Hostflapping auf Cisco Routern

Mitglied: Fluxator

Fluxator (Level 1) - Jetzt verbinden

15.04.2015, aktualisiert 12.05.2015, 1283 Aufrufe, 11 Kommentare

Hallo an die Netzwerkgemeinde!

Folgendes Problem gabe es in unserem Firmennetzwerk:
Im Netz befindet sich ein Backbone cisco cat 4506 welcher (Rootbridge) über Gigabit und Fastethernet an verschiedene Switche angeschaltet ist. Diese Switche wiederum haben teilweise wieder eine Rückführung zum Backbone und bilden Layer 2 Netze. Die Layer 2 Netze sind über den Backbone via OSPF Routing miteinader verbunden. Soweit ist alles schleifenfrei, da STP im gesamten Netz benutzt wird. Die Netze sind via VTP über VLANs auf Layer 2 voneinander getrennt. Letzte Woche wurde in einen dieser Stränge ein Switch ausgetauscht. Der Backbone zeigte bei dem Fehler ein permanentes Hostflapping von verschiedensten MAC Adressen an. Der neue Switch (auch cisco Switch - also kein Billigswitch) hat dabei auf dem Backbone ein Hostflapping der MAC-Adressen an dem angeschalteten GB Port verursacht. Bei dem Hostflapping waren alle möglichen Trunkports auf dem Backbone mit dem GB Port, an welchem der Störswitch angeschaltet war, beteiligt. Das gesamte Netz war danach lahm gelegt. Erst nach Abschaltung des neuen Switches war Ruhe.

Nun meine Frage: Welcher Fehler bzw. Fehlkonfiguration eines neuen Switches könnte solch einen Fehler produzieren.

Grüße Fluxator

Hallo,

anbei lege ich eine Skizze zu meinem geschilderten Problem bei:


Zu euren Fragen / Anmerkungen:
Die Backbone sind an verschiedenen Standorten. Das Bild ist sehr vereinfacht und gibt nur das Netz schematisch wider. Über den Trunks wird VTP gefahren, da die Netze eine Reihe von VLANs aufweisen. Damit die einzelnen VLANs miteinander kommunizieren können, haben diese im Router ein VLAN Interface mit ensprechenden IP Adressbereichen eingerichtet. Das OSPF Routing ist in diesem Netz dazu da, damit ein Gerät aus VLAN 10 (IP Bereich z.B. 10.10.10.0 - 255) mit einem Gerät aus VLAN 20 (IP Bereich 10.10.20.0 -255) kommunizieren kann und darüber hinaus mit weiteren Standorten Verbindung aufnehemn kann. Im Problemfall sah man im Router Hostflapping Meldungen, wobei immer das GB Interface GB1/1 vom Router 1 involviert war (z.B: gleiche MAC Adresse an GB 1/1 und GB 2/1 oder gleiche MAC an GB1/1 und GB2/2.). Ich hoffe, das reicht erst einmal für einen Überblick.

Schöne Grüße
Fluxator
Mitglied: catachan
15.04.2015 um 18:39 Uhr
Hi


Eine Skizze des Netzes würde helfen. Kann aber nur ein Spanning Tree oder Portchannel Problem sein

LG
Bitte warten ..
Mitglied: Dobby
LÖSUNG 15.04.2015, aktualisiert 12.05.2015
Hallo,

- STP Problem
- Portchannel Problem
- Switch Port selber defekt
- VLAN Konfiguration falsch
- LAG Konfiguration falsch
- Kabelbruch oder Stecker defekt
- Staub im Switchport oder Optik (SFP)
- Switch nicht richtig geerdet am 19" Rack
- Alte Switch Konfiguration auf neuen Switch kopiert und die Switche sind nicht identisch
- Irgendwo ACLs angelegt die sich auf die MAC Adressen beziehen, aber die haben sich jetzt mit
dem neuen Switch geändert!

- Konfiguration mal posten
- Mal eine Skizze anfertigen

Gruß
Dobby

Bitte warten ..
Mitglied: aqui
16.04.2015 um 09:30 Uhr
Die Layer 2 Netze sind über den Backbone via OSPF Routing miteinader verbunden.
Das wäre netztechnsicher Schwachsinn. Sorry, aber wenn der Backbone aus einem einzelnen Cat 4500 besteht und alle VLANs bzw. Subnetze dort terminieren was soll denn der tiefere Sinn von OSPF dort sein. Der OSPF Prozess redet dann nur mit sich selber.
Sowas wäre höchst sinnfrei.
Entweder hast du hier also ein völlig falsches Netzwerk Design geschildert oder die Konfiguration ist schlicht unsinnig...jedenfalls im Layer 2.
Normal sähe ein klasssiches HA Design mit 2 Core Maschinen (Root und Backup Root) so aus:
3a314e790a663004fdb6a1116d0abbf0-switchnetz1 - Klicke auf das Bild, um es zu vergrößern

Wobei die roten Kreuze die vom STP geblockten Ports darstellen.
Auch hier wäre ein OSPF Routing völlig sinnfrei...aber nundenn.
VTP "trennt" auch keine VLANs, auch das ist netztechnischer Unsinn. VTP ist ein Cisco proprietäres Protokoll mit dem VLAN Informationen im Netzwerk distribuiert werden. Das hat mit "Trennung" nicht das geringste zu tun, denn das machen die VLANs ja per se schon.
Auch hier kommen einem schon leise Zweifel ob du wirklich alles richtig durschaust und vor allen Dingen verstehst was du da beschreibst, sorry ?
Auch das was du da laienhaft als "Hostflapping" bezichnest in Verbindung mit Mac Adressen klingt sehr kryptisch und es bleibt unklar was du de facto damit meinst.
Klar ist das die Mac Forwarding Tabelle aller beteiligten Switches natürlich noch Informationen enthält die ggf. noch auf den alten Switch zeigen. Das hat aber keinerlei Auswirkungen auf den Spanning Tree Prozess.
Auf allen beteiligten Links die ja kurz abgeschaltet werden passiert so oder so ein Flushing der Forwarding Tabelle bzw. der Mac Adressen auf diesen physischen Ports.
Anhand der recht oberflächlichen Schilderung kann man nur schliessen das die Uplink Ports ggf. falsch konfiguriert wurden.
Letztlich ist aber ein zielführende Hilfe fast unmöglich denn es fehlen hier zuviele Informationen.
  • Z.B. Die Tatsache ob die Endgeräte geroutet werden und welchen Einfluss die ominöse OSPF Konfig dabei hat die bei einem singulären Core Switch eigentlich sinnfrei ist.
  • Wie ist der STP Prozess customised ? Arbeitet ihr mit dem Cisco Standard PVSTP+ oder ist ein anderes Protokoll beteiligt ?
  • Wie sind die Uplinks konfiguriert ? Im Auto Mode oder als dedizierter Trunk. Letzteres ist natürlich vorzuziehen !
usw. usw.
Das sind alles zu viele Unbekannte ohne ins Raten abzugleiten.
Sinnvoll wäre mal ein Posting der Uplink Port Konfig und ggf. der STP Settings hier um weiterzukommen. Und...das OSPF Rätsel solltest du auch mal etwas lösen ggf. mit einer kleinen Skizze ?!
Bitte warten ..
Mitglied: Fluxator
18.04.2015 um 11:33 Uhr
Hallo,

anbei lege ich eine Skizze zu meinem geschilderten Problem bei:


Zu euren Fragen / Anmerkungen:
Die Backbone sind an verschiedenen Standorten. Das Bild ist sehr vereinfacht und gibt nur das Netz schematisch wider. Über den Trunks wird VTP gefahren, da die Netze eine Reihe von VLANs aufweisen. Damit die einzelnen VLANs miteinander kommunizieren können, haben diese im Router ein VLAN Interface mit ensprechenden IP Adressbereichen eingerichtet. Das OSPF Routing ist in diesem Netz dazu da, damit ein Gerät aus VLAN 10 (IP Bereich z.B. 10.10.10.0 - 255) mit einem Gerät aus VLAN 20 (IP Bereich 10.10.20.0 -255) kommunizieren kann und darüber hinaus mit weiteren Standorten Verbindung aufnehemn kann. Im Problemfall sah man im Router Hostflapping Meldungen, wobei immer das GB Interface GB1/1 vom Router 1 involviert war (z.B: gleiche MAC Adresse an GB 1/1 und GB 2/1 oder gleiche MAC an GB1/1 und GB2/2.). Ich hoffe, das reicht erst einmal für einen Überblick.

Schöne Grüße
Fluxator
Bitte warten ..
Mitglied: aqui
19.04.2015 um 15:46 Uhr
Oha..oha... ! Die Router Kaskaden bzw. 3er Ketten sind der sichere Tod eines Ethernet !
Das ist das massivste Grundübel dieses Designs und solltest du wenn irgendmöglich auf ein sternförmiges Design zurückführen.
Oder das bei Cisco optimierte Resilient Ring Protokoll verwenden was speziell für solche Ring Strukturen gedacht ist.
Das wirst du ohne Strukturänderung niemals in den Griff bekommen wenn du bei PVSTP+ oder PVRSTP+ bleibst soviel ist sicher.
Das OSPF Routing ist in diesem Netz dazu da, damit ein Gerät aus VLAN 10 (IP Bereich z.B. 10.10.10.0 - 255) mit einem Gerät aus VLAN 20 (IP Bereich 10.10.20.0 -255) kommunizieren kann
Das ist Unsinn, denn das würde auch ohne OSPF gehen wenn VLAN 10 und VLAN 20 direkt an den beiden Core Routern anliegen. OSPF macht nur dann Sinn wenn entfernet netze erreicht werden müssen. Ursächlich kann man das also zu 98% als Ursache ausschliessen. Vermutlich ist da viel sinnloser Overhead konfiguriert mit OSPF aber das kann man jetzt nur anhand der etwas oberflächlichen Beschreibung raten. Man müsste da dann schon auszugsweise mal die Konfig sehen und das detailierte Design.
Tödlich sind in jedem Falle die Ringe wenn sie nicht über ein Ring optimiertes Redundanz protokoll laufen!
Weiterhin ist immer nich unklar was du mit "Hostflapping" genau meinst ?! :-( face-sad
Sind das ggf. flapping Routes bei OSPF was dann auf einen Layer Topologie Change hinweist ?!
Bitte warten ..
Mitglied: Fluxator
20.04.2015 um 06:27 Uhr
Hallo aqui,
die Übersicht ist nur schematisch zu verstehen. Es gibt Standorte, die in 40Km Entfernung über andere Core Router erreichbar sein müssen. Das geht nur über Routing und IP Adressen im Layer 3. Zum Thema Hostflapping empfehle ich in Google das Stichwort "Hostflapping cisco" einzugeben. Warum sind Ringe tödlich? Mit Spanning-Tree sollte dies kein Problem sein. Ringe sind in gut strukrurierten L2 Netzen üblich um Leitungsredundanzen zur Verfügung zu stellen. Wie in meiner Frage eingangs aufgeführt, haben wir nur ein einmaliges Problem mit dem Hostflapping gehabt. Dieses Netz betreiben wir in dieser Form ohne Probleme seit ca. 12 Jahren. Mir geht es darum, Möglichkeiten in Erfahrung zu bringen, die einen solchen Fehler auslösen können. Das auch um zukünftig besser reagieren zu können.
Aus den Hinweisen, die ich bisher im Internet entnehmen konnte, handelt es sich wohl um einen L2 Loop. Aber wie kann ein Fehler diesen Loop verursachen?

Schöne Grüße
Fluxator
Bitte warten ..
Mitglied: Dobby
20.04.2015 um 10:05 Uhr
Aber wie kann ein Fehler diesen Loop verursachen?
Konfigurationsfehler auf dem neuen Switch?

Gruß
Dobby

Bitte warten ..
Mitglied: Fluxator
21.04.2015 um 10:51 Uhr
Hallo Dobby,

ich gehe auch mal von einem Konfigurationsfehler aus. Aber welcher Fehler könnte theoretisch solch eine Schleife produzieren. Ich würde das gerne mal nachstellen.

Grüße
Fluxator
Bitte warten ..
Mitglied: Dobby
21.04.2015 um 23:06 Uhr
Zitat von Fluxator:

Hallo Dobby,

ich gehe auch mal von einem Konfigurationsfehler aus. Aber welcher Fehler könnte
theoretisch solch eine Schleife produzieren.
Ich würde das gerne mal nachstellen.
Ne klar das würde wohl jeder gerne nur dazu müsste man dann wohl mal
den neuen Switch von Grund auf neu konfigurieren.

Ich denke eher an ein STP Problem oder aber aufgrund der großen Entfernung ein
Problem mit mit der Anbindung.

Gruß
Dobby

Bitte warten ..
Mitglied: aqui
22.04.2015 um 10:04 Uhr
Das ist ganz sicher ein Konfig Fehler des STP in Verbindung mit OSPF ECMP oder sowas.
Ohne das genau Netzwerkdesign und auch die entsprechende Konfig zu kennen ist ein tiefergehendes Troubleshooting aber sher schwer, denn das ist spezifisch zu deinem Netzwerk Design.
Bitte warten ..
Mitglied: Fluxator
12.05.2015 um 21:29 Uhr
Hallo dobby
Du lagst richtig mit deiner Vermutung, dass es ein kabelfehler sein könnte. Ich habe bei cisco ein Artikel gefunden, der das beschreibt. Und zwar kann es Spanning-Tree Loops durch unidirectional links bedingt entstehen. Dabei können BPDUs in eine Richtung nicht weitergeleitet werden, da durch ein Lwl Fehler eine senderichtung vom Switch unbemerkt nicht mehr funktioniert. Als Folge kann der Switch den Port nicht blocken und es kann zum Loop kommen.
Danke!
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Heimnetzwerk für mobiles Arbeiten
Matthias182Vor 1 TagFrageNetzwerke15 Kommentare

Hallo zusammen, Die Corona Pandemie treibt viele Veränderungen, so auch bei uns. Seit Wochen arbeiten meine Frau und ich wieder von zu Hause. Und ...

Firewall
Pfsense plus für Geschäftskunden
Looser27Vor 1 TagInformationFirewall13 Kommentare

Netgate wird in Zukunft die Open Source Firewall pfSense hauptsächlich als kommerzielle Version unter dem Namen pfSense Plus vermarkten. Die "Community Version" wird weiter ...

TK-Netze & Geräte
Hybrid-Telefon für Betrieb an ISDN- sowie VoIP-Anschluss
Datax87Vor 1 TagFrageTK-Netze & Geräte30 Kommentare

Hallo, ich habe eine Frage zu einer geplanten TK-Anlagen-Umstellung. An der betreffenden ISDN-TK-Anlage sind zurzeit 6 ISDN-Telefone angeschlossen. Der dazugehörige Telefon-/Internetanschluss ist zurzeit ein ...

Router & Routing
Wie DMZ ohne doppeltes NAT am VF-Kabel-Internetzugang realisieren?
OldermanVor 1 TagFrageRouter & Routing24 Kommentare

Hallo und guten Tag allerseits! Ich habe mich nach einiger Zeit des Lesens der aufschlussreichen und wertvollen Beiträge hier zum Thema echtes DMZ mit ...

Backup
Backupmöglichkeit Teamviewer
gelöst greenhorn1Vor 18 StundenFrageBackup9 Kommentare

Hallo, ich habe bei meiner Teamviewer Lizenz die Möglichkeit ein Backup des PC´s durchzuführen. Leider funktioniert das nicht! Nach Rückfrage an Teamviewer erhielt ich ...

Server-Hardware
Gebrauchte Server von eBay-Kleinanzeigen
dh2411Vor 13 StundenFrageServer-Hardware7 Kommentare

Hallo zusammen, neulich war ich auf eBay-Kleinanzeigen unterwegs und dort wurden mir einige Server vorgeschlagen. Ich habe dort auch meinen aktuellen Home-Server recht günstig ...

Webentwicklung
Webseite LAMP auf USB-Stick mit Minimalsystem?
mirmichVor 1 TagFrageWebentwicklung11 Kommentare

Hallo, eine Webseite soll "archiviert" aber lokal lauffähig bleiben. Die "neue Webseite" läuft auf einer aktuellen PHP Version - die "alte Webseite" auf einer ...

Batch & Shell
Benutzeranmeldung mit Einschränkung
gelöst FreeBSDVor 1 TagFrageBatch & Shell8 Kommentare

Hallo zusammen, ich habe da ein kleines Problemchen und zwar versuche ich mich im PowerShell einzulernen, habe da eine kleine Aufgabe bekommen, dennoch krieg ...