Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ports blocked by STP, offline, online normal?

Mitglied: westberliner

westberliner (Level 1) - Jetzt verbinden

05.09.2019 um 16:16 Uhr, 1737 Aufrufe, 8 Kommentare

Hallo zusammen,

es gab heute von einem User eine Beschwerde, sein WLan sei langsam am Notebook, egal in welchem Besprechungsraum.

Wlan soweit ok, nun habe ich mal auf den Core-Switch geschaut, zuerst nix besonders, allerdings scheint es nicht normal zu sein, dass Ports von STP geblockt werden?

Logfiles sehen durchgängig so aus.

Ein einziger Eintrag ist mit Port 37 Excessive link state transactions.

Kann mir jemand sagen, warum hier die Ports ständig geblockt werden und ob das normal ist? Link selbst geht ja nicht down, sonst hätte ich hier ganz andere Probleme.


08/26/19 04:54:40 00076 ports: port 19 is now on-line
I 08/26/19 05:28:53 00435 ports: port 37 is Blocked by STP
I 08/26/19 05:28:53 00077 ports: port 37 is now off-line
I 08/26/19 05:28:55 00435 ports: port 37 is Blocked by STP
I 08/26/19 05:28:56 00077 ports: port 37 is now off-line
I 08/26/19 05:28:58 00435 ports: port 37 is Blocked by STP
I 08/26/19 05:28:58 00077 ports: port 37 is now off-line
I 08/26/19 05:29:00 00435 ports: port 32 is Blocked by STP
I 08/26/19 05:29:00 00435 ports: port 37 is Blocked by STP
W 08/26/19 05:29:00 02672 FFI: port 37-Excessive link state transitions
I 08/26/19 05:29:03 00076 ports: port 32 is now on-line
I 08/26/19 05:29:03 00076 ports: port 37 is now on-line
I 08/26/19 05:29:14 00077 ports: port 37 is now off-line
I 08/26/19 05:29:27 00077 ports: port 32 is now off-line
I 08/26/19 05:29:28 00435 ports: port 37 is Blocked by STP
I 08/26/19 05:29:30 00435 ports: port 32 is Blocked by STP
I 08/26/19 05:29:31 00076 ports: port 37 is now on-line
I 08/26/19 05:29:32 00076 ports: port 32 is now on-line
I 08/26/19 05:49:50 00435 ports: port 35 is Blocked by STP
I 08/26/19 05:49:52 00076 ports: port 35 is now on-line
I 08/26/19 05:50:13 00077 ports: port 35 is now off-line
I 08/26/19 05:50:16 00435 ports: port 35 is Blocked by STP
I 08/26/19 05:50:19 00076 ports: port 35 is now on-line
I 08/26/19 05:58:15 00077 ports: port 2 is now off-line
Mitglied: aqui
05.09.2019, aktualisiert um 16:28 Uhr
allerdings scheint es nicht normal zu sein, dass Ports von STP geblockt werden?
Nein, das ist auch nicht normal, denn ein STP Blocking zeigt dir das es irgendwo einen Netzwerk Loop gibt.
Damit das Netz dann nicht kollabiert blockt dein Spanning Tree Pozess diesen Port.
https://de.wikipedia.org/wiki/Spanning_Tree_Protocol
Welcher Port das ist hängt von deiner STP Konfiguration ab. Dort definiert man n der Switch Konfig ja immer einen STP Root Switch und einen Backup Root Switch mit entsprechender STP Priority. In der Regel Root = 4096 und Backup Root = 8192. Dieses Vorgeben des STP Baums ist zwingend in einer sauberen Konfig damit Root und Backup Root niemals zufällig (niedrigste Mac Adresse) bestimmt wird ! Oft wird diese wichtige Konfig bei wenig Netzwerk Know How vergessen oder schlicht falsch gemacht mit manschmal fatalen Folgen.
So oder so... Port Blocking zeigt einen Loop an.
In einem sauber designten STP Netz sollten niemals solche temporären Loops bzw. Blockings auftreten. Auch keine Excessive link state transitions !! Klar, den das STP Design ist ja immer statisch sofern man nicht am Backbone rumfummelt.
Excessive link state transitions zeigt meist ein defektes Kabel oder Edgerät an. Jeder STP Event führt zu einer STP Recalculation und zur Belastung der Infrastruktur.
Irgendwas ist also faul an deiner Patchung oder Design oder auch Switch Konfig. Um das richtig beurteilen zu können lieferst du allerdings wenig bis keinerlei Daten so das das eher Raterei ist.
Bitte warten ..
Mitglied: LordGurke
05.09.2019 um 17:30 Uhr
Zitat von aqui:
In einem sauber designten STP Netz sollten niemals solche temporären Loops bzw. Blockings auftreten. Auch keine Excessive link state transitions !! Klar, den das STP Design ist ja immer statisch sofern man nicht am Backbone rumfummelt.

Ähh... Sinn der Sache bei STP ist es doch, dass du redundante Pfade hast, von denen dann mindestens ein Port Blocking sein muss. Sonst hast du einen "funktionierenden" Loop der dir das Netz lahmlegt. Aber in einem funktionierenden STP hast du immer wenigstens einen Blocking Port?!

Die grundsätzliche Tatsache, dass es auf dem Core-Switch Blocking-Ports gibt, ist aber in der Tat ein Problem, weil es anzeigt dass der Core-Switch nicht die autokratisch bestimmte Root-Bridge ist sondern gerade irgendein anderes Netzwerkgerät (das, mit der niedrigsten MAC-Adresse) diese Aufgabe übernimmt. Und das ist mitunter ein Problem - deshalb solltest du, wie Aqui schon sagt, definitiv einen Wert von 4096 als Bridge-Priorität auf dem Core-Switch festlegen, damit dieser auch immer die Root-Bridge ist und alle Wege dahin durchlässig sind.
Bitte warten ..
Mitglied: Spirit-of-Eli
05.09.2019, aktualisiert um 18:26 Uhr
Habe ich früher auch gedacht. Bei Alcatel Switchen kommt die Meldung auch erst wenn ein STP Fall eintritt.

Bei Aruba wiederum geht jeder port erst in den Block und wird danach frei gegeben. Daher die Meldung. Bzw wird dies eben geloggt.

Da niemand weiß was es für switche sind..
Bitte warten ..
Mitglied: aqui
05.09.2019, aktualisiert um 18:47 Uhr
Sinn der Sache bei STP ist es doch, dass du redundante Pfade hast
Natürlich ist das richtig, keinen Frage ! Aber normal ist auch so ein redundantes Netz ja STP seitig stabil und Topo Changes sollten nicht auftauchen. Sofern man nicht an den Backbone Links fummelt oder die Topologie verändert was im Normalbetrieb ja eigentlch nicht passiert. Bei Umpatchungen ist das natürlich was anderes.
Aber auch nicht so exzessiv wie oben das der Port dort im 2 Sekunden Rhytmus den Status wechselt. Da ist in jedem Fall irgendwas oberfaul an diesem Port !!
Es ist also normal das man in einem redundanten Netz Blocking Ports sieht aber die sollten eben nicht wie wild wechseln.
Wenn du allerdings gar kein redundantes Netz hast dann sollten Blocking Ports bei dir die rote Lampe anmachen...
Bei Aruba wiederum geht jeder port erst in den Block und wird danach frei gegeben.
Das ist nicht nur bei den Aruba Gurken so sondern das Standard STP Verfahren. Frei werden sie aber nur sofern es keinen Loop irgendwo gibt oder dies ein redundanter Port ist. Da muss man fein differenzieren !
Jeder Switch zeigt immer mit einem show rstp o.ä. seine Port Topologie und Status an.
Bitte warten ..
Mitglied: westberliner
11.09.2019 um 14:52 Uhr
Ich weiß leider nicht, welche Infos notwendig sind, aber hier was ich habe.

Meine Switche sind alle Sternförmig angeschlossen ohne redundante Leitungen.

Der Hauptswitch läuft im Stackverbund, hier habe ich soweit ich konnte meine Firewall und meine ESX jeweils zu Hälfte an beide angeschlossen.
Und ja, ich konfiguriere fast nie Switche, deswegen ist die Konfig evtl. nicht die Beste, aber ich versuch mein Bestes.

Das ist die Config sowie Spanning-Tree von meinem Hauptswitch. (Habe ich hier ein Problem, weil die Spanning-Tree Pathcost auf 0 statt 4 steht?)
Und das die Konfiguration vom ersten Access-Switch. Die anderen Switche sind im Prinzip gleich konfiguriert.

Bitte warten ..
Mitglied: aqui
11.09.2019, aktualisiert um 16:32 Uhr
hier habe ich soweit ich konnte meine Firewall und meine ESX jeweils zu Hälfte an beide angeschlossen.
Wie denn genau ? Mit einem LACP LAG so wie hier dargestellt ??
stackdesign - Klicke auf das Bild, um es zu vergrößern
deswegen ist die Konfig evtl. nicht die Beste
Was dann eher schlecht ist
Sträflicher Fehler ist das dein Core Switch (Stack) keinerlei STP Priority konfiguriert hat, was er aber als Root Switch zwingend haben müsste. Zudem ist die Priority auf 0 gesetzt was ein nicht definierter Wert ist. Aber das ist eine Krankheit der gruseligen HP Billigswitches. Der Wert muss immer modulo 4096 sein.
Du solltest also zuallererst mit den 3 Kommandos:
spanning-tree priority 8192
spanning-tree instance 1 priority 8192
spanning-tree instance 2 priority 8192

Die STP Priority des Root Switches (dein Core Stack) statt nicht supportetem Wert 0 auf reale und richtige Werte setzen für deine konfigurierten Instances 0, 1 und 2 ! (kleiner = höhere Priority)
Bei den Access Switches kann es auf dem Default 32768 bleiben. Ebenso kann die LAG Link Priority erstmal bleiben, diese haben dann Priorität vor irgendwelchen anderen redundanten Links.
Damit hast du dann erstmal eine wirkliche STP Struktur wie sie sein soll im Netz. Ggf. ist der Fehler damit schon erledigt.

Generell passt die Konfig nicht zu deinem Design wenn es stimmt das du keine redundanten Links hast.
Die STP Konfig sieht so aus als on jemand damt ein L2 Link Balancing von redundanten Links machen will. Vermutlich sind deshalb 2 Instances eingerichtet worden. Die dann aber mit völlig falschen Priorities.
So ein Design ist sinnvoll wenn man 2 getrennte Core Switches hat.
In einem Full Stack wie bei dir ist es aber sinnfrei, da der Core ja dann als logisch ein Switch agiert.
Allerdings muss man bei den HP Schrottswitches da sehr vorsichtig sein. Die Billigteile supporten gar keinen Full Stack sondern das was HP da blumig als "Stack" bezeichnent ist ein simples und banales Clustering um die Konfig einfacher zu machen.
Das ist die Crux mit diesen gruseligen HP Teilen Andere können das besser die ein sinnvolles Full Stacking supporten wie Cisco oder Ruckus ICX. HP sollte bei Servern, Laptops und Druckern bleiben statt sich im Netzwerk nur fremden Mist zusammenzukaufen und nix selber zu machen.
Aber egal...mach erstmal die saubere Root Konfig und dann schaun mer mal...
.
Bitte warten ..
Mitglied: westberliner
17.02.2020, aktualisiert um 17:00 Uhr
Hallo Aqui,

bei mir ist das Thema etwas in Vergessenheit geraten, ich habe die Änderungen gerade durchgeführt. Allerdings ist bei dem Befehl zu beachten, dass man bei meinem Switch (HP2920) die Priority mit 1-15 angibt (wird mit 4096 multipliziert).

Die Konfiguration ist auf dem Mist gewachsen, da ich dachte zwei wirklich getrennte Switche zu haben - dem war aber nicht so. Daher kann vermutlich eine STP-Instanz weg.

Ich bekomme aber dennoch auf den Access-Switches die Meldungen über Blocked Ports:


Meine ESXi -Ports auf dem Switch habe ich leidglich im Trunking zusammengefasst, auf dem Switch ist nichts weiter konfiguriert.
Auf der ESXi wie folgt:
https://administrator.de/images/c/1/6/e2d2bc732c2dd932b8dc316fd90c4fde.j ...

ESXi1 hängt mit Port 1+2 an Stack 1 Port 5+6
ESXi1 hängt mit Port 3+4 an Stack 2 Port 5+6
ESXi2 hängt mit Port 1+2 an Stack 1 Port 7+8
ESXi2 hängt mit Port 3+4 an Stack 2 Port 7+8


Muss ich hier auf dem Switch etwas anders konfigurieren?
esxi switch - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
18.02.2020 um 12:43 Uhr
bei meinem Switch (HP2920) die Priority mit 1-15 angibt
Stimmt, das ist eine HP "Krankheit"...
Ich bekomme aber dennoch auf den Access-Switches die Meldungen über Blocked Ports:
Sind das ggf. Edge Ports wo Endanwender ihre Geräte ein- und ausschalten ? Dann wäre das normal wenn vergessen wurde in der RSTP Konfiguration diese Ports als Edge Ports zu definieren.
Daher kann vermutlich eine STP-Instanz weg.
Einzig nur dann wenn die Switches ein wirkliches Full Stacking supporten. HP ist hier mit vorsicht zu geniessen, denn die titulieren ihr billiges Clustering (rein nur zum Managen !) gern als marktschreierisch als "Stacking" was es aber de facto nicht ist !
Hier musst du also gewaltig aufpassen. Denn hast du zwei getrennte Switchdomains (also KEIN Full Stacking) und schaltest auf einem STP ab kann das fatal sein in einem redundanten Design !
Auf der ESXi wie folgt:
Bitte das "+" an der richtigen Stelle am Image klicken damit es auch im Kontext erscheint !
Meine ESXi -Ports auf dem Switch habe ich leidglich im Trunking zusammengefasst,
Jetzt ist die große Frage: WAS meinst du hier mit Trunking ??
  • Cisco Sprech für Tagged Uplinks ?
  • Rest der Netzwerk Welt = Link Aggregation mit LACP
  • Hypervisor haben aber no ca. 4 andere Optionen der Bündelung. Active Passive, Active Active usw. usw.
Es gibt da leider einen Zoo von Optionen und man kann jetzt nur raten was du da hast...?
Laut Screenshot sieht es ein bisschen nach einem LACP LAG aus was dann richtig wäre. Um da aber ganz sicher zu sein wäre ein show lacp und auch ein show lag von der Switchseite mal ganz hilfreich, denn der sagt dann wirklich ob dort ein LACP LAG werkelt.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Häufige Port Scans - normal ?
gelöst Frage von Dilbert-MDRouter & Routing8 Kommentare

Moin zusammen, Zwecks VPN-Zugriff haben wir unser "Kabelmodem*)" quasi in einen Bridge Modus gesetzt so dass der Internetverkehr von ...

Windows Server

Windows Script Host - Fehlermeldung deaktivieren ("This program is blocked by group policy.")

gelöst Frage von BustyWindows Server4 Kommentare

Hallo Administratoren-Gemeinde, ich habe folgendes Szenario: 1. ~100 User arbeiten per Citrix auf einem Server. 2. ~ 50 User ...

Netzwerkprotokolle

STP ausschalten

Frage von homermgNetzwerkprotokolle11 Kommentare

Hey Leute, wir haben vor kurzen alle unsere Switche gegen HP Switche ausgetauscht. Wir haben einen Coreswitch der 5400er ...

Netzwerkgrundlagen

Fragen zu STP

gelöst Frage von CoreknabeNetzwerkgrundlagen17 Kommentare

Moin, wir gestalten unser Netzwerk etwas aktueller und wollen und die letzten drei Altgeräte (Dell Powerconnect) durch Ruckus drei ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 9 StundenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 10 StundenWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 2 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 5 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Heiß diskutierte Inhalte
Windows 10
Windows "Home" Version im Unternehmen legal?
gelöst Frage von BosnigelWindows 1024 Kommentare

Hallo, ich habe hier einen Kleinstunternehmer der überall sparen muss. Die Frage: Ist Windows 10 (also nicht Pro) für ...

Hyper-V
Hardware Empfehlung Hyper-V Host
Frage von TraxxTecHyper-V20 Kommentare

Hi, ich habe keine Ahnung was aktuell an Hardware unterwegs ist, deshalb bräuchte ich eine grobe Empfehlung für einen ...

Batch & Shell
Doppelte If Anweisung - check if file exist
Frage von chkdskBatch & Shell12 Kommentare

Hello Again :-) Ich habe hier ein Skript, welches zu zu Beginn überprüft ob eine Datei vorhanden ist. Falls ...

Windows 10
Gruppenrichtlinenen Anzeigen lassen ohne Administrator rechte ?
gelöst Frage von DavidHergWindows 1011 Kommentare

Guten Abend zusammen, kann ich mir die Gruppenrichtlinien ohne Administrator Rechte anzeigen lassen ? MFG DavidHerg

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...