wiseguy
Goto Top

Wie kann ich im LAN Fehlerpakete "sehen", Kollisionen erkennen oder Fehlerhafte Pakete identifizieren - LAN bricht von Zeit zu Zeit zusammen

Hallo,

seit einiger Zeit (ich kann leider nicht genau sagen, wann das angefangen hat) hab ich Netzwerkprobleme. Manchmal kommen die innerhalb kürzester Zeit und sind unter anderem daran erkennbar, das die Ping Zeiten abrupt in die Höhe schnellen (von meinem Notebook im WLAN auf ein beliebiges Ziel im Netzwerk von sonst ca. 1.xxx ms innerhalb kürzester Zeit auf 20.xxx - 30.xxx ms) bzw. ganz aussetzen. Wenn ich den Switch dann mindestens ca. 10 Sekunden vom Strom nehme hab ich wieder die 1.xxx ms Ping Zeiten und kann im Netzwerk wieder normal arbeiten:
Last login: Sat Jul  1 11:29:41 on console
PC1:~ user1$ ping 192.168.1.204
PING 192.168.1.204 (192.168.1.204): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
64 bytes from 192.168.1.204: icmp_seq=2 ttl=128 time=25.117 ms
64 bytes from 192.168.1.204: icmp_seq=3 ttl=128 time=33.468 ms
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
Request timeout for icmp_seq 6
Request timeout for icmp_seq 7
Request timeout for icmp_seq 8
64 bytes from 192.168.1.204: icmp_seq=9 ttl=128 time=139.943 ms
Request timeout for icmp_seq 10
Request timeout for icmp_seq 11
Request timeout for icmp_seq 12
64 bytes from 192.168.1.204: icmp_seq=13 ttl=128 time=35.775 ms
Request timeout for icmp_seq 14
^C
--- 192.168.1.204 ping statistics ---
16 packets transmitted, 4 packets received, 75.0% packet loss
round-trip min/avg/max/stddev = 25.117/58.576/139.943/47.144 ms
PC1:~ user1$ ping 192.168.1.204
PING 192.168.1.204 (192.168.1.204): 56 data bytes
64 bytes from 192.168.1.204: icmp_seq=0 ttl=128 time=1.968 ms
64 bytes from 192.168.1.204: icmp_seq=1 ttl=128 time=2.199 ms
64 bytes from 192.168.1.204: icmp_seq=2 ttl=128 time=9.238 ms
^C
--- 192.168.1.204 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.968/4.468/9.238/3.374 ms
PC1:~ user1$
Wenn dieses Problem auftritt, ist übrigens von keinem Gerät (LAN Kabel oder WLAN) noch irgendetwas richtig zu erreichen.
Das WLAN läuft über einen WLAN AP und in dieser Hinsicht von dem Switch unabhängig.
Das Problem ließ sich bisher übrigens weder durch Neustart der einzelnen Geräte noch des WLAN AP beheben. Nur ein längeres Abschalten des Switches half... aber leider nicht dauerhaft. Irgendwann taucht das Problem wieder auf (manchmal eine Woche gar nicht und manchmal 5 Mal am Tag).

Ich glaube nicht, dass es am Switch liegt, denn den hatte ich bereits getauscht (anderes Modell) und das gleiche Problem bekommen.
Der Neustart der einzelnen PCs scheint das Problem auch nicht zu beheben.

Ich vermute aber trotzdem irgend eine Fehlkonfiguration oder irgend welche Fehlerhaften Pakete, Kollisionen oder irgend so etwas.
Mit welchen Tools kann man denn so was analysieren?

Content-ID: 342229

Url: https://administrator.de/contentid/342229

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

Thomas2
Thomas2 01.07.2017 um 22:50:21 Uhr
Goto Top
Hi,

Wireshark installieren und auf einem Port mitlauschen, der alle Daten spiegelt.

Gruß,
Thomas
StefanKittel
StefanKittel 02.07.2017 um 00:26:28 Uhr
Goto Top
Hallo,

Ich würde einen manged Switch verwenden.
Dann kann man Ports mit fehlerhaften Paketen schnell auffinden.

Vieel Grüße

Stefan
LordGurke
LordGurke 02.07.2017 aktualisiert um 00:50:56 Uhr
Goto Top
Für mich klingt das Verhalten eher nach Broadcast-Storm oder einem Loop...
Bei Broadcast-Storm wäre z.B. auch denkbar, dass Daten mit hoher Bandbreite an eine nicht auffindbare MAC-Adresse adressiert werden und der Switch diese auf alle Ports verteilt.
Nachdem da insbesondere auch WLAN involviert ist, können selbst vergleichsweise geringe Bandbreiten mit einer gewissen Paketrate das WLAN-Netz komplett unbenutzbar machen.
Auch Multicast auf einem dummen Switch wird die Broadcast behandelt.

Gewissheit bringt da aber tatsächlich nur der einzig wahre Klassiker Wireshark.
juhu01
juhu01 02.07.2017 um 02:02:07 Uhr
Goto Top
da du den ping von einem unix-system abgesetzt hast, gehe ich einmal davon aus das der shark nicht laufen wird.
schau dir mal mit netstat -i die interfaces und die error an.
mit netstat -s bekommst du weitere informationen.
ich tippe jetzt einmal das du die fehler nicht auf dem wlan hast sondern zwschen switch und internet. ein versuch wäre das kabel zu tauschen.
ansonsten findest du mit "iptraf" einen schnellen überblick. der nächste schritt wäre dann tcpdump und ggf mit wireshark die auswertung.
BassFishFox
BassFishFox 02.07.2017 um 02:48:05 Uhr
Goto Top
da du den ping von einem unix-system abgesetzt hast, gehe ich einmal davon aus das der shark nicht laufen wird.

Mein Goettchen, wie kommst Du denn darauf?

Vielleicht benutzt er ja ein KALI-Linux, da ist per default WireShark schon dabei. Die anderen Distris lassen das Teil recht easy nachinstallieren, wenn benoetigt.

BFF
juhu01
juhu01 02.07.2017 um 09:17:09 Uhr
Goto Top
die ersten 2 Zeilen sind ein Hinweis darauf.......
- Das Wort "console" ist bei Linux/Unix-Systemen für lokale RS232-Anschlüsse (VT100 Schirme) üblich........
ansonsten wird /dev/pts/x, /dev/vtsxx oder (sehr oft) die IP-Adresse verwendet. (Zeile 1.)
- der Login prompt in der Form erinnert mich an meine ersten Unix-Experimente und das war vor Linux. Und wurde immer dazu verwendet jede menge Infos auf kleinem Raum abzusetzen.
- der Ping mit einer unlimit Angabe wird üblicherweise nur im Unix-Umfeld ausgeführt. Windows hört nach 4 Pings auf (ohne counter Angabe).

Ich glaube auch nicht, dass dieses System eine "grosse" Unixmaschinen, wie z.B. eine Sun T5 oder Dell ist.
Meine Vermutung liegt eher im "kleinen" Segment. Es wird eher ein Switch/Router/Firewall mit einem NetBSD-Derivat sein. Die Shell wird Dir daher auch nicht Alles bieten können.

Wenn ich recht habe, wird es die beiden Kommandos netstat und tcpdump auf dem Ding geben. Bei iptraf kann ich mir vorstellen, dass der noch ohne großem Aufwand läuft. Darüber, also alles mit X11, sehe ich kaum Chancen.
LordGurke
LordGurke 02.07.2017 um 12:37:46 Uhr
Goto Top
@juhu01
Und dennoch hält ihn niemand davon ab auf dem Notebook, welches offenkundig am meisten darunter leidet, Wireshark/tcpdump zu verwenden face-wink
juhu01
juhu01 02.07.2017 um 20:35:20 Uhr
Goto Top
abhalten, tut es nicht und es ist immer gut so ein Ding in der Hinterhand zu haben.
Bringen wird es auch nicht viel den der Absatz....

Das Problem ließ sich bisher übrigens weder durch Neustart der einzelnen Geräte noch des WLAN AP beheben. Nur ein längeres Abschalten des Switches half... aber leider nicht dauerhaft. Irgendwann taucht das Problem wieder auf (manchmal eine Woche gar nicht und manchmal 5 Mal am Tag).

Ich glaube nicht, dass es am Switch liegt, denn den hatte ich bereits getauscht (anderes Modell) und das gleiche Problem bekommen.
Der Neustart der einzelnen PCs scheint das Problem auch nicht zu beheben
.


deutet auf einiges hin,

- Switch getauscht -- Problem bleibt 2 mal switch kaputt-->unwahrscheinlich.
- mehrere PC im WLan und ein AccessPoint. --> Client ? unwahrscheinlich.
- Loop, Broadcast etc. ? ---> woher, kann keine Loop-Condition ausmachen, da müsse ein zweiter AP/PC/Router am Switch hängen
- Reboot bringt nix. face-wink Problem auf allen Clients --> unwahrscheinlich,
- Switch ausgeschalten.... nach einiger Zeit .... ---> Switch ist ein dummes Ding. Einzig die Wärme die es abgibt ist ein Hinweis.

Wenn du mit wireshark etwas finden willst, muss das Gerät über Kabel am Switch direkt hängen, sonst siehst du maximal den AP.
Mein Tipp bleibt; "Kabel zwischen Switch und Internet-Modem" oder AP. Ein Thermo-Problem (schlechte Lötstelle, Kabelbruch) am Kabel würde genau dieses Symptome zeigen.
Herbrich19
Herbrich19 03.07.2017 um 09:37:55 Uhr
Goto Top
Gibt es Kolesionen in LAN noch? Ich dacht seid dem es Ethernet Switches gibt ist dieses Problem aus der Welt? Bei Ethernet Hubs gab es das Problem ja immer face-smile

Gruß an die IT-Welt,
J Herbrich
anteNope
anteNope 03.07.2017 aktualisiert um 11:15:33 Uhr
Goto Top
Ist ja witzig. Ich hatte genau das gleiche Problem bei einem meiner Kunden!

Hauptswitch war ein HP 48 Port mit weiteren direkt an diesen angeschlossenen Switchen.

Fehlerbild:

  • Netzwerk wurde "immer langsamer"
  • 100 MBit/s Geräte wie z.B. Drucker waren nicht mehr erreichbar
  • Switch auf 99% Auslastung (normal 3-4%)
  • Switch-Gehäuse so heiß, dass man den nicht mehr anfassen konnte
  • Neustart der Switche mit kurzer Pause, brachte (kurzfristigen) Erfolg


Fehlerdiagnose
  • Da managed Switche ist mir aufgefallen, dass zwei Endpunkte massives Aufkommen an Paketen hatten. (mehrere zig Millionen pro Sekunde)
  • Entferne man eines der beiden betroffenen Geräte, nahm die Netzwerklast unmittelbar ab
  • Nach Neustart der Switche sah man, dass die Pakete exponentiell zunahmen bis Vollast
  • Größter Teil der Pakete waren Broadcasts
  • Switche getauscht => keine Besserung

Lösung
  • Eines der beiden betroffenen Geräte habe ich dauerhaft entfernt, was das Problem stark gemindert hat
  • Dennoch nahm die Last zwischen den Switchen immer stetig zu, nur halt eben langsamer
  • WireShark hat keine Ergebnisse gebracht (Witziger Weise trat der Fehler nur dann auf wenn man den gerade nicht laufen hatte)
  • Loops wurden ausgeschlossen
  • * Storm-Control sowie Flood-Control der Switche brachten dann den gewünschten Erfolg (aber mit Nebenwirkungen)

Ein paar Monate später hatten wir dann das Netzwerk neu aufgebaut, mit neuem Subnetz, Firewall usw. Seither tritt der Fehler auch bei deaktivieren Schutzmechanismen nicht mehr auf!

Wir hatten sogar "Netzwerkspezialisten" vor Ort, die auch nicht weiter wussten.
wiseguy
wiseguy 03.07.2017 um 12:05:08 Uhr
Goto Top
Hallo und danke erstmal für die zahlreichen Antworten.

Die Spekulationen kann ich auflösen: Der Ping aus dem Eingangspost stammt von einem Mac OS X.
Die Idee mit dem Mangaed Switch ist klasse. Da hätte ich eigentlich selbst auch noch drauf kommen können. Dann werd ich mir Leiweise mal einen besorgen und das damit prüfen. Damit kann ich den Übeltäter wohl tatsächlich am einfachsten ausmachen.

Was die Währmeentwicklung angeht, glaube ich erhlich gesagt nicht daran, dass das mein Problem sein könnte: Der Switch befindet sich in einem kleinen Netzwerkschrank im gekühlten Keller; es ist auch der einzige Switch in diesem Schrank bzw. im Netzwerk. Er wird etwa Handwarm.

Aber dank deines Hinweises mit dem Kabelbruch werde ich mal die LAN Kabel Strecken prüfen. Kann hierbei auch ein vermeintlich unbeteiligtes Kabel Fehler im restlichen Netzwerk verursachen?
Ich erläutere meine Frage mal etwas:
  • Gerät 1, Gerät 2 und Gerät 3 sind jeweils an einem eigenen Switch Port angeschlossen
  • Angenommen das fehlerhafte Kabel befände sich auf der Strecke Gerät 1 <-> Switch Port 1
  • Gerät 1 erhält dadurch beim Zugriff z.B. auf Gerät 2 solche von mir benannten Fehler
  • Frage: Hat das dann auch AUswirkungen auf die Kommunikation von Gerät 2 mit Gerät 3 (wo ja alle Kabel korrekt sind)?
Herbrich19
Herbrich19 03.07.2017 um 14:26:06 Uhr
Goto Top
Hallo,

Frage: Hat das dann auch AUswirkungen auf die Kommunikation von Gerät 2 mit Gerät 3 (wo ja alle Kabel korrekt sind)?

Eigentlich nicht, defekte Kabel bedeuten entweder kein Link, Link Ja aber keine Verbindung oder die Packete werden beschädigt durch die Leitung gehen aber die anderen Links sollten nicht betroffen sein.

Gruß an die IT-Welt,
J Herbrich
anteNope
anteNope 03.07.2017 um 14:28:45 Uhr
Goto Top
Ich tippe darauf, dass dein Problem mit meinem ähnlich ist. Der Managed Switch ist jedenfalls der richtige Ansatz. Entweder ist damit das Problem direkt behoben oder er sagt dir zumindest im Ansatz was da falsch läuft ;)
Yannosch
Yannosch 03.07.2017 um 16:17:51 Uhr
Goto Top
@anteNope ... dein beschriebenes Problem hört sich aber ziemlich genau nach einem Loop an ...
anteNope
anteNope 04.07.2017 aktualisiert um 00:03:39 Uhr
Goto Top
Hatte ich auch erst vermutet. Nachdem ich aber wirklich jedes einzelne Kabel überprüft und gegen neue getauscht habe (war eh notwendig und so hatte man den Überblick), hatte ich immer noch keinen Loop gefunden ...

Der übertrieben hohe Traffic trat zwischen zwei Endgeräten auf sowie auf den Verbindungen der jeweiligen betroffenen Switche (zwei).


p.s. ist immer toll wenn die Leute dann eigenmächtig Kabel irgendwo reinstecken. Sieht man dann ja bei den neuen Kabeln, wenn da plötzlich wieder irgend eine andere Farbe rumhängt. Aber keiner will es dann gewesen sein. Aber dann meckern wenn das Netzwerk brennt ;)
Yannosch
Yannosch 04.07.2017 aktualisiert um 10:11:16 Uhr
Goto Top
Die Kabel müssen ja nicht getauscht werden um einen Loop zu beseitigen ... es genügt die Verkabelung an sich zu überprüfen.
@wiseguy Schau wirklich nochmal alles nach ... und verkabel alles so das wirklich keine kreisende Pakete entstehen können ... gerade der von dir erwähnte expotentielle Wachstum des Traffics ist fast schon eindeutig!