Switch streikt - Netzwerk tot

[Jeb]

Hallo,

also ich habe hier ein schwerwiegendes Problem.

Unser Firmennetzwerk hat ein Problem. In unregelmässigen Zeitabständen streikt das Netzwerk, das äussert sich so, dass einfach nichts mehr geht. Kein Ping kein gar nix , alles tot.

Unser Netzwerk besteht aus einem 100MbitDlink-Switch (der ältere) und einem HP-ProCurve (der neuere) . Daran stecken dann eine hand voll Server, eine handvoll Clients , ein Dlink Router und ein Wlan-Access Point , ebenfalls von Dlink. Am ProCurve sind Vlans eingerichtet und werden von den Servern benutzt.

Als das heute (wieder) passiert ist, haben wir das Netzwerk Stück für Stück aufgetrennt:

-Switche neu gestartet

-Uplinks getrennt

-Server nach und nach abgesteckt , Pingen versucht

Und plötzlich nach dem Abstecken aller Server ging auch das Pingen wieder.

Soweit so gut , wir haben also unseren neueren ProCurveSwitch als den Übeltäter entlarvt. ???

Allerdings passt das nicht ganz zur Vorgeschichte: Den gleichen Fehler hatten wir nämlich schon vor einem halben Jahr und dort hatten wir den ProCurve (und ein paar Server) noch nicht - ist also doch der andere Switch schuld?!

ODer ein Server ?! Aber alle Server sind neu, bei den bestehendne Servern wurden die Netzwerkkarten gewechselt.

Ich bin also ziemlich ratlos was hier nun kaput ist ?!

Das dumme daran das Problem taucht nur alle zwei drei Monate auf und ist nicht reproduzierbar.

Ich bin für alle Tipps ( und seien sie auch noch so abwägig) dankbar!

Bearbeitet 26. Januar 2009 von Jeb

[GS-Rider]

ich habe/hatte ab und zu auch das problem, dass mein netzwerk zu hause auf einmal tot war...es wurde dann immer wie folgt gelöst:

ins computer zimmer gehen und router so 10 bis 15 sekunden vom strom trennen, dann wieder anschließen und warten bis die lampen aufhören wie wild zu blinken...anschließend hat das dann wieder funktioniert...das selbe problem haben wir auch ab und zu bei uns auf arbeit mit unserem netgear wlan access point...stecker ziehen, warten und neu starten (nicht reset drücken!)

p.s.

bei mir zu hause trat das auf einem reinen wired router von dlink auf und auf einem wlan router von ovislink. also nicht abhängig vom wlan!

vielleicht hilt das weiter...ist zwar keine befriedigende lösung aber erstmal das kostengünstigste was ich hier anbieten kann.

eine andere alternative wäre der austausch der router,switches und access points durch andere neuere hardware von der selben firma...für die verkabelten pcs benutzen wir auf arbeit linksys switches.

auch wenn linksys sehr mainstream ist (ähnlich wie netgear oder dlink) aber es steckt die fima cisco systems hinter, also qualitätsware

kann die dinger nur empfehlen...so ende der schleichwerbung ^^

[Jeraa]

Ich weis nicht ob es wirklich weiter hilft, aber "früher" gab es doch das Problem wenn die Netzwerkkarte anfangen zufliggern (?) also versuchen die Netzwerkgeschwindigkeit automatisch auszuhandeln, das das schon mal das ganze Netzwerk durcheinanderhauen konnte. Da kann schon ein Übeltäter reichen.

Hab zwar sowas noch nie erlebt, aber irgendwo mal gelesen.

Eventuell die Netzwerkkarten auf 100 Mbits festnageln.

Gruß Jeraa

Bearbeitet 26. Januar 2009 von Jeraa

[lynxian]

kann das sein, dass der 100 mbit uplink des d-links in gewissen situationen nicht für alle angeschlossenen geräte ausreicht, um mit dem Hp zu kommunizieren? würde mal testen wieviele pakete weggeworfen werden. komisch allerdings, dass dann beide geräte aufhören zu arbeiten. eigtl kann man nur raten

[Crash2001]

[...]Unser Firmennetzwerk hat ein Problem. In unregelmässigen Zeitabständen streikt das Netzwerk, das äussert sich so, dass einfach nichts mehr geht. Kein Ping kein gar nix , alles tot.

Unser Netzwerk besteht aus einem 100MbitDlink-Switch (der ältere) und einem HP-ProCurve (der neuere) . Daran stecken dann eine hand voll Server, eine handvoll Clients , ein Dlink Router und ein Wlan-Access Point , ebenfalls von Dlink. Am ProCurve sind Vlans eingerichtet und werden von den Servern benutzt.

Als das heute (wieder) passiert ist, haben wir das Netzwerk Stück für Stück aufgetrennt:

-Switche neu gestartet

-Uplinks getrennt

-Server nach und nach abgesteckt , Pingen versucht

Und plötzlich nach dem Abstecken aller Server ging auch das Pingen wieder.

Soweit so gut , wir haben also unseren neueren ProCurveSwitch als den Übeltäter entlarvt. ???[...]

Was zeigen denn die Switche währenddessen an? Und was sagen die Logfiles des HP-Switches? (Die sind doch aktiviert, oder?) Irgendwelche Warnmeldungen?

Das Problem könnte diverse Ursachen haben. Entweder habt ihr irgendwo eine Loop eingebaut, so dass sich der Traffic mit und mit hochschaukelt und dann irgendwann das Netz lahmlegt, oder aber z.B. Broadcaststürme gehen durch das Netz und blockieren so die Kommunikation, ...

Genauso kann es aber auch einfach sein, dass es ein Bug des Switch-Betriebssystems ist oder ein Hardwarefehler des Switches oder des Speichers darin, wodurch ein Pufferüberlauf verursacht wird. Manche Switche brauchen - genau wie Windows - ab und an einfach mal einen Reboot und funktionieren danach wieder eine Weile ganz normal.

Genauso kann es aber auch ein Virus o.ä. auf einem der Server sein, der das Netz lahmlegt.

Ohne eine Analyse ist das alles nur Rumraterei.

[Jeb]

Hi!

also zuerst einmal habe ich nun bei den Netzwerkkarten die geschwindigkeiten festgenagelt - ob das was bringt wird die zeit erst zeigen.

Einen Loop im Netzwerk schliesse ich aus - - es sind zwei Switches, ich wüsste nicht wie ich das schaffen könnte :-)

Einen Fehler im Switch würde ich nicht ganz ausschliessen, aber einfach mal so Switche tauschen die fast 300€ kosten (zumindest der eine) geht halt auch nicht so einfach.

@Crash2001

Ich glaube , dieser kleine ProCurve hat was das angeht keine Logs, ich werde das nochmal überprüfen, aber ich glaube nicht.

Einen Virus oder Wurm würde ich auch aussschliessen ,dafür tritt das phänomen zu selten auf.

Eine Analyse würde ich gerne machen nur ich weiß momentan echt nicht wie und wo ich hier anfangen kann/soll - genau das ist mein Problem.

@ lynxian

den uplink hatte ich auch schon im verdacht.

Allerdings war zu diesem Zeitpunkt nur ein einziger Rechner am Dlink angesteckt und aktiv und kann somit den uplink nicht überlasten?!

Die Weggeworfenen Packete werde ich mal kontrollieren.

Bearbeitet 27. Januar 2009 von Jeb

[Crash2001]

welches Modell ist der HP Pro Curve Switch denn genau?

Für eine Analyse musst du wissen, was wo dran steckt und evtl noch etwas Pakete mitsniffen (Stichwort Monitoringport - geht aber nur bei managebaren Switchen), damit du siehst, was im Netz abgeht.

[Jeb]

Hi!

ich hab leider nicht die Typennummer parat , aber soweit ich weiß ists der kleinste von Hp Pro Curve

einen Monitoring Port hat er , das hab ich mir auch schon überlegt , aber ich kann ja nicht über Wochen hinweg Packete mitsniffen :-/

[bjoeki]

Hi!

einen Monitoring Port hat er , das hab ich mir auch schon überlegt , aber ich kann ja nicht über Wochen hinweg Packete mitsniffen :-/

Dir wird nicht viel anderes übrig bleiben.

[Crash2001]

Du kannst die Pakete ja jeweils nach x Minuten verwerfen, so dass der REchner nicht zugemüllt wird mit Logs vom Monitoring. Da du aber ja nicht weisst, wann es wieder passiert, bleibt dir nicht viel anderes übrig.

Die Alternative wäre halt, es erst zu machen, wenn es wieder nicht mehr geht - ob dann da aber überhaupt noch irgendetwas möglich ist zu sniffen, ist die andere Frage.

[hades]

Wird Spanning Tree (IEEE802.1d) bzw. Rapid Spanning Tree (frueher separat als IEEE802.1w, ab 2004 im Spanning Tree Standard IEEE802.1d) zur Loop-Vermeidung eingesetzt?

Ja -> Wurde der auch konfiguriert?

Denn wenn eingesetzt -und nicht konfiguriert-, dann ist Dein alter Switch die Root-Bridge und nicht wie normalerweise gewuenscht der Neue, Leistungsfaehigere.

Sowas kann interessante Effekte ausloesen wie z.B. das gefuehlte, dauerhafte Blockieren von Ports.

[Jeb]

@hades

Ich versteh immer nur Loop?!

Spanning Tree - - ich hab keine Ahnung. Ich behaupte mal es ist weder aktiviert noch konfiguriert. Ich wüsste ja auch nicht wieso.

Wieso sollte ich das brauchen ?

Wie gesagt , es sind nur 2 Switches an die dann Server wie Clients angeschlossen sind - Das sollte jeder billige "Baumarkt"-Switch schaffen....

Magst du das bitte noch kurz erklären ?

[Crash2001]

Der alte Switch muss nicht die Root-Bridge sein, sondern der Switch mit der niedrigsten Priorität wird automatisch zur Root-Bridge. Ist die Bridge Priority gleich, dann wird der Switch mit der niedrigeren MAC-Adresse automatisch zur neuen Root-Bridge. Zumindest solange beide Spanning Tree unterstützen und dementsprechend BPDUs verschicken.

Die Frage ist, wie sich Switche die kein Spanning Tree Protokoll (STP) unterstützen, verhalten, wenn sie BPDUs empfangen. Rein theoretisch sollten die Pakete dann verworfen werden und wenn der Switch der Spanning Tree unterstützt auf dem Port keine BPDUs empfängt, sollte er die Root bridge sein und der Port, wie wenn ein einfacher PC dran hinge, normal laufen. Sollte auf dem Port jedoch durch irgendwelche Umstände die BPDU, die der Switch gesendet hat, zurückkommen, so könnte der Port durch das STP automatisch auf "Blocking" gestellt werden, da ein Loop angenommen wird.

Der D-Link wird höchstwahrscheinlich kein STP unterstützen, der HP hingegen evtl schon und falls ja, wird es evtl auch per Default aktiviert sein.

Der kleineste ProCurve Switch wäre aus der 400er oder 1400er Reihe, die beide unmanaged sind. Ab der 1700er-Serie sind sie managebar. Schau doch mal nach, was auf dem Switch drauf steht.

Ich tippe aber eher auf fehlerhafte Pakete, die das Netzwerk lahmlegen. Das kann durch einen defekten Switche oder durch eine defekte Netzwerkkarte passieren.

@Jeb:

Zu Spanning Tree siehe hier.

[Jeb]

Hi!

danke für die weitere Erklärung.

Leeeiider ist der ProCurve ja noch recht neu.

Und das Problem hatten wir ja vorher auch schon mal.

Damals hatten wir einen Server als den Schuldigen auserkoren und kurzerhand das Board/Nics getauscht.

Und jetzt haben wir das Problem nicht mehr.

Meine Dumme Fragen nach Spanning Trees und Loops kommt deswegen weil ich denke dass wir gar kein so kompliziertes Netzwerk haben.

Aber es könnte ja an und für sich auch mit einem anderen Gerät das Problem geben. Der angeschlossene Router ist ja auch ein Switch der so ein Problem provozieren kann....

Mmmh, ein fass ohne boden ....

Welches Tool sollte ich den am besten zum sniffen benutzen ?

PS:

Es handelt sich um einen ProCurve 1800-24G

[hades]

Sniffer-Software:

Je nachdem welches Betriebssystem Du einsetzt.

Windows: Wireshark

Solaris: snoop

Linux: tcpdump

Downloadlinks bitte selbst suchen, denn diese Links von durchaus sinnvollen Tools -wenn im eigenen Netz zur Fehlersuche eingesetzt- fallen leider auch unter den schwammigen "Hackerparagraphen" StGB 202c. ( Hackerparagraf ? Wikipedia )

Bearbeitet 1. Februar 2009 von hades

[Crash2001]

[...]PS:

Es handelt sich um einen ProCurve 1800-24G

Der sollte ja - zumindest oer Weboberfläche - managebar sein.

Gib doch einfach mal dessen IP-Adresse (default ist 192.168.2.10) ein und schau, ob das Webfrontend erscheint. (Natürlich musst du auf dem PC eine IP aus dem Netz 192.168.2.0/24 haben, damit du es erreichen kannst.) Default-Passwort ist keins vergeben, also sollte es einfach durch klicken auf "Login" weiter gehen.

Da kannst du dann mal schauen, ob du entsprechende Logfiles findest, die dir evtl Aufschluss über das Problem geben.

Die manuals findest du hier. (Installation and Getting Started Guide, Read me first, Management and Configuration Guide)

Zum sniffen muss der entsprechnde Port wohl noch als Monitoring-Port konfiguriert werden, da sonst nur Broadcasts und Pakete, die für die dran hängende MAC-Adresse dort ankommen.

Configuration Manual.

Port Mirroring ist das Stichwort.

[edit]

Entweder unterstützt der Switch kein Spanning Tree, oder aber es ist zumindest nicht konfigurierbar per Web-Oberfläche. Im Configuration Manual habe ich dazu jedenfalls nichts gefunden.

[/edit]

Bearbeitet 1. Februar 2009 von Crash2001

[Jeb]

die weboberfläche hab ich schon gefunden - brauche ich ja auch für die VLANs

aber von logs oder spanning tree steht da leider gar nichts :-/

Aber gut, ich werde mal die Ratschläge befolgen und melde mich in am halben jahr wieder - - oder auch nicht