florianhe
Goto Top

Switchport geht down nach Maschineneinbindung

Hallo. Ich habe ein Problem mit unserem Firmennetzwerk.

Bei uns Existiert ein großes VLAN an dem alle Produktionsmaschinen angeschlossen sind.
Jetzt wollte ich eine neue Maschine einbinden. Sobald die Maschine angeschlossen war ging der Port vom Switch down.

Habe danach gleich mal die IT angerufen. Die haben mir den wieder freigeschalten.

Danach hatte ich die eingestellten IP Adressen geprüft -> da war alles io. Als nächstes habe ich ein neues Kabel vom hallenport zum Hub der Maschine gezogen weil das nicht mehr das schönste war. Leider ging der Switchport gleich wieder down.

Danach habe ich mal alle Teilnehmer der Maschine abgezogen und nach und nach wieder angesteckt. Dabei ist mir aufgefallen das der Switchport down geht sobald ein WLAN accespoint angeschlossen wird.

Es handelt sich dabei um einen SIEMENS SCALANCE W788-2PRO Dual Acces Point.

Irgendwas macht das ding was zur deaktivierung des Ports führt.

Ich habe die Einstellungen des APs mal überflogen. Es ist schonmal kein DHCP Server am laufen.

Mir ist eig nur die loop protection bekannt. aber das würde ja nur auslösen wenn man ein netzwerkkabel in 2 ports steckt und somit eine brücke baut.

Content-ID: 6393147450

Url: https://administrator.de/forum/switchport-geht-down-nach-maschineneinbindung-6393147450.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

2423392070
2423392070 16.03.2023 aktualisiert um 16:11:55 Uhr
Goto Top
Spanning Tree? BPDU? Doppelte Mac über eine Siemens Programmierung auf eine CPU kopiert?

Ein Blick in das Logging des Switches würde dir den Grund detailliert anzeigen.
brammer
Lösung brammer 16.03.2023 um 16:19:23 Uhr
Goto Top
Hallo,

hört sich nach BPDU an...
Der zentrale switch erwartet das sich dort Endgeräte anmelden..
Mit dem Siemens AP kommt aber ein Gerät mit einer VLAN ID.. schon ist der Port aus.

brammer
FlorianHe
FlorianHe 19.03.2023 um 15:56:23 Uhr
Goto Top
Okay. Hab ich die Möglichkeit wenn ich z. B. Einen Mikrotik Router dazwischen hänge (zwischen Maschine und firmennetz) dem zentralen Switch zu verheimlichen was nach dem mikrotik (auf der Maschinenseite) angeschlossen ist ?
6247018886
Lösung 6247018886 19.03.2023 aktualisiert um 16:57:06 Uhr
Goto Top
Moin.
Zitat von @FlorianHe:

Okay. Hab ich die Möglichkeit wenn ich z. B. Einen Mikrotik Router dazwischen hänge (zwischen Maschine und firmennetz) dem zentralen Switch zu verheimlichen was nach dem mikrotik (auf der Maschinenseite) angeschlossen ist ?
Ja kann man, Masquerading ist dein Freund. Wenn der Switch/Firewall zusätzlich die TTL der IP Pakete prüft um zu erkennen ob da ein zwischengeschalteter Router am Werke ist dann brauchst du auf dem Mikrotik zusätzlich eine Mangle-Rule die die TTL zurücksetzt.
Sowas sollte man aber eigentlich vorher mit der IT besprechen und nicht ohne dessen Einverständnis da irgendwas zusammenstecken. Da würde ich dir als Netzadmin gehörig auf die Finger kloppen.

Cheers Briggs
FlorianHe
FlorianHe 19.03.2023 um 21:37:08 Uhr
Goto Top
Okay das klingt ja schonmal gut. Ich hatte mit unserem Netzwerkadmin schonmal darüber gesprochen. Er war wenig begeistert Router in der Maschine einzusetzen. Wieso wollte er mir nicht sagen. Er will halt nur Endgeräte.

Ich persönlich find die Lösung die Maschinen in ihrer ip Konfiguration unververändert zu lassen und die Schnittstelle zwischen Maschine und Halle über ein NAT zu realisieren viel besser. Vorallem weil man dann auch nur die maschinenkomponenten ins Netz bringen kann die auch benötigt werden und nicht sinnloserweise alle. Und man belegt nicht so viele IP Adressen die eh nie von außerhalb genutzt werden.

Was ist an der NAT Lösung so unsicher oder schlecht ?
6247018886
6247018886 19.03.2023 aktualisiert um 22:51:04 Uhr
Goto Top
Zitat von @FlorianHe:
Was ist an der NAT Lösung so unsicher oder schlecht ?
Wer hat das behauptet? Ich nicht.
NAT ist ein Behelfskonstrukt das man einsetzen kann wenn es nicht anders geht. Die Devise lautet ja immer Route where you can NAT where you must. Da bei solchen Maschinensteuerungen aber meist eh nicht viel Traffic anfällt ist das auch schon wieder egal, außer es handelt sich um zeitkritische Anwendungen.
Es kommt halt wie immer darauf an, wer da Hand anlegt 😉
Dani
Dani 19.03.2023 um 23:07:30 Uhr
Goto Top
Moin,
Sowas sollte man aber eigentlich vorher mit der IT besprechen und nicht ohne dessen Einverständnis da irgendwas zusammenstecken. Da würde ich dir als Netzadmin gehörig auf die Finger kloppen.
Im Best Case. Im Worst Case könnte es eine Abmahnung oder sogar eine Kündigung geben. Je nachdem wie das Ganze organisatorisch und bürokratisch aufgebaut ist.

Wieso wollte er mir nicht sagen. Er will halt nur Endgeräte.
schlussendlich ein weiteres Endgeräte welches gepflegt, gewartet und eine Fehlerquelle darstellt und man verliert natürlich die Kontrolle, was sich hinter dem Router an weiteren Geräten versteckt.

Ich persönlich find die Lösung die Maschinen in ihrer ip Konfiguration unververändert zu lassen und die Schnittstelle zwischen Maschine und Halle über ein NAT zu realisieren viel besser.
Ich persönlich finde es auch besser, wenn ich auf dem Firmenparkplatz zwei Stellplätze an statt eines Stellplatz hätte. Aber wir sind nicht bei Wünsch dir was.

Und man belegt nicht so viele IP Adressen die eh nie von außerhalb genutzt werden.
Bei einem ordentlichen Netzwerkkonzept spielen IP-Adresse eigentlich keine Rolle mehr.

Okay das klingt ja schonmal gut. Ich hatte mit unserem Netzwerkadmin schonmal darüber gesprochen. Er war wenig begeistert Router in der Maschine einzusetzen.
Schlussendlich ist es Sache der IT die Maschine ans Netz zu bringen. Hängt natürlich ein Stück weit auch davon ab, wie was wo das bei euch läuft. Bei uns sind alle Arten von Beschaffungen in Richtlinien definiert. So stellen wir sicher, dass keine Geräte gekauft werden die außerhalb unsere Prozesse agieren und somit Mehraufwand generieren.


Gruß,
Dani
FlorianHe
FlorianHe 19.03.2023 um 23:37:33 Uhr
Goto Top
Schlussendlich ist es Sache der IT die Maschine ans Netz zu bringen.

Naja halt eben nicht. Bei uns sind das 2 verschiedene Abteilungen.

In unserer Abteilung gibt es sozusagen ein VLAN was von uns verwaltet wird.

Mit Verwaltet meine ich das wir darüber entscheiden was die Komponenten für Adressen bekommen. Wenn eine neue Anlage integriert wird oder eine neue produktinslinie an den Start geht rufe ich die it an und sag der Port bla bla muss ins VLAN bla gepatcht werden.

Wenn das dann gemacht ist wird ein Kabel vom Hallenport in die Maschine gezogen und mit dem Hub in der Anlage verbunden.

Und je nach Anlage sind an dem hub dann zwischen 2 und 20 netzwerkgeräten angeschlossen.

Ich muss dann halt vorher noch alle Adressen anpassen und die Programmierung und Konfiguration der Komponenten auf die neuen Adressen anpassen. Und je nachdem was in den Maschinen verbaut ist geht das dann gleich auf Anhieb oder halt nicht. Wie in dem Beispiel mit dem wlan AP für ein handpanel.

Die NAT Lösung umgeht halt den Konfigurationsaufwand.

Ich bedanke mich für die Erklärung wieso das nicht so einfach geht wie ich’s gern hätte.
2423392070
2423392070 20.03.2023 um 08:10:06 Uhr
Goto Top
Ich verstehe nicht, warum man etwas auf Teufel und Verderb mutwillig mit Anlauf nicht richtig machen will.

Es ist ja fast selbsterklärend, was das Problem ist.
Geh zu jemandem im Haus, der Ahnung hat und Verantwortung bereit ist zu tragen.

Im Umgang mit Maschinen würde ich dich nicht alleine lassen dürfen.
Überlege Mal was du da machen willst. Das sind die Anfänge einer Manipulation. Der Port geht mir gutem Grund down. Details stehen im Log und dort guckt der normale Mensch nach.
FlorianHe
FlorianHe 20.03.2023 um 09:10:09 Uhr
Goto Top
Naja. Machen will ich hier garnix. Ich bin jediglich auf der Suche nach Fakten wieso und weshalb etwas nicht geht. Und auf der Suche nach Lösungen.

Leider hab ich nur gesagt bekommen geht nicht. Liegt nicht an uns . Liegt an deiner Maschine. Da ist der Fehler. Mach das es geht. Wir haben damit nix zutun.

Auf die Frage ob es ein log gibt gabs leider nur die Antwort „ da kenne ich mich nicht aus bin nur Vertretung“

Und ich bin auf die Idee mit dem nat eig nur gekommen da es von Siemens fertige Router gibt (zb SC-600 / M-800 / S615) die genau für diesen Einsatz (Maschine in ein firmennetz einbinden) verwendet werden können. Zumindest gibts dazu ein 40 seitiges Handbuch was die Konfiguration für diesen Fall beschreibt. Ob die Verfasser dieses Handbuchs möchten das man mit dieser Konfiguration Unheil anrichtet weis ich nicht.


Letztendlich kann ich der it nur Berichten woran es liegt das der Port down geht und auf eine Antwort hoffen die für mich umsetzbar ist. Die Maschine braucht den wlan AP sonst kann sie nicht produzieren. Die Leute die die Produktionsdaten haben wollen brauchen ihre Zahlen um planen zu können.

Am Ende kann man mit Abmahnungen und Schlägen drohen wie man möchte. Deswegen ist die Anlage trotzdem nicht am Netz.
2423392070
2423392070 20.03.2023 um 09:21:42 Uhr
Goto Top
Sag Mal bist du überhaupt erwachsen?

Es deutet alles auf STP oder BPDU hin. Das Switch schreibt genau den Grund auf, warum ein Port down geht.

Diesen Grund gilt es zu ermitteln.

Maschinen töten Menschen. Roboter zerdrücken dich in der Zelle, siehe unser Vorfall in Baunatal.
Es kann und darf sichere Kommunikation über Ethernet gemacht werden, daher ist es unverantwortlich ohne Ahnung der Materie diesbezüglich etwas zu machen.

Wenn ihr euch zu fein seit am Switch "Show Log" zu tippen oder seriell oder per SSH live zugucken, dann geht bitte alle nach Hause.

Kläre den Grund oder lass es sein.

Unglaublich was du hier von dir gibst, ich würde dich an den Haaren aus der Produktion schleifen.
FlorianHe
FlorianHe 20.03.2023 um 11:30:31 Uhr
Goto Top
Aller klar. Schönen Tag noch. Und danke für die Hilfe.