Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 5005 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

LAG Load Balancing

KevinX8410
Hi, I have the UTM 525 configured with two LAGs. The links are up and 802.3ad is working perfect (end device is a Cisco switch).

Basically, I need to change the 802.3ad load balancing hash (xmit_hash_policy) to  layer2+3 or ideally layer3+4 if supported. Based on my setup, a layer 2 source MAC hash will be useless, since traffic traverses a transit, and the source / destination MAC would almost always be the same.

fw1:/proc/11241/net/bonding # cat lag0
Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)

Bonding Mode: IEEE 802.3ad Dynamic link aggregation
Transmit Hash Policy: layer2 (0)
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0

According to the documentation for v3.7.1 bonding driver, this is fully supported.

I'm surprised they don't give an option to configure this via GUI... most higher end L3 Cisco devices use an L3 hash by default, and depending on the setup, an L2 source MAC hash may (or may not) be useless - hence the need to control this setting.
As you can see, the current Transmit hash policy is layer 2. Clearly there is no option to change this in the GUI... what is the process to change this via cli?


This thread was automatically locked due to age.
  • 0
    Hi, 
    You should probably open a support case with your reseller or Sophos for this.

    Please do post back if you get an answer.

    Barry
  • 0 in reply to BarryG
    I did open a case with Sophos...still waiting to hear back.

    However, I did manage to figure out how to change the setting (want to discuss with Sophos support either way).

    I went to the CLI and ran the Cliconf (CC) utility:

    > RAW
    > lock_override
    > OBJS
    > itfparams
    > link_aggregation_group
    > REF_LagOne     (do it for all of the lags)
    > xmit_hash_policy=layer3+4
    > w     (dont forget this after each one - you must write the config)

    After that, all was good....I'll need to watch the links and ensure the load balancing is actually working properly - however, should be a no brainer as the driver is standard Linux 3.7.1 and is well tested and utilized.

    My issue with Layer 2 / MAC hashing is that we use VRF's for each security zone and essentially a layer 3 transit to each firewall interface (allows us to have multiple vlans / SVI's in each VRF / zone, and we don't have to touch the firewall for all inter-vlan routing). So, essentially all traffic to/from the firewall would always have the same MAC - the MAC of the firewall interface and the MAC of the switch. Using L3+4 solves this issue... the switch supports it without issue.

     fw:/proc/17040/net/bonding # cat lag0
    Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)

    Bonding Mode: IEEE 802.3ad Dynamic link aggregation
    Transmit Hash Policy: layer3+4 (1)
    MII Status: up
    MII Polling Interval (ms): 100
    Up Delay (ms): 0
    Down Delay (ms): 0
  • 0
    Hi, Kevin, and welcome to the User BB!  It looks like you have a lot to offer to the rest of the group.

    There are some developers that could have answered your question, and I think there might be some here that could have given you some hints.  If one of the devs sees this, maybe he can tell us the single-line command to accomplish the same thing.

    Kevin, it seems like you might have a Feature Suggestion or two for the developers.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for the welcome - and yes, I look forward to any suggestions as to how I can improve upon this solution. 

    This is really my first time to utilize the Sophos / Astaro - however, I have a strong background in all of the Cisco platforms (ASA 5585, FWSM) and Checkpoint. I really like the ASG so far - seems to be a very robust platform, and I have quite a bit to learn. Frankly, I like it much better than the Cisco ASA line. About the only piece / feature I am disappointed in is the reverse proxy (web protection) component - I was hoping to consolidate our MS ISA Server web publishing to this; however, they do not support any sort of authentication servers on the gateway (however, that is supposed to be coming..).

    I also have a strong networking background (Cisco CCIE), so happy to offer any input or advice where my expertise may become relevant as well.

    And BTW, I did put in feature requests for general Link Aggregation tuning and configuration to include support for other bonding modes (outside 802.3ad / LACP - Linux has quite a few that may be suitable for other needs), and of course the ability to tune the hashing algorithms and associated timers (perhaps an advanced tab). 

    Thanks again.
  • 0
    CCIE, eh - I thought I saw that in your invisible subtitle. [;)]

    The reverse proxy is relatively recent; it was first released in V8.0 less than three years ago.  There were many improvements in later version of V8, but, as you can tell from the items introduced in V9.1, a lot of energy has gone into other things in V9.  I don't think webauth is planned, so you might want to vote for and comment on Reverse Proxy: Captive Portal for Authentication.  It seems like it's a good time to try to get that into V9.2.

    Cheers - Bob