Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Netzwerk-Ausfall trotz konfiguriertem MSTP

Mitglied: denny86

denny86 (Level 1) - Jetzt verbinden

14.11.2019 um 15:41 Uhr, 401 Aufrufe, 9 Kommentare

Hallo liebe Community,

ich habe aktuell bei einem meiner Kunden ein neues Netzwerk aufgebaut.
Erstmals wird hier eine Stern-Ring-Topologie aufgebaut.

Alle Switche sind via LWL mit 10GBit/s verbunden.

Zwischen allen Switchen mit mehreren parallelen Verbindungen sind LACP Trunks konfiguriert.
Alle sonstigen angebundenen Switche sind via statischen Trunks verbunden.

Zum Einsatz kommen
1x HPE Aruba 5412Rzl2
3x HPE Aruba 5406Rzl2
1x HPE Aruba 3810M
10x HPE Aruba 2540
1x HPE Aruba 2530 (einziger Switch, welcher mit 1Gbit/s angebunden ist)

netzwerkplan - Klicke auf das Bild, um es zu vergrößern

Explizit geht es um den rot eingekreisten Switch im Bild. Wenn ich dort beide LWL Kabel verbinde, wird an irgend einer anderen Stelle in diesem 4-er Ring das STP aktiv und blockiert mit einen ganzen LACP Trunk.

Auf allen Switchen / Trunks ist MSTP (Multi-Spanning-Tree-Protokoll) mit einer Standard-Priorität von 4 (64) konfiguriert.
Auf dem Trunk zwischen dem rot markierten Switch sowie dem rechts angebundenen 5406 Switch ist selbiges mit Priorität 5 (96) konfiguriert.

Laut meines Verständnisses sollte eigentlich nur auf dem Trunk das STP greifen, wo Priorität 5 gesetzt ist.

Kann mir hier vielleicht jemand weiterhelfen?

Ich habe bereits einige Seiten gefunden mit LACP, aber dort wird LACP immer nur zwischen 2 Switchen erklärt und keine Konstellation mit 3 oder mehr Switchen im Verbund.
Mitglied: clSchak
14.11.2019, aktualisiert um 15:55 Uhr
Hi

das wird auch nicht funktionieren. So genanntes MCT (MultiChassisTrunking) können deine Geräte nicht. Ein LACP über physische / logisch mehrere Switche verteilt geht nicht (ohne weiteres).

MCT wird im Regelfall auch nur innerhalb eines Stacks angewandt, wenn z.B. eine mehrfache Anbindung an dem Stack realisert werden soll. Dein dargestelltes Konstrukt funktioniert so nicht, es sei denn alles Geräte würden im Chassis Mode vgl. Brocade/Extrem VDX laufen wo alle Geräte als eine logische Einheit funktionieren.

Das STP da entsprechend eingreift ist vollkommen korrekt da ein Loop erkannt wird und das Protokoll passende reagiert. Ich kenne die "Einstellung" von HP jetzt auch nicht, aber Prio werden in 4096er Schritten gesetzt, ich tippe aber das der Switche das intern korrekt handeln und es nur zu Konfiguration so dargestellt wird wie bei dir.

Und Ring-Topologie mit passenden Protokoll? Ich kenne das jetzt nur von Ruckus/Brocade (MRP) und Cisco aber nicht bei HP...

Gruß
@clSchak
Bitte warten ..
Mitglied: denny86
14.11.2019 um 16:26 Uhr
Hallo clSchak,

Das STP da entsprechend eingreift ist vollkommen korrekt da ein Loop erkannt wird und das Protokoll passende reagiert. Ich kenne die "Einstellung" von HP jetzt auch nicht, aber Prio werden in 4096er Schritten gesetzt, ich tippe aber das der Switche das intern korrekt handeln und es nur zu Konfiguration so dargestellt wird wie bei dir.

Ja bei HP in der Konfiguration werden die 4096er Schritte in 1er Steps ausgeführt. Heißt Prio 4 ist normal 32768.
Deshalb habe ich auch den besagten Trunk auf Prio 5 (65536)

Und Ring-Topologie mit passenden Protokoll? Ich kenne das jetzt nur von Ruckus/Brocade (MRP) und Cisco aber nicht bei HP...

Im Ring nutzt HP meines Wissens nur das STP, damit Wege, welche die höchsten Kosten haben blockiert werden, sobald günstigere Wege vorhanden sind.

Allgemeine Frage in die Runde:
Was würde passieren, wenn ich von MSTP (Multi-Spanning-Tree-Protokoll) auf RSTP (Rapid-Spanning-Tree-Protokoll) umstelle?

MSTP ist meines Wissens nur notwendig, wenn ich unterschiedliche VLANs auf verschiedene Switche / Strecken priorisieren möchte.
(Dummerweise ist das MSTP bei den HP Switchen standardmäßig unkonfiguriert aktiv)

Da dies bei mir jedoch nicht der Fall ist, da ich alle VLANs gleich priorisiere, sollte doch das RSTP wesentlich zuverlässiger funktionieren, was zudem einen geringeren Konfigurationsaufwand bedeutet.

Anmerkung:
Routing zwischen den Switchen / VLANs ist nicht aktiv, da dies aus Sicherheitsgründen von der angebundenen Firewall übernommen wird.
Bitte warten ..
Mitglied: clSchak
14.11.2019, aktualisiert um 16:59 Uhr
Hi

man priorisiert keine VLANs - man setzt lediglich fest welches Gerät die Root-Bridge ist und das sollte ein Router sein bzw. ein zentrales Gerät. Wer schlussendlich das Routing macht spielt keine Rolle, bei uns macht es ein L3 Stack. Wenn es dir um die Sicherheit geht kannst du auch mit ACLs arbeiten. Was du bei den Trunks angegeben hast sieht auch mehr nach PathCost für STP aus.

Wir verwenden bei 802.1w ("per VLAN RSTP), aber ich denke nicht das HP das kann, zumindest konnte das damals kein HP Switch bei uns.

Wenn du Traffic priorisieren willst, mach das über L2 QoS oder L3 DSCP.

Und nein, Ringprotokolle ist eben kein STP, bei Ruckus ist es "Metro Ring Protokoll" das reagiert im ms/ns Bereich und nicht wie STP im Sekundenbereich, da bekommst nicht mal einen Ping-Aussetzer wenn das reagiert, selbst VoIP funktioniert ohne Unterbrechung. Wir hatten das vor unserem jetzigen Stack inkl. VRRP im Einsatz und das lief 1a

Und bei der Größe würde ich nicht die FW als zentralen Router verwenden, alleine wenn das Server Netz darüber läuft. Du kannst überall 100G haben, die Firewall wird das niemals in der Geschwindigkeit routen können. Normale L3 Router routen in der Geschwindigkeit des höchsten PortSpeeds das am Gerät möglich ist, bei uns mit 40G aktuell und das schafft unsere _dicke_ Firewall nicht mal ansatzweise.

Edit Add:
Ich würde mir auch nie wieder Modulare Chassis-Switche kaufen, im Stack fährst du deutlich besser was Sicherheit, Stabilität, Kapazität und Ausfallsicherheit betrifft.
Bitte warten ..
Mitglied: denny86
14.11.2019 um 20:43 Uhr
man priorisiert keine VLANs - man setzt lediglich fest welches Gerät die Root-Bridge ist und das sollte ein Router sein bzw. ein zentrales Gerät. Wer schlussendlich das Routing macht spielt keine Rolle, bei uns macht es ein L3 Stack. Wenn es dir um die Sicherheit geht kannst du auch mit ACLs arbeiten. Was du bei den Trunks angegeben hast sieht auch mehr nach PathCost für STP aus.

Entschuldige da hab ich mich falsch ausgedrückt. Mein Gedanke war wie von dir geschrieben, dass ich mit MSTP für jede VLAN-Gruppe eine andere Root-Bridge wählen kann (wenn gewünscht).

Wenn es dir um die Sicherheit geht kannst du auch mit ACLs arbeiten.

Da geb ich dir grundsätzlich recht, aber
1. unser Kunde möchte die "Sicherheit" selbst administrieren und hat von ACLs auf Switchen keinerlei Ahnung, kennt sich jedoch super mit der Firewall aus
2. ist die Firewall auch über 10GBit/s Glasfaser angebunden und schafft theoretisch sogar 15 GBit/s (also 50% Puffer) wobei das Routing auch nur zwischen den div. VLANs benötigt wird.

Wir verwenden bei 802.1w ("per VLAN RSTP), aber ich denke nicht das HP das kann, zumindest konnte das damals kein HP Switch bei uns.

Wenn ich nicht ganz irre meinst du damit sogenanntes PVRSTP, welches bei HP ein Mischmasch aus RSTP und MSTP ist. Können tun das die Devices schon, jedoch muss hier eine Menge Konfigurationsaufwand betrieben werden und ich bin mir nicht sicher, ob hier das Verhältnis von Aufwand zu Nutzen gegeben ist.

...bei Ruckus ist es "Metro Ring Protokoll" das reagiert im ms/ns Bereich und nicht wie STP im Sekundenbereich

Ich habe gerade durch etwas Recherche noch herausgefunden, dass die größeren HPE Devices (5800,7800,10500) ein sogenanntes RRPP (Rapid Ring Protection Protocol) können, bin mir aber zum jetzigen Zeitpunkt nicht sicher, ob das auch die 5400er und 2540er Switche können.
Zumindest gibt HPE für diese Switch-Serien keinerlei Informationen raus.

Ich würde mir auch nie wieder Modulare Chassis-Switche kaufen, im Stack fährst du deutlich besser was Sicherheit, Stabilität, Kapazität und Ausfallsicherheit betrifft.

In manchen Punkten gebe ich dir recht, allerdings habe ich bei einem Modular-Switch (außer bei einem Ausfall des Chassis!) immer eine Redundanz und Ausfallsicherheit gegeben. Die Skalierbarkeit ist genauso gegeben (sogar noch Vielfältiger, da ich hier entweder reine Ethernet, reine SFP+ oder gemischte Module verbauen) und wenn man es genau betrachtet sogar für einzelne Module auch günstiger, als Stacking-Switche.
Aber hier geht es ja auch nicht um die "Rand-Bedingungen" sondern die Funktionalität an sich.

Fakt ist, dass meines Erachtens das STP (wenn auch wesentlich langsamer in Reaktion) auch den Ring unterbrechen sollte und zwar anhand der gegebenen PathCost Einstellungen.

Meine Frage zielt mehr oder weniger eigentlich auf folgendes ab:

Kann ich im Produktionsbetrieb (natürlich auch mit kurzfristigen Ausfällen!) ohne große Schwierigkeiten die Konfiguration von MSTP auf RSTP umbauen bzw. kurzfristig im Mischbetrieb fahren oder fällt mir die Leitung zwischen den Switchen komplett auf die Schnauze und ich muss an jeden Switch physikalisch ran, wenn ich auf Seite A MSTP und auf Seite B RSTP aktiviert habe?
Und läuft RSTP zuverlässiger als MSTP oder macht es Sinn das MSTP komplett durch zu konfigurieren?
Bitte warten ..
Mitglied: clSchak
LÖSUNG 14.11.2019 um 20:54 Uhr
Mischbetrieb wird zu einer Downtime führen, die beiden Protokolle vertragen sich nicht wirklich, ggf. musst sogar vor Ort sein wenn dir gesamte Uplinks wegbrechen. Aber das ist einmal, evtl. einen Aufwand von 1-2h dann sollte es fertig sein, ggf. mal im späten Nachmittag durchführen.

Was evtl. funktioniert, alle "Backuppfade" disablen und dann STP abschalten und wieder korrekte Version danach anschalten.
Bitte warten ..
Mitglied: denny86
14.11.2019 um 21:47 Uhr
Hi clSchak,

erstmal danke für deine Unterstützung.

Ich habe jetzt auf allen Switchen STP generell deaktiviert, dann nur an den benötigten Switchen 01-04 auf rstp mode umgebaut, und dort wieder aktiviert.

Danach hab ich die Backupleitung aktiviert und "gehofft", dass mein Netz nicht auf die Nase fällt, da ich das ganze gerade nur via Fernwartung durchgeführt habe.

War zwar etwas riskant (wer liebt nicht das Risiko) aber in Rücksprache mit dem Kunden-ITler kein Problem, da er notfalls in 10 min. in der Firma gewesen wäre.

Das interessante ist nur, dass ich im RSTP Mode nicht nachvollziehen kann, ob und welche LWL nun deaktiviert ist, da mir der Switch hier keinerlei Forwarding/Blocking Informationen ausspuckt.
Aber das Netzwerk läuft stabil und wirft keinerlei Fehler aus.
Bitte warten ..
Mitglied: clSchak
14.11.2019, aktualisiert um 22:53 Uhr
es ist wichtig dabei, JEDES(!) VLAN damit auszustatten und das dann auf allen Switchen wo es anliegt/eingerichtet ist. Ansonsten bekommst du Loops im Netz und dann werden auch Ports auf "Blocking" gehen. Spanning Tree solltest du grundsätzlich auf allen Geräten aktivieren, egal ob core / aggregation oder access Switche.

Ob STP korrekt arbeitet kannst bei via "show cpu" sehen, wenn die auf Last laufen (>10-20%) dann stimmt etwas nicht, egal was andere Protokolle sagen, das schaukelt sich dann langsam hoch.

Bei der Netzgröße würde ich mir auch eine MAC DB anlegen, netdb (https://administrator.de/link/mac-ip-adressen-tracking-verwaltung-291166 ...) z.B. ist Open Source, damit kannst nach MAC, Teile einer MAC Adresse, IP Adressen usw. suchen um zu schauen wo welches Endgerät gerade angestöpselt ist.

Und wenn schon dabei bist ... - Elasticsearch mit Logstash & Kibana als Log-Sammelstelle, Monitoring wird wohl schon im Einsatz haben, da gibt es viele, je nachdem was man haben möchte.
Bitte warten ..
Mitglied: clSchak
14.11.2019 um 23:06 Uhr
und bzgl. der FW -15Gbit Routing das ist "nichts", wenn du 4-5 Server hast wo 200-300 Clients dran hängen ist die Leitung alleine schon dicht durch den normalen Traffic. Mit wie vielen Links á 10G ist die FW denn angebunden? Wenn es nur 10G Link ist, dann ist es schon eine _schmale_ Leitung bei der restlichen Bandbreite die in dem Netz zur Verfügung steht.

Unsere Backplane läuft aktuell bei ca. 150-400Gbit im Normalbetrieb, jedes Routing-Interface läuft mit max 40Gbit (maximale Einzelport-Geschwindigkeit aktuell bei uns) - oh sehe gerade der 7850 kommt mit 32x100G .... naja wer es braucht
Bitte warten ..
Mitglied: aqui
15.11.2019 um 10:49 Uhr
Erstmals wird hier eine Stern-Ring-Topologie aufgebaut.
Sowas ist immer tödlich und generell ein schlechtes Ethernet Design. Siehe auch hier:
https://administrator.de/forum/trunk-zwischen-switche-loop-möglich- ...
Gerade wenn man mit gruseligen HP Billigswitches arbeitet die die meisten modernen Topologien heutzutage nicht oder nur unzureichend supporten. Mit solchen Komponenten sind Ringe generell ein NoGo !
Der Ausfall lässt zudem befürchten das das MSTP Protokoll falsch oder fehlerhaft konfiguriert wurde ?! Priority im Speziellen..
https://www.administrator.de/frage/spanning-tree-modus-migration-pvst-ms ...
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
HP ProCurve Switche mit MSTP
Frage von romanwaNetzwerkprotokolle8 Kommentare

Hallo, zur Zeit laufen 8x HP ProCurve Switche, die untereinander mehrfach mit 10Gbit verkabelt sind. MSTP an. Die Switche ...

LAN, WAN, Wireless

MSTP ohne VLAN-Instanzen oder Umkonfiguration Spanning Tree von MSTP zu RSTP möglich?

gelöst Frage von diemilzLAN, WAN, Wireless5 Kommentare

Hallo zusammen, in unserem Netzwerk, bestehend aus HP/Aruba-Switchen der Typen 5406r zl2 (3 Stück), 5412r zl2 (einer), E3800-48G (insgesamt ...

LAN, WAN, Wireless

Probem mit MSTP auf HP Switches

gelöst Frage von ResolvLAN, WAN, Wireless10 Kommentare

Hallo, ich habe ein Problem mit Spanning-Tree Instanzen und den Switch Prioritäten auf HP Switches und finde den Fehler ...

DSL, VDSL

Zeitweise Ausfall des Netzwerkes

gelöst Frage von gansa28DSL, VDSL7 Kommentare

Hallo zusammen, ich habe seid einiger Zeit ein für mich Unerklärliches Problem. Alle paar so ca 20min fällt das ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 4 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 5 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 5 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 7 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Router & Routing
Mikrotik CRS305 4Port SFP+ Router-Switch, VMWare und Fritzbox (Netzwerk Internetproblem)
Frage von SickcultureRouter & Routing18 Kommentare

Auf der Suche nach Antworten im Netz kommt man unweigerlich auf eure Seite und die deutsche Mikrotik Blog Seite. ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server17 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

MikroTik RouterOS
Mikrotik Router empfehlenswert?
gelöst Frage von matze2090MikroTik RouterOS16 Kommentare

Hallo, ich würde gerne mir Mikrotik anschauen. Reicht dieser Router zum erstmal Test? Er Kostet ca 23€. Ich habe ...

Firewall
Suche Hardware
Frage von snowflockeFirewall15 Kommentare

Ich habe derzeit eine Virtualisierte OpnSense im Einsatz und soweit funktioniert die auch wie sie soll, allerdings ist das ...