ロードバランサーを用いてサーバの不可分散をする際に、

リアルサーバにループバックIPを振るかと思いますが、
その際にARPに反応しないよう以下の設定を、
/etc/sysctl.confにするといつくかのサイトに書かれていました。

================================
net.ipv4.conf.lo.arp_ignore = 1   
net.ipv4.conf.lo.arp_announce = 2
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2
================================

こちらの意味は具体的にどういったものでしょうか。

以下のサイトに英文で説明が載っていたのですが、
よく理解できませんでした。
http://www.austintek.com/LVS/LVS-HOWTO/HOWTO/LVS-HOWTO.arp_problem.html#2_6_arp_announce

わかる方いらっしゃいましたらよろしくお願いします。

回答の条件
  • 1人5回まで
  • 登録:2008/01/09 18:28:36
  • 終了:2008/01/16 18:30:02

回答(2件)

id:devichan No.1

devichan回答回数56ベストアンサー獲得回数42008/01/09 18:53:14

ポイント35pt

google翻訳です。(メチャクチャな翻訳ですが・・)

http://translate.google.com/translate?u=http%3A%2F%2Fwww.austintek.com%2FLVS%2FLVS-HOWTO%2FHOWTO%2FLVS-HOWTO.arp_problem.html%232_6_arp_announce&langpair=en%7Cja&hl=ja&ie=UTF8:title

arpに応答させないのは、MACアドレスを覚えさせないようにする為です。

arpに返答してしまうと、MACアドレスを覚えてしまい、ipとmacアドレスが関係付けられてしまい

負荷分散させたときに、送りたい機器へ通信がいかなくなります。

(ipがなんであれ、通信は下位層のmacアドレスで行われていますので)

※これでは説明が足りないでしょうか・・

 なんか説明しにくい・・

id:the_yakisoba

arpに応答させないようにする理由はわかるのですが、

/etc/sysctl.confに設定しているものの具体的な意味が知りたいのです。

2008/01/09 19:18:05
id:devichan No.2

devichan回答回数56ベストアンサー獲得回数42008/01/09 20:46:59

ポイント35pt

すみません。_(_^_)_ 理解できていませんでした。

えっと、

 ・arp_ignore=1

  →arpのリクエスト元IPアドレスが、それを受診したインターフェースのipアドレスだった場合のみ

   arpリプライを返すように設定する。

   だから負荷分散のvip宛てarpリクエストに対してarpリプライを返さない。

 ・arp_announce=2

  arpリクエストを送信場合、送信元のipアドレスとして、送信先に一番近いインターフェースに設定

  されているipアドレスを使うように設定する。

  だから負荷分散のvip側を基点として(送信元アドレス)通信する場合、通信開始時に送信される

  arpリクエストの送信元ipとして、vipではなく、インターフェースのipアドレスを使う。

と、言う意味になります。

下記ページに参考になるものがあります。

CentOS5.0とLVS(Linux Virtual Server)でWeb負荷分散装置を作る - sous le grand arbre

z手帖 » 2006» 12月

※質問への回答は、回数がもったいないと思いますので、「この質問・回答へのコメント」をONにされたほうが良いかと思います。

id:the_yakisoba

ご回答ありがとうございます。

実は参考ページはすでに見つけていて、

そのページではインターフェースを「all」に対してのみ設定しているようなのですが、

私が例に出した設定のように、

ほかのページでは「all」のほかに「eth0」や「lo0」にも設定していたりするのですが、

「all」で設定すれば、

「eth0」や「lo0」も含まれると思ったのですが、

そういう意味ではないのでしょうか??

またarp_ignoreとarp_announceがほかの値の場合の意味もわかりましたら教えていただけると助かります。

よろしくお願いします。

2008/01/09 22:55:25
  • id:devichan
    ちょっと時間がなくって、とりあえずkernel-docのip-sysctl.txtの該当部分を載せます。

    arp_announce - INTEGER
    Define different restriction levels for announcing the local
    source IP address from IP packets in ARP requests sent on
    interface:
    0 - (default) Use any local address, configured on any interface
    1 - Try to avoid local addresses that are not in the target's
    subnet for this interface. This mode is useful when target
    hosts reachable via this interface require the source IP
    address in ARP requests to be part of their logical network
    configured on the receiving interface. When we generate the
    request we will check all our subnets that include the
    target IP and will preserve the source address if it is from
    such subnet. If there is no such subnet we select source
    address according to the rules for level 2.
    2 - Always use the best local address for this target.
    In this mode we ignore the source address in the IP packet
    and try to select local address that we prefer for talks with
    the target host. Such local address is selected by looking
    for primary IP addresses on all our subnets on the outgoing
    interface that include the target IP address. If no suitable
    local address is found we select the first local address
    we have on the outgoing interface or on all other interfaces,
    with the hope we will receive reply for our request and
    even sometimes no matter the source IP address we announce.

    The max value from conf/{all,interface}/arp_announce is used.

    Increasing the restriction level gives more chance for
    receiving answer from the resolved target while decreasing
    the level announces more valid sender's information.

    arp_ignore - INTEGER
    Define different modes for sending replies in response to
    received ARP requests that resolve local target IP addresses:
    0 - (default): reply for any local target IP address, configured
    on any interface
    1 - reply only if the target IP address is local address
    configured on the incoming interface
    2 - reply only if the target IP address is local address
    configured on the incoming interface and both with the
    sender's IP address are part from same subnet on this interface
    3 - do not reply for local addresses configured with scope host,
    only resolutions for global and link addresses are replied
    4-7 - reserved
    8 - do not reply for all local addresses

    The max value from conf/{all,interface}/arp_ignore is used
    when ARP request is received on the {interface}

  • id:the_yakisoba
    >そのページではインターフェースを「all」に対してのみ設定しているようなのですが、
    >私が例に出した設定のように、
    >ほかのページでは「all」のほかに「eth0」や「lo0」にも設定していたりするのですが、
    >「all」で設定すれば、
    >「eth0」や「lo0」も含まれると思ったのですが、
    >そういう意味ではないのでしょうか??

    この部分の意味だけお分かりになったら教えていただけると助かります。
    よろしくお願いします。
  • id:devichan
    返答、遅くなって、もうしわけありません。
    interfaceに対する、設定としては、
    使用できるものは、「all」と個々のinterface名(eth0とかhme0とか。。。これは、OSによって違います)であっています。
    で、
    arp_ignore は、受け取るarpリクエストでの挙動
    arp_announce は、発信する場合のarpリクエストでの挙動
    を決めます。

    arp_ignoreは、0-8まで、0がデフォルト、4-7がリザーブ
    0 (デフォルト)すべてに応答
    1 受信??(送信先)IPアドレスが受け取ったinterface側に定義されていた場合のみ応答
    2 受信??(送信先)IPアドレスが受け取ったinterface側のサブッネットに属する場合応答
    3 ←わかりません。
    8は応答しない。

    arp_announce 0-2まで、0がデフォルト
    0 (デフォルト)すべてに発信??(受け取ったinterfaceが応答を返すと考えればいいです)
    1 相手先のIPアドレスがinterface側と同じサブネットに対してのみ応答
    (これは、間違っているかも・・・)
    2 相手先のIPアドレスに近いinterfaceを使って応答

    です。
  • id:the_yakisoba
    ご回答ありがとうございます。
    大変助かります。

    >「all」で設定すれば、
    >「eth0」や「lo0」も含まれると思ったのですが、
    >そういう意味ではないのでしょうか??

    こちらの部分のみお分かりになりましたら教えて下しさい。
    よろしくお願いします。
  • id:devichan
    >「all」で設定すれば、
    >「eth0」や「lo0」も含まれると思ったのですが、
    >そういう意味ではないのでしょうか??
    allすべてのinterfaceを指します。ですので、言われています
    「eth0」や「lo0」も含まれます。
    ただ、どういう用途に使うのか、物理interface数、仮想interface数等
    を考えた上で、arpをどう動作させたいのか定義されたほうがよいと思います。
    やみくもに、allで定義してしまうと、想定されていた動作と違う動きになるかもしれませんよ。
  • id:the_yakisoba
    ご回答ありがとうございます。
    大変助かりました。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません