# LACP & Link Aggregation: Redundante Gigabit-Power
TL;DR / Management Summary In modernen Netzwerken ist eine einzelne Netzwerkkarte oft der Single Point of Failure (SPOF). Mit Link Aggregation (LAG), speziell dem Standard LACP (802.3ad), bündeln wir zwei oder mehr physische Schnittstellen zu einem logischen Interface. Ein Senior Admin nutzt LACP für die Anbindung an den Core-Switch, um bei Kabelbruch oder Port-Defekt den Betrieb aufrechtzuerhalten und den Gesamtdurchsatz für parallele Sessions zu erhöhen.
# 1. Einführung & Standards
Teamwork für Pakete.
OPNsense unterstützt verschiedene Aggregations-Typen:
- LACP (802.3ad): Dynamische Aushandlung mit dem Switch. Erkennt Ausfälle am schnellsten.
- Failover: Nur eine Karte ist aktiv, die andere übernimmt bei Ausfall.
- Loadbalance: Statische Verteilung (kein Support am Switch nötig, weniger stabil als LACP).
# 2. Einrichtung in der Praxis
Sync zwischen Switch und Firewall.
# Schritt 1: Switch-Konfiguration
Stellen Sie die Ports an Ihrem Switch auf LACP (Dynamic).
- Beispiel Cisco:
channel-group 1 mode active.
# Schritt 2: LAGG Interface in OPNsense
Interfaces -> Other Types -> LAGG.
- Parent Interfaces: Wählen Sie die freien NICs (z.B.
igb1,igb2). - LAGG Protocol:
LACP.
# Schritt 3: Zuweisung
Interfaces -> Assignments.
Weisen Sie das neue lagg0 Device Ihrem LAN oder einem Trunk-VLAN (Artikel 548) zu.
# 3. Deep Dive: Hashing & Performance
Warum 1+1 nicht immer 2 ist.
LACP verteilt Traffic basierend auf einem Hash (meist Source/Dest IP + Port).
- Limitierung: Eine einzelne TCP-Verbindung (z.B. ein großer Dateitransfer) wird immer nur über eine physische Leitung geleitet.
- Vorteil: Wenn 10 User gleichzeitig laden, werden diese statistisch über beide Leitungen verteilt.
# 4. Day-2 Operations: Wartung & Monitoring
Den Link-Status im Auge.
# LACP-Status prüfen
Gehen Sie in die Shell (Option 8):
ifconfig lagg0Achten Sie auf das Feld laggport. Beide physischen Schnittstellen müssen den Status ACTIVE haben.
# 5. Troubleshooting & “War Stories”
Wenn die Bündelung zum Blackout führt.
# Top 3 Fehlerbilder
-
Symptom: Kein Traffic geht über den LAGG, obwohl beide Links “Up” sind.
- Ursache: Mismatch zwischen
active(FW) undpassive(Switch). - Lösung: Stellen Sie beide Seiten auf Active.
- Ursache: Mismatch zwischen
-
Symptom: Unregelmäßiger Paketverlust (Jitter).
- Ursache: Unterschiedliche Kabellängen oder Geschwindigkeiten (z.B. eine NIC hat nur 100 Mbit/s ausgehandelt).
- Lösung: Nutzen Sie identische Transceiver und Kabeltypen.
-
Symptom: OPNsense friert beim Erstellen des LAGG ein.
- Ursache: Sie versuchen, das Interface zu bündeln, über das Sie gerade die GUI verwalten.
- Lösung: Nutzen Sie ein temporäres drittes Interface (Management Port) für die Konfiguration.
# “War Story”: Die “One-Way” Straße
Ein Admin konfigurierte LACP auf der Firewall, aber vergaß den Switch. Das Ergebnis: Die Firewall schickte Pakete über beide Leitungen. Der unkonfigurierte Switch sah die gleiche MAC-Adresse an zwei Ports und blockierte diese sofort (“Loop Protection”). Das gesamte Büro war 2 Stunden offline. Lehre: Konfigurieren Sie LACP immer zuerst am Switch und dann an der Firewall. Wenn möglich, lassen Sie einen Port als “Rescue-Zugang” außerhalb des LAGs.
# 6. Monitoring & Alerting
Link-Failure Dashboards.
# SNMP Überwachung
Überwachen Sie die physischen Member-Ports des LAGG einzeln.
- KPI: Wenn Port 1
Downgeht, muss der Admin sofort benachrichtigt werden, auch wenn der Internetzugriff via Port 2 noch läuft.
# 7. Fazit & Empfehlung
LACP ist Pflicht für jeden Core-Router.
- Empfehlung: Nutzen Sie LACP für alle Verbindungen zwischen OPNsense und dem Backbone-Switch.
- Wahl: Nutzen Sie für die WAN-Anbindung meist kein LACP (da Modems dies selten unterstützen), sondern setzen Sie hier auf Multi-WAN Failover (Artikel 573).
# Anhang: Cheatsheet
| Aufgabe | Befehl |
|---|---|
| LAGG Status | ifconfig lagg0 |
| Member-Details | `dmesg |
| MTU anpassen | ifconfig lagg0 mtu 9000 |
| Fehlerliste | netstat -i |