не захочет)
Коммутаторы все умные - HP Procurve.
Можно ли на уровне коммутаторов поотключать, например, приём широковещательных запросов?
Вычитал про Eavesdrop Prevention, но пока не совсем понимаю как она работает.
Eavesdrop Prevention . функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).
Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.
Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention

Смотрю на коммутаторах, функция включена по умолчанию, только как-то бестолково, посколько бродкаст имеет место быть

# show port-security 40

Port Security
Port : 40
Learn Mode [Continuous] : Continuous
Action [None] : None
Eavesdrop Prevention [Enabled] : Enabled

Может придёт в голову какое-нибудь решение? Очень уж не хочется подсети менять(
Спасибо.

========================================

Моё мнение простое - выкинуть всё в отдельный vlan и пусть там бродкастит. Но:

Дмитрий Бурмистров, [25.08.17 11:28]
Еще жопа в том, что в гипервизоре на одну виртуальную сеть нельзя транкануть более 1 VLAN`а Т.е. если у меня, например, есть АТС , куда я VLAN`ами получаю телефонные транки, штук 10, например. Я не смогу пробросить туда 10 сетей

* Оригинал написан в RU.NETWORKS
* Скопировано в ru.windows.2003
* Скопировано в ru.windows.xp

С наилучшими пожеланиями, Alexandr.

--- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" ---
* Origin: Press INTER to DEL Setup... (2:5053/58.1)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.WINDOWS.2003?msgid=2:5053/58.1+599fd74e