Redundanz durch zwei gleiche MAC- und IP-Adressen?

[lousek]

Hallo Forum

Mal eine kleine Frage aus Neugierde

Im Internet habe ich gerade ein bisschen darüber gesucht, was passiert wenn zwei gleiche MAC-Adressen in einem Netzwerk oder an einem Switch vorhanden sind.

Je nach Switch kann es sein, dass der eine Port gesperrt wird (wohl eher intelligentere Switches) oder dass einfach beide Ports aktiv bleiben und die Pakete für diese MAC-Adresse an BEIDE Ports gesendet werden (also wie ein Hub).

Mit unterschiedlichen IPs dürften dann im "Hub-Mode" wohl auch nicht gross Probleme auftreten, da jeder PC einfach nur die Pakete für die eigene IP-Adresse annimmt und die anderen Pakete verwirft.

Nun ein kleines Szenario (siehe netdiag1.jpg):

Zwei Router (ich sage jetzt mal z.B. pfsese-appliances ) sind mit je einer Netzwerkkarte an jedem Switch angeschlossen.

Der eine PC ist am einen Switch angeschlossen, der andere am anderen.

Was würde nun passieren, wenn man die beiden Router total identisch, also sowohl MAC wie IP-Adressen etc., konfiguriert? (... wenn man natürlich davon ausgeht, dass der Switch die Ports nicht sperrt, sondern "nebeneinander" betreibt)

Wie genau würde z.B. eine HTTP-Verbindung zwischen den beiden PCs reagieren? Ich könnte mir vorstellen, dass bei "verbindungsorientierten" Dingen wie z.B. NAT ein ganz schönes durcheinander enstehen könnte ...

gruss und danke für jede Antwort

lousek

[Eleu]

Haben die Routerports in deinem Beispiel auch eine identische MAC ?

Normal sind doch die MAC Adressen im Auslieferungszustand fest eingestellt.

Man kann aber MAC Adressen via Software ändern.

Also wenn ein Datenpaket vom PC 1 ankommt, tauscht der Router

die Quell Mac Adresse aus und trägt seine eigene ein bevor er das

Datenpaket an PC 2 sendet.

Wenn aber alles gleich ist wird wahrscheinlich gar nichts gesendet.

Die NIC wird ja nicht die eigene MAC Adresse im Cache eintragen

und gleichzeitig die identische MAC des Partners, oder ?

Insofern kann auf Layer 2 schon keine Verbindung aufgebaut werden.

[lousek]

guten abend

Ja, die MAC-Adressen der Router sind auf beiden Interfaces identisch (also das Interface 1 auf Router 1 hat die gleiche MAC-Adresse wie das Interface 1 auf Router 2, das gleiche mit dem Interface 2).

Jedoch haben die PCs schon nicht gleiche MAC-Adressen, weder untereinander noch gleich wie die Router.

Also kann er ja als Quell-MAC-Adresse sehr wohl die eigene eintrage und als Ziel einfach die des betreffenden PCs ... er muss (oder kann?) gar nicht wissen dass eine gleiche MAC-Adresse + IP auch noch im Netz vorhanden ist ...

gruss & danke

lousek

[Eleu]

Also wenn PC 1 senden will, wird PC 1 einen arp-request ausführen und beide Router werden mit einem arp-reply antworten, weil ja beiden Routern die IP-Adresse von PC 2 bekannt ist.

Also leiten beide Router auch theoretisch das Datenpaket an PC 2 weiter.

Vermute ich mal:rolleyes:

In meinem Fachbuch steht aber:

Keine zwei Netzwerkgeräte dürfen in einem LAN Segment dieselbe

MAC - Adresse haben, eine eindeutige Datenübertragung wäre dann nicht

möglich.

[lousek]

dass man unter normalem Umstände nicht zwei gleiche MAC-Adressen haben sollte ist irgendwie klar

aber inwiefern man so einen Router redundant machen kann wäre schon noch interessant ... und auch das mit NAT in diesem Szenario ist sicher einen test wert

gruss & danke

lousek

[Eleu]

aber inwiefern man so einen Router redundant machen kann wäre schon noch interessant ... und auch das mit NAT in diesem Szenario ist sicher einen test wert

Moin,

wenn es hier um Routerredundanz geht, wäre es denn dann nicht möglich

(Mal ausgehend davon, dass dann alle Teilnehmer unterschiedliche MAC`s haben)

den Routern unterschiedliche IP-Adressen zu geben ?

Dann in den PC`s in den NIC's die beiden Routeradressen als Gatewayadressen eintragen`.

Man kann ja mehr als ein Gateway in der NIC konfigurieren.

Dann würde wenn ein Router ausfällt das Telegramm über den anderen Router gesendet.

Wenn beide aktiv sind, eben über beide....

Bin mir aber jetzt nicht ganz sicher ob das so gehen kann.

Weiss das jemand ?

Gruß

Eleu

[lousek]

hmm, zwei verschiedene gateway einzutragen ist mir ein bisschen suspekt ... vor allem ist glaub die umschaltzeit ziemlich hoch, und aktive verbindungen brechen so oder so ab

gruss

lousek

[Crash2001]

Für Routerredundanz gibt es genug genormte und auch noch herstellerspezifische Lösungen, bei denen meist eine virtuelle MAC-Adresse genutzt wird, die auf dem aktiven Gerät dann aktiv ist, oder aber die auf andere MAC-Adressen die Anfragen verteilt.

Siehe HSRP, GLBP, VRRP und CARP

Wenn zwei Geräte die gleiche MAC-Adresse haben und an einem Switch hängen, dann kommt es zu einem Flapping der MAC Adresse, denn jedesmal wenn ein Paket von einem der Geräte kommt, wird die MAC-Adresse wieder aufs neue dem Port zugeordnet und wenn das andere Gerät dann ein Paket sendet, wird sie wieder dem anderen Port zugeordnet. Und da ein stinknormaler Switch auf L2 ausliefert, würden Pakete immer zu dem Gerät gehen, auf dessen Port auf dem Switch die MAC-Adresse gerade gebunden ist, was zu aprupten Abbrüchen u.s.w. führen kann.

Mit anderen Worten - schau dir einfach mal die existierenden Lösungen an. Es gibt Gründe, wieso so etwas entwickelt wurde.

[lousek]

hallo crash2001

danke für deine Antwort.

... wobei CARP wohl die einzige Möglichkeit bei Open-Source-Software sein dürfte, da die anderen Protokolle irgendwie patentiert sind ...

Mit CARP habe ich auch schon herumgetüftelt und es funktioniert ziemlich gut ... aber auch da stellen sich mir ein paar Fragen, wobei ich für diese wohl besser einen neuen Thread aufmache

gruss lousek

[Eleu]

hmm, zwei verschiedene gateway einzutragen ist mir ein bisschen suspekt ... vor allem ist glaub die umschaltzeit ziemlich hoch, und aktive verbindungen brechen so oder so ab

Wenn das grundsätzlich ungünstig ist mit mehreren Gateways für eine NIC,

frage ich mich warum und wofür man es überhaupt konfigurieren kann ?

Wann braucht man das denn ?

[axxis]

Noch dazu:

Aus Erfahrung kann ich sagen, dass manche Pakete auch einfach gar nicht abkommen, wenn zwei Geräte im Netz die selbe MAC haben. Als wir den Fehler mal hatten, kam manchmal was auf dem Einen an, manchmal was auf dem Andren, manchmal was auf beiden und manchmal eben gar nichts.

Mutwillig sollte man sowas also nie und nie nie konfigurieren

Gruß

axxis

[Crash2001]

Wenn das grundsätzlich ungünstig ist mit mehreren Gateways für eine NIC,

frage ich mich warum und wofür man es überhaupt konfigurieren kann?[...]

Eventuell kann das durchaus Sinn machen, dass zwei Gateways eingetragen werden. Bei Windows haben die dann aber z.B. unterschiedlich hohe Prioritäten, so dass nur auf das zweite ausgewichen wird, wenn das erste nicht erreichbar ist.

Das Problem dabei ist nur, dass ein Gateway auch mal ausgelastet sein könnte, oder aber auf "der anderen Seite" keine Netzwerkverbindung haben könnte und dann trotzdem noch benutzt wird, solange es erreichbar ist.

Bei z.B. HSRP kann man es so einstellen, dass wenn die WAN-Verbindung abfällt, einfach der zurzeit inaktive andere Router (bzw. der mit der nächstbesten Priorität) übernimmt.

Man trägt dann einfach die virtuelle IP-Adresse als Gateway ein und diese wird dann jeweils auf den gerade aktiven Router gemappt.

[Eleu]

Vielleicht würde es mit der Redundanz besser klappen,

wenn man zwei NIC`s in PC1 und zwei NIC´s in PC2 einbaut.

Jeweils dann beide NIC`s im PC als Netzwerkbrücke im gleichen Subnetz konfigurieren.

Eine NIC bekommt Gatewayadresse 1 und die andere NIC Gatewayadresse 2.

Dann hätte man in dem Beispiel nicht nur die Router redundant sondern auch die NIC`s im PC.

Was hältst Du davon ?

Das Problem dabei ist nur, dass ein Gateway auch mal ausgelastet sein könnte, oder aber auf "der anderen Seite" keine Netzwerkverbindung haben könnte und dann trotzdem noch benutzt wird, solange es erreichbar ist.

Was für Konsequenzen kann das haben ?

Ich hab immer gedacht, dass der Router die Telegramme löscht, wenn er sie nicht weiterleiten kann.

Oder er übergibt sie an den nächsten Router usw. bis die TTL

im Paket abgelaufen ist (64 Hops).

[Crash2001]

Naja, wenn keine Verbindung auf der anderen Seite besteht, kann auch schlecht weitergeroutet werden, sondern es kommt dann die Meldung zurück, dass es nicht erreicht werden kann.

Du gehst davon aus, dass der Router einen anderen Router erreichen kann. Z.B. bei dir zu Hause der DSL Router kann das aber höchstwahrscheinlich nicht, da er der einzige Router in deinem internen Netz sein wird vermutlich.

ZU deinem Vorschlag:

Woher sollte der PC dann wissen, über welche Netzwerkkarte und somit zu welchem gateway er gehen soll, wenn er 2 gleichwertige Wege hat? :confused:

Ich sehe eh grad nicht mehr den Sinn dahinter bei deiner Schilderung.

Wenn du eine höhere Ausfallsicherheit haben willst, nimm Trunking / Etherchannel über mehrere Netzwerkanschlüsse.

[meccs]

Ok, bin nicht so ganz sattelfest, möchte aber gerne mitdiskutieren und möglichst dadurch lernen.

Hab dazu mal einige Fragen.

Hängt es nicht auch dran, welches Routingprotokoll benutzt wird?

Wenn ich als Routingprotokoll OSPF nutze und 2 Routen einrichte, eine über Router1 und eine über Router2, würde dann nicht automatisch die jeweils andre Route genutzt sobald die Leistung eines Routers einbricht oder er gar ausfällt? Damit wäre doch automatisch Redundanz gegeben, oder?

Wenn RIP genutzt wird und somit nicht der Verbindungsstaus sondern die Hops zum tragen kommen, könnte man dann nicht eine zusätzliche Route zwischen den Routern einrichten, sodass im Falle einer Verbindungsunterbrechung nach "aussen" über den andren Router geroutet wird?

Sprich:

Route1 über Router1 weiter nach aussen

Route2 über Router1 weiter an Router2 und nach aussen

Route3 über Router2 weiter nach aussen

Wäre es möglich, dass wenn Router1 dann nicht nach aussen weiter routen kann aber Router2 noch erreicht RIP erkennt, dass es mehr Hops sind und gleich die direkte Route über Router2 nutzt?

Bearbeitet 5. August 2010 von meccs

[Eleu]

Woher sollte der PC dann wissen, über welche Netzwerkkarte und somit zu welchem gateway er gehen soll, wenn er 2 gleichwertige Wege hat?

Das ist die Frage.

Ich kann es nur vermuten, glaube aber das Windows auch in dem Fall eine NIC priorisieren wird.

D.h. ich vermute über ARP wird auf Layer 2 auch nur eine Verbindung NIC <-> Switch <-> (Router1 oder Router2) aufgebaut.

Der Router der als erstes den arply zurückmeldet wird in den Cache der NIC eingetragen.

Wie läuft es denn sonst ab, wenn im Subnetz zwei daran angeschlossene Router die gleiche Zieladresse kennen ????

Oder kann das nicht vorkommen ?

Wenn die priorisierte Verbindung ausfällt, vermute ich, dass Windows einen Verbindungsversuch über NIC 2

abwickeln wird.

Wie gesagt, ich weiß es nicht.

Man müsste es mal ausprobieren.

Wenn ich als Routingprotokoll OSPF nutze und 2 Routen einrichte, eine über Router1 und eine über Router2, würde dann nicht automatisch die jeweils andre Route genutzt sobald die Leistung eines Routers einbricht oder er gar ausfällt? Damit wäre doch automatisch Redundanz gegeben, oder?

Was die Funktion der Routingprotokolle angeht, kann ich leider nicht mitreden.

Ich stelle es mir so vor, dass das Routingprotokoll gewährleistet, dass alle Router ihre bekannten Zieladressen einlernen und untereinander austauschen. Der Router mit den günstigsten Verbindungswegen (Kosten) darf das Telegramm weiterleiten.

Aber sicher bin ich mir da nicht.

Was wenn der Router mit den günstigsten Verbindungswegen einmal ausfällt.

Woher wissen die anderen Router dann, dass ein neuer Router diese Funktion übernehmen muss ?

Gruß

Eleu

[Eleu]

D.h. ich vermute über ARP wird auf Layer 2 auch nur eine Verbindung NIC <-> Switch <-> (Router1 oder Router2) aufgebaut.

Der Router der als erstes den arply zurückmeldet wird in den Cache der NIC eingetragen.

Ich muss meine Aussage etwas korrigieren.

Wenn eine NIC vom BS priorisiert wird, wird zunächst auch nur ein Verbindungsversuch zu dem Gateway/Router vorgenommen, der bei der NIC eingetragen ist.

Vermutung:

Klappt das auch nicht, wird über das Gateway aus NIC 2

eine Verbindung versucht.

[Crash2001]

Also man muss erst einmal zwischen Routern und PCs unterscheiden, bei denen ein Gateway eingetragen ist.

Ein Router kommuniziert im Normalfall mit anderen Router über ein Routingprotokoll. Ein normaler PC macht genau dies jedoch nicht und bekommt dementsprechend auch gar nicht direkt mit, wenn ein Router ausfällt.

Der PC merkt nur, dass ein Router weg ist, wenn er nicht mehr antwortet bzw nicht mehr erreichbar ist. Er hat jedoch im Normalfall nur 1 Defaultgateway eingetragen und wenn dieses weg ist, hat er keine Möglichkeit mehr nach aussen zu kommunizieren.

Dieses Defaultgateway kann natürlich genauso auch eine HSRP-Adresse sein, die somit gegen Ausfall gesichert ist.

Ein Router hingegen hat (in einem redundant aufgebauten netzwerk) im Normalfall mehrere mögliche Routen zu einem Ziel. Fällt ein Router aus, so wird der Verkehr über andere Router / einen anderen Weg geroutet. Dies wird jedoch von den Routingprotokollen bemerkt und dann die entsprechende "Backup" Route in der Routingtabelle statt der anderen Route genutzt.

Wenn ein PC mit zwei Netzwerkkarten im selben Subnet hängt, dann gibt es ein paar Besonderheiten zu beachten.

• *Welche IP-Adresse liefert der DNS-Server zurück, wenn man den Namen des Hosts abfragt?
  • *die der ersten NIC
  • die der zweiten NIC
  • abwechsaeln im Round Robin Verfahren die von der ersten und der zweiten

[*]Über welche NIC wird auf IP-Adressen im Subnetz zugegriffen

[*]Über welche NIC wird auf externe IP-Adressen zugegriffen

[*]...

Wenn ein inaktives Gateway von TCP erkannt wird, kann IP angewiesen werden, die Standardgateways auf das nächste Gateway in der Sicherungsliste zu wechseln. Dieser Wechsel ist dann möglich, wenn mehrere Gateways für dieselbe Netzwerkkarte konfiguriert[...]

Der Wechsel wird dann ausgelöst, wenn das TCP-Protokoll den Versuch, das Paket über das aktuelle Standardgateway zu senden, so oft unternommen hat, dass es der Hälfte des in "TcpMaxDataRetransmissions" festgelegten Wertes entspricht.[...]

Je nach eingestelltem Wert und je nach Anzahl der Pakete die gesendet werden, kann das durchaus eine Weile dauern, bis der Ausfall des Gateways erkannt wird und dann auf das nächste Gateway in der Liste ausgewichen wird.

Nur den SINN mehrere Netzwerkkarten ins selbe Segment zu hängen und diese nicht zu einem Etherchannel zu bündeln (geht nicht mit jedem BS und jeder Karte - ist schon klar) ist und bleibt mir nicht ganz klar.

Wieso "Lösungen", die Probleme mit sich bringen nutzen, wenn man genausogut auch Lösungen nutzen könnte, die erprobt sind, einem Standard entsprechen und längst nicht so viele Probleme verursachen? Wieso es immer so kompliziert machen?

[Eleu]

Nur den SINN mehrere Netzwerkkarten ins selbe Segment zu hängen und diese nicht zu einem Etherchannel zu bündeln (geht nicht mit jedem BS und jeder Karte - ist schon klar) ist und bleibt mir nicht ganz klar.

Das mit den zwei NIC`s im PC habe doch nur deshalb vorgeschlagen,

weil ich gedacht hab, dass dann ein Wechsel von Gateway 1 auf Gateway 2

schneller geht.

Dank dem MS Artikel den Du gefunden hast, ist das wohl nicht so.

Also geht es genauso schnell mit einer NIC und zwei Gatewayeinträgen.

Das Umschalten dauert dann aber lange und das ganze ist kein Standard.

Wieso "Lösungen", die Probleme mit sich bringen nutzen, wenn man genausogut auch Lösungen nutzen könnte, die erprobt sind, einem Standard entsprechen und längst nicht so viele Probleme verursachen? Wieso es immer so kompliziert machen?

Ich gehe mal davon aus, dass Du in dem Bereich über mehr Erfahrung verfügst als ich.

Also wirst Du wohl damit recht haben

Bei größeren Umgebungen mit den von Dir angesprochenen DNS bestimmt ratsam.

Bin bei der Diskussion noch von den Skizze mit beiden PC` mit den zwei Switchen und Routern ausgegangen.

Sorry, wollte Dich nicht aufregen.

Schon gar nicht auf nen Freitag.

Mir geht es nur darum etwas dazuzulernen.

[Crash2001]

Also falls das falsch rüberkam - ich habe mich nicht aufgeregt. Ich habe mich nur zum wiederholten Male nach dem Sinn des ganzen gefragt, auf das ich von dir keine für mich zufriedenstellende Antwort bekam.

Beschäftige dich am besten einfach ein wenig mit dem Thema Switching und Routing und dann mit den von mir genannten Alternativen (HSRP, VRRP, GLBP, CARP). DAnn wirst du von ganz alleine sehen, was ich meine.

Nunja und redundanz benötigt man fast ausschliesslich in grösseren Netzen. Für zwei PCs zuhause wird eigentlich nie Redundanz dieser Art benötigt.

Zwei Default Gateways (je eins auf einer NIC) kann man zwar einstellen, aber das Problem dabei ist, dass dann nicht mehr klar ist, über welches Default Gateway auf externe IP Adressen zugegriffen werden soll. Das Default Gateway gibt ja die IP Adresse an, an die die Pakete weitergereicht werden, die ausserhalb des eigenen Netzes liegen und für die der PC keine festen Routen eingetragen hat. Es ist also quasi die IP Adresse des Standardrouters. Z.B. also für den Internetzugriff. Da man aber normalerweise alles daran legt, entscheiden zu können, welche Verbindung aktiv genutzt wird und welche nicht, ist das nicht so ganz im Sinne des Erfinders.

[Eleu]

Also falls das falsch rüberkam - ich habe mich nicht aufgeregt. Ich habe mich nur zum wiederholten Male nach dem Sinn des ganzen gefragt, auf das ich von dir keine für mich zufriedenstellende Antwort bekam.

Danke noch mal für die Rückinfo. Freut mich, dass es kein Problem ist.

Die Überlegungen am Beispiel von lousek waren eh nur rein hypothetisch.

Nach dem Motto, immer auf der Suche nach einer billigen aber nicht

unbedingt günstigen Methode.

Gruß

Eleu