orm@doc-tcpip.org

Erstellt: Oktober 2004 - Letzte Modifikation: Februar 2005

[ Main | Local ]


Neue Features im Netzwerk-Stack von AIX V5.2

Teilweise retrofitted in AIX V4.3.3

Das Tuning Framework

Mit Tuning Framework bezeichnet man die Summe aller vereinheitlichten Tuning-Kommandos, die nun gleiche Flags und ähnliche Ausgaben aufweisen. Das ist eine für den Administrator sehr angenehme und überfällige Erweiterung des AIX und wird detailliert hier beschrieben.

Performance Verbesserungen auf SMP Maschinen

Mit AIX 5.2 sind eine Reihe grundlegender Veränderungen eingeführt worden, die speziell der Performanceverbesserung auf SMP-Maschinen mit vielen Netzwerkadaptern in sehr aktiven und dicht besetzten Netzen dienen.

IP Multipath Routing

5.0

Dead Gateway Detection (DGD)

5.0

Network Interface Backup (NIB)

NIB schützt eine Netzverbindung eines Hostes gegen Verbindungsfehler aufgrund von Ausfall des Interfaces oder Verlust der physikalischen Verbindung im Netz (Ausfall Router, Switch etc.). Es sind dazu zwei Adapter nötig, die per Software logisch zu einem Pseudo-Adapter verknüpft werden. Nur einer der physikalischen Adapter ist aktiv, der andere befindet sich im Wartezustand und ist auch anderweitig nicht zu nutzen. Die IP-Adresse sowie die MAC-Adresse wandern bei Ausfall des aktiven Adapters bzw. der Verbindung auf den Adapter im Wartezustand. Für den User ist das transparent.

 
.                                        Host
.
.                                        -----------------
.               -------------------      |               |
Switch/Hub -----| Logisches ent4  |------| ent1  (Aktiv) |
.               |  10.10.10.10    |      |               |
.               |                 |      |               |
Switch/Hub -----|00:0d:60:5f:5d:c8|------| ent2  (Stdby) |
.               -------------------      |               |
.                                        -----------------
.
.
.               --------------------------------------
.               | Pingbarer, zuverlässiger Router |
.               --------------------------------------

Die Konfiguration erfolgt über das EtherChannel SMIT-Menu, auch wenn NIB eigentlich nichts mit EtherChannel zu tun hat (jedoch auch gleichen Programmcode zugreift). Der Fastpath ist smitty etherchannel, in AIX V5.1 (und V4.3.3) muß im Menu im Punkt Mode network interface backup ausgewählt werden; im Punkt EtherChannel Adapters werden die gewünschten physikalischen Adapter ausgewählt. In AIX V5.2 wird nur ein Adapter gewählt, der andere wird im Punkt Backup Adapter spezifiziert. Im Punkt Mode kann jetzt zwischen Round Robin und Standard gewählt werden.

Das Interface (enX) wird im Nachgang auf dem entstandenen Pseudo-Adapter (entX) definiert. Die benutzten, physikalischen Adapter müßen gleichartig und gleich Konfiguriert sein.

Im Fall von AIX V4.3 und V5.1 sind die beteiligten Adapter nicht priorisiert - nach einer Übernahme bleibt der Standby-Adapter aktiv, auch wenn der andere Adapter wieder fehlerfrei arbeitet. In V5.2 kann man den aktiven Adapter priorisieren, es wird also in den Ausgangszustand zurückgesprungen, wenn der fehlerhafte Adapter bzw. Verbindung wieder hochkommt.

Zur Überwachung des Adapters als solchem wird der Link-Status des Adapters herangezogen. Werden kein Link-Status Meldungen mehr registriert, so ist entweder der Adapter, der Switch oder das Kabel defekt. Der Standby-Adapter wird aktiviert.

Zur Überwachung der Verbindung ins Netzwerk wird ein zuverlässiger Router bzw. Host regelmäßig gepingt. Werden keine Antworten empfangen, so wird ebenfalls der Standby-Adapter aktiviert.

Fehler im Link-Status werden sehr schnell festgestellt (unter 1 Sekunde), Verbindungsfehler werden angenommen, wenn 3 Pings (Intervall ist eine Sekunde) nicht beantwortet werden. Somit wird ein Fehler nach maximal 4 Sekunden behoben, was gegenüber Systemen wie z.B. HACMP sehr schnell ist.

Etherchannel

4.3

 
.                                                            Host
.
.                                                 --------------------------
.------------            -------------------      |                        |
.           [  ----------| Logisches ent6  |------| ent1 00:0d:60:5f:d8:6e |
.  10.2.3.6-[  ----------|  10.2.3.6       |------| ent2 00:0d:60:e6:60:62 |
.           [  ----------|                 |------| ent3 00:0d:60:d8:26:63 |
.           [  ----------|00:0d:60:5f:5d:c8|------| ent4 00:0d:60:5f:5d:c8 |
.------------            -------------------      |                        |
.                                                 --------------------------
. Cisco Switch
. EtherChannel
.

VLAN

5.1

Virtual IP Address (VIPA)

Das Konzept kommt vom Host. Die Virtuelle IP Adresse eliminiert die Abhängigkeit von einer definierten Adresse auf einem spezifischen Interface. Bei einem Fehler des Interfaces, der Netzwerkverbindung oder der Netzwerk-Geräte im Pfad sorgt das Routing Protokoll für eine alternative Route.

Dabei verhalten sich die IP-Pakete folendermaßen:

Das virtuelle Interface viX ist keinem reellen Adapter zugeordnet, daher erscheint auch kein Eintrag in der Routing Table; es wird keine Interface Route für dieses (virtuelle) Interface eingerichtet.

Trotz VIPA kann IP Multipath Routing und Dead Gateway Detection (DGD) eingesetzt werden. Der gated ignoriert VIPAs, richtet also keine Routen ein und sendet auch keine Advertisements über dieses Interface. OSPF bewirbt die Adresse gegenüber den Nachbarn.

Die Implementation ist noch etwas im Fluß.
Mit AIX 5.1 ist die VIPA die Quelladresse (Sourceadress) des Systemes. Daher brauchen andere Maschinen im Netz eine Route zu diesem Host. Alle ausgehenden Pakete tragen die VIPA als Quelladresse im TCPIP Header. Eine Ausnahme gibt es für Applikationen, die an ein bestimmtes Interface binden. In so einem Fall ist die entsprechende IP Adresse die Quelladresse.
Bei AIX 5.2 bestimmt der Administrator, welche Interfaces zu einer VIPA zusammengefaßt werden. In beiden Versionen sind mehrere VIPA auf einem System möglich. Im Fall von AIX 5.1 ist die Quelladresse diejenige, welche in der Ausgabe des netstat-Kommandos zuerst kommt. In AIX 5.2 sind parallel mehrere VIPA als Quelladressen möglich - das ifconfig-Kommando zeigt das: Pro Interface werden im Feld iflist die beteiligten Adapter angezeigt.

VIPA vs. IP-Alias: Aliase sind an Interfaces gebunden. Eine VIPA kann unabhängig hoch- bzw. heruntergefahren werden; ist also genauso wie ein physikalisches Interface handhabbar. Die Kurzkommandos für den SMIT sind smitty mkinetvi und smitty chvi.

BIND 9

Die Version AIX 5.2 bringt als Standard Version des BIND die Version 9.02.0 mit. Optional ist es möglich, auch noch die Bind-Versionen 4 und 8 zu nutzen. Mit AIX 5.3 ist dann nur noch Bind 8 oder 9 implementiert.

Wichtige Erweiterungen in der Bind-Version 9:

Die DNSSEC Protokolle nutzen Tickets, wie man es von Kerberos kennt. Diese Tickets tragen Zeitstempel; daher ist bei einem Einsatz der Bind Version 9 eine synchronisierte, genaue Zeit im Netz erforderlich. Es muß also das Network Time Protocol (NTP) eingesetzt werden (xntpd und eine zuverläßige Zeitreferenz).

Die Remote Configuration läuft über den rndc (Remote Name Deamon Control). Der Zugang ist mit Keys geschützt; diese Keys werden in der named.conf und in der rndc.conf gesetzt.

Split Connection Proxy Systems

Ein klassischer Proxy zwischen Client und Server macht die ganze Arbeit nocheinmal, da er alle Pakete durch den ganzen TCPIP Stack hebt, mit allen Speicherkopien und Kontext-Switchen zwischen Kernel und Userland. (www.cs.umd.edu/~pravin/publications/publist.htm).

Daher ist es bei heutigen Netzlasten und Anforderungen wünschenswert, die Verbindung schon auf unterster Ebene, also noch als Kernelprozess, umzuleiten. Die Methode heißt TCP Splicing: Die Daten werden nicht mehr zwischen Kernel- und User-Prozess hin- und herkopiert; Split Connection Proxys laufen so deutlich schneller.

.                  Proxy Server
.
.            Sockets in den Kernel 
.             (der klassische Weg)
User           --          -- 
----------------------------------------------------------
.
Kernel            TCP Splice
.              ---------------
.              |             |
----------------------------------------------------------
Netz           |             |
.              |             |
.

Man verbindet also auf unterster Ebene zwei TCP Socket miteinander. Das geschieht mit Hilfe eines neuen Systemcalls: splice(). Damit kann TCP zwei Sockets verbinden, sodaß der Userprozess die Daten nicht mehr zwischen den Sockets bewegen muß.

Die Implementation sieht so aus:

int splice(socket1, socket2, flags
int socket1 socket2;
int flags;

Die Sockets müßen vom Typ SOCK_STREAM und das Protokoll IPPROTO_TCP sein.

Quality of Service - QoS

Quality of Service ist seit AIX 4.3.3 Teil des Fileset bos.net.tcp.server.

Neu sind: Policy based network traffic categorization and conditioning für das

Die Implementation in AIX 5.x orientiert sich am Draft draft-rajan-policy-qosscheme-01.txt.

Die Policy Condition sind fünf Eigenschaften, nach denen Pakete klassifiziert werden. Die Eigenschaften beziehen sich auf die Verbindungszugehörigkeit der Pakete:

Erfüllt ein Paket die Policy Conditions, fällt so das Paket in eine Klasse, der Policy Actions zugeordnet sind (Token Bucket Parameter, TOS Byte für In-Profile Traffic).

Eine Policy ist also eine Sammlung konfigurierbarer Parameter, mit deren Hilfe sich Verkehr bestimmter Art regulieren läßt.

Komponenten des QoS Subsystemes

BSP. AUS REDBOOK

Diese Policies dürfen sich jetzt überschneiden: So kann bei Applikation A der Source Port feststehen, und bei Applikation B der Destination Port. Vor AIX 5L hätte das einen Fehler gegeben, da eine Verbindung von Applikation A wie eine von Applikation B aussehen kann.

Daher werden die Policies jetzt priorisiert; ein Parameter, der auch vom Administrator eingestellt werden kann.

Command Line Interface Kommandos:

Die Kommandos kommunizieren über den Policy Agent mit der Manager-Komponente im Kernel und schreibt Änderungen dann fest.

Neue no-Optionen

TCP IP RAS - Reliability Availability Servicability

FTP Server Erweiterungen

Ein neuer (für AIX) Paketfilter

AIX 5L besitzt zusätzlich zum Berkely Paket Filter (BPF) noch die Paket Capture Library (libpcap.a) als User Interface (Userlevel Subroutine). Dies ermöglicht dem User, noch unbearbeiteten Netzwerkverkehr zu beobachten.


[ Main | Local ]

[ Allgemein | UNIX | AIX | TCP-IP | TCP | ROUTING | DNS | NTP | NFS | FreeBSD | Linux | SMTP | Tracing | GPS ]

Copyright 2001-2014 by Orm Hager - Es gilt die GPL
Feedback bitte an: Orm Hager (orm@doc-tcpip.org )