Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 5007 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

LAG Load Balancing

KevinX8410
Hi, I have the UTM 525 configured with two LAGs. The links are up and 802.3ad is working perfect (end device is a Cisco switch).

Basically, I need to change the 802.3ad load balancing hash (xmit_hash_policy) to  layer2+3 or ideally layer3+4 if supported. Based on my setup, a layer 2 source MAC hash will be useless, since traffic traverses a transit, and the source / destination MAC would almost always be the same.

fw1:/proc/11241/net/bonding # cat lag0
Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)

Bonding Mode: IEEE 802.3ad Dynamic link aggregation
Transmit Hash Policy: layer2 (0)
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0

According to the documentation for v3.7.1 bonding driver, this is fully supported.

I'm surprised they don't give an option to configure this via GUI... most higher end L3 Cisco devices use an L3 hash by default, and depending on the setup, an L2 source MAC hash may (or may not) be useless - hence the need to control this setting.
As you can see, the current Transmit hash policy is layer 2. Clearly there is no option to change this in the GUI... what is the process to change this via cli?


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    I did open a case with Sophos...still waiting to hear back.

    However, I did manage to figure out how to change the setting (want to discuss with Sophos support either way).

    I went to the CLI and ran the Cliconf (CC) utility:

    > RAW
    > lock_override
    > OBJS
    > itfparams
    > link_aggregation_group
    > REF_LagOne     (do it for all of the lags)
    > xmit_hash_policy=layer3+4
    > w     (dont forget this after each one - you must write the config)

    After that, all was good....I'll need to watch the links and ensure the load balancing is actually working properly - however, should be a no brainer as the driver is standard Linux 3.7.1 and is well tested and utilized.

    My issue with Layer 2 / MAC hashing is that we use VRF's for each security zone and essentially a layer 3 transit to each firewall interface (allows us to have multiple vlans / SVI's in each VRF / zone, and we don't have to touch the firewall for all inter-vlan routing). So, essentially all traffic to/from the firewall would always have the same MAC - the MAC of the firewall interface and the MAC of the switch. Using L3+4 solves this issue... the switch supports it without issue.

     fw:/proc/17040/net/bonding # cat lag0
    Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)

    Bonding Mode: IEEE 802.3ad Dynamic link aggregation
    Transmit Hash Policy: layer3+4 (1)
    MII Status: up
    MII Polling Interval (ms): 100
    Up Delay (ms): 0
    Down Delay (ms): 0