Яким чином бічна смуга IPMI розділяє порт Ethernet з хостом?

У нас є ряд апаратів Supermicro з функціями IPMI / BMC. Деякі з цих машин використовують вбудований BMC, а інші використовують додаткову карту .

Ми розглядаємо можливість використання бічної смуги через зменшення витрат та вимог до кабелів. Однак деякі деталі бічної смуги не зовсім мають сенс.

Бічній смузі потрібен один кабель Ethernet, який підключається до порту Ethernet на материнській платі. Потім цей мережевий порт ділиться між системою IPMI та операційною системою. З того, що я прочитав у цьому посібнику з Supermicro , "Використовуйте ту саму MAC-адресу, яку ви використовуєте для LAN1 для карти SIMSO IPMI". Однак IPMI повинна мати іншу IP-адресу, ніж операційна система.

Як можливо мати два пристрої (операційну систему та IPMI), які можуть слухати та передавати цей самий фізичний мережевий порт? Коли пакет надходить на інтерфейс, як система визначає, чи призначений цей пакет для Операційної системи або для системи IPMI?

Чи ці пакети взагалі обробляються процесором, використовуючи переривання процесора? Чи можуть пакети до інтерфейсу IPMI переглядати операційну систему?

Я керую багатьма серверами SuperMicro за допомогою бортового IPMI. Я маю стосунки любові / ненависті до спільного (він же бічної смуги) ethernet. Взагалі, як це працює, це те, що LAN1, як видається, має 2 (різні) MAC адреси - один призначений для інтерфейсу IPMI, інший - для вашого стандартного Broadcom NIC. Трафік до інтерфейсу IPMI (рівень 2, заснований на MAC-адресі) магічно перехоплюється нижче рівня операційної системи і ніколи не спостерігається будь-якою ОС працює.

Ви вже досягли однієї гарної точки для них: менше кабелів. Тепер дозвольте мені розкрити деякі недоліки:

• Особливо важко безпечним чином розділити інтерфейс IPMI на окрему підмережу. Оскільки весь трафік йде по одному кабелю, вам (майже) завжди потрібно мати інтерфейс IPMI та інтерфейс LAN1 в одній і тій самій підмережі IP. На останніх материнських платах IPMI-картки тепер підтримують присвоєння VLAN до IPMI NIC, тому ви можете отримати деякий вигляд поділу - але основна ОС завжди може нюхати трафік для цієї VLAN. Старі контролери BMC взагалі не дозволяють змінювати VLAN, хоча такі інструменти, як ipmitool або ipmicfg, нібито дозволять вам змінити його, він просто не працює.
• Ви централізуєте свої пункти відмов у системі. Виконуєте конфігурацію на комутаторі і вдається якось відрізати себе? Вітаємо, Ви тепер відключили основне мережеве підключення до Вашого сервера І резервну копію через IPMI. Збій апаратного забезпечення NIC? Вітаю, та сама проблема.
• Ранні SuperMicro IPMI BMC були відомими для того, щоб робити непрості речі з мережевим інтерфейсом. Використовувати бортовий та виділений порт IPMI часто визначався при включенні (не перезапуску) і не перемикався звідти. Якщо у вас відключився живлення, і ваш комутатор не забезпечив живлення досить швидко, ви можете закінчити, що IPMI не працює, тому що він автоматично виявив неправильні налаштування.
• В мене особисто було багато дивних, незрозумілих проблем з підключенням, щоб IPMI бічної смуги надійно працював. Іноді я просто не міг пінг інтерфейсу IP протягом декількох хвилин. Іноді я отримував шторм пакетів на призначеній VLAN, але трафік, здавалося, упадав.

Незважаючи на те, що це не має нічого спільного з присвяченими сторонній смузі, я також зазначу, що інструменти доступу до хост-систем написані дуже погано. Старі IPMI-карти не підтримують нічого іншого, крім локальної аутентифікації, що робить поворот пароля загальним болем. Якщо ви використовуєте функцію KVM over-IP, ви застрягли, використовуючи неправильно підписаний, закінчений термін дії аплету Java або дивний настільний додаток Java, який працює лише в Windows і вимагає підвищення рівня UAC. Я вважаю, що запис на клавіатурі в кращому випадку є плямистим, іноді отримуючи «застряглі клавіші» таким чином, що неможливо ввести пароль для входу, не намагаючись 10 разів.

Врешті-решт мені вдалося налагодити 40+ систем, що працюють з цією схемою. У мене в основному новіші системи, я міг VLAN інтерфейси IPMI на окрему підмережу, і я в основному використовую послідовну консоль через ipmitool, яка працює дуже добре. Для наступного покоління серверів я розглядаю технологію AMT Intel з підтримкою KVM ; оскільки це переходить в серверний простір, я можу побачити заміну IPMI цим.

Я раніше не використовував ці конкретні картки, ті, які я використовував, мають інший MAC для передачі даних про IPMI або порт призначений лише для трафіку IPMI. Можливо, IPMI розділяє NIC, включаючи MAC, хоча.

IPMI матиме інший IP від ​​ОС, тому пакети будуть спрямовані правильно на основі цього. IPMI-трафік ніколи не потрапляє на процесор, все це обробляється в ІС управління бічної смуги.

Хотіли додати до загальної поради, що використання бічної смуги означає, що ви не можете спілкуватися з сервера на BMC. Здається, трафік відфільтровано. Я спробував це на комплекті IBM / Dell / HP.

Я підключу остаточну точку кулі natacados у його початковій відповіді, ваші IPMI-сеанси будуть випадковим часом (я використовую IPMIView від supermicro для перегляду консолі моїх ящиків). Такі речі, як оновлення мікропрограмного забезпечення та мотоцикли, здаються незрозумілими та випадковими помилками.

Чудова відповідь natacado, неймовірно ретельна.