Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 5007 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

LAG Load Balancing

KevinX8410
Hi, I have the UTM 525 configured with two LAGs. The links are up and 802.3ad is working perfect (end device is a Cisco switch).

Basically, I need to change the 802.3ad load balancing hash (xmit_hash_policy) to  layer2+3 or ideally layer3+4 if supported. Based on my setup, a layer 2 source MAC hash will be useless, since traffic traverses a transit, and the source / destination MAC would almost always be the same.

fw1:/proc/11241/net/bonding # cat lag0
Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)

Bonding Mode: IEEE 802.3ad Dynamic link aggregation
Transmit Hash Policy: layer2 (0)
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0

According to the documentation for v3.7.1 bonding driver, this is fully supported.

I'm surprised they don't give an option to configure this via GUI... most higher end L3 Cisco devices use an L3 hash by default, and depending on the setup, an L2 source MAC hash may (or may not) be useless - hence the need to control this setting.
As you can see, the current Transmit hash policy is layer 2. Clearly there is no option to change this in the GUI... what is the process to change this via cli?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Kevin, and welcome to the User BB!  It looks like you have a lot to offer to the rest of the group.

    There are some developers that could have answered your question, and I think there might be some here that could have given you some hints.  If one of the devs sees this, maybe he can tell us the single-line command to accomplish the same thing.

    Kevin, it seems like you might have a Feature Suggestion or two for the developers.

    Cheers - Bob
Reply
  • 0
    Hi, Kevin, and welcome to the User BB!  It looks like you have a lot to offer to the rest of the group.

    There are some developers that could have answered your question, and I think there might be some here that could have given you some hints.  If one of the devs sees this, maybe he can tell us the single-line command to accomplish the same thing.

    Kevin, it seems like you might have a Feature Suggestion or two for the developers.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Thanks for the welcome - and yes, I look forward to any suggestions as to how I can improve upon this solution. 

    This is really my first time to utilize the Sophos / Astaro - however, I have a strong background in all of the Cisco platforms (ASA 5585, FWSM) and Checkpoint. I really like the ASG so far - seems to be a very robust platform, and I have quite a bit to learn. Frankly, I like it much better than the Cisco ASA line. About the only piece / feature I am disappointed in is the reverse proxy (web protection) component - I was hoping to consolidate our MS ISA Server web publishing to this; however, they do not support any sort of authentication servers on the gateway (however, that is supposed to be coming..).

    I also have a strong networking background (Cisco CCIE), so happy to offer any input or advice where my expertise may become relevant as well.

    And BTW, I did put in feature requests for general Link Aggregation tuning and configuration to include support for other bonding modes (outside 802.3ad / LACP - Linux has quite a few that may be suitable for other needs), and of course the ability to tune the hashing algorithms and associated timers (perhaps an advanced tab). 

    Thanks again.