IP-Adresskonflike zwischen managed L2-Switchen und deren Auswirkungen

[TheManneken]

Moin,

Vermutlich eine für die FiSis unter uns recht triviale Frage und eigentlich würde ich mir die Antwort schon selbst geben, aber ich dachte, ich frag' hier mal gerade in die Runde nach zweiten Meinungen...

Komme gerade als Betreuer eines Bestandsnetzes hinzu. Jede Menge Manages L2-Switche mit teilweise doppelt vergebenen IP-Adressen und Hostnames. Alles aufgedröselt und Netzwerk neu strukturiert. Dennoch fallen immer wieder mal einzelne Switche aus.

Meine Vermutung: eigentlich dürften die IP-Adresskonflikte zwischen den Switchen gar keinen Einfluss auf die ordnungsgemäße Funktion der physischen Netzwerks gehabt haben, da Layer-3. Keiner der Switche arbeitet aber als L3, das Switching findet ja komplett auf dem Layer-2 statt. Die Konfig ist pretty basic: paar VLANs, keine Stacks oder Redundanzen aufgebaut, im Grunde gibt es auch nur die Trunk Ports bzw. Native-VLAN 1 Ports, welche die Uplinks der Switche zueinander sind und an denen einige Access Points hängen. VLAN 1 ist sozusagen das Management-VLAN. Alle anderen Ports der Switche sind Untagged VLAN 10, 20 etc.

Übersehe ich da irgendwas? Klar, die IP-Adresskonflikte sind jetzt alle behoben, aber ich bin sicher, dass sie mit den Ausfällen einzelner Switche zuvor nichts zu tun hatten. Allerdings sind dennoch manche auf L3 Ebene via SSH oder WebUI zwischenzeitlich nicht erreichbar. Vermute Probleme mit SFP+ Transceivern und defekten/unpassend geplanten (Patch-)Kabeln.

 

[Mojo1987]

Die Frage ist, behebt sich das dann irgendwann von selbst oder musst du etwas tun um wieder Zugriff zu bekommen? Betrifft es nur das Switch selbst oder bricht auch das Netzwerk der Geräte am betroffenen Switch weg?

Sind die Switches alle vom selben Hersteller und was sagen die entsprechenden Logdateien der Geräte?

 

[Masamune2]

Das hast du im Grunde schon richtig erkannt, die IP brauchen die Switche erst mal nur für ihr Management, switchen tun sie auch wenn es einen Konflikt gibt und die Web-Oberfläche nicht erreichbar ist.
Ausfälle auf dieser Ebene haben also vermutlich eine andere Ursache.

 

[TheManneken]

Es behebt sich nach einiger Zeit wieder von selbst. Dann funktioniert auch SSH und theoretisch WebUI Zugriff wieder.

Ein Großteil der Switche sind Ruckus (ehem. "Arris") ICX (früher mal "Brocade"). Die sind verwaltet über die SmartZone, einem virtualisierten Controller. Ruckus Access Points gibt es auch. Zugriff hab ich also momentan nur über die SmartZone, dort gibt es auch eine SSH Console, aber physischen Zugriff habe ich auf das Netzwerk derzeit nicht und auch kein VPN in jenes.

Ein Teil der Switche sind Aruba 1930 und 1830. Auf die komme ich aktuell nicht drauf. Ich könnte mich zwar über die SSH Console von einem ICX Switch zu einem Aruba Switch verbinden, allerdings scheinen die SSH deaktviert zu haben. Das macht es mir momentan schwer, die dortigen Logs auszulesen. Die ICX Switche melden nur "disconnected to the controller" und "offline for more than 15 minutes" und dann eben wieder "connected to the controller". Im Grunde als ob einfach die Internetverbindung weg wäre. Aber keine Ports, die down gehen und wieder up kommen, weder bei den RJ45 als auch den SFP+ Uplinks, zumindest die physischen Links.

Mein Plan ist definitiv, in Kürze vor Ort zu fahren und mir die Arubas genauer unter die Lupe zu nehmen. Die IP-Adresskonflikte betrafen übrigens ausnahmslose diese. Zu jedem existenten Aruba gab es einen ICX Switch mit gleiche IP- und Hostname Konfig.

Ich kenne auch die VLAN Konfig der Arubas derzeit nicht. Ich kann nur per LLDP über die ICX eingrenzen, dass es zu jedem Aruba nur jeweils einen physischen Link gibt. Wie es unter den Arubas aussieht, weiß ich derzeit nicht.

 

[Phneom]

Moin,
eigentlich ist das zu komplex für ein Forum. Aber man kann es ja trotzdem mal versuchen.
Ich schätze du meinst die Management Interfaces der Switches hatten doppelte IPs und Hostnamen?
Kommt immer auf den Switch an aber grundsätzlich sollte das nicht stören außer das man halt nicht mehr wirklich drauf kommt und auch sonst alle Vorteile verliert (Monitoring). Das machen Switches aber teilweise unterschiedlich.
Wenn es immer wieder zu Ausfällen kommt die sich mit der Zeit wieder selbst beheben würde ich mal im Bereich Spanning Tree suchen ggf. gibt es auch irgendwo Loops.

 

[Joe Dalton]

Hm... Du kannst in der Config bzw. den Logs schauen, ob dort irgendwas auf error disabled geht und nach Ablauf eines Timers wiederhergestellt wird (z.B. zu viele Fehler auf einem Uplink, der erst auf down und nach x min wieder auf up geht). Was sagen denn die Fehlerzähler auf den Switches bzw. die Uptime? Evtl. bootet auch einer der Switches zwischendrin mal durch.
-> Siehst gar keinen Statuswechsel bei den Ports oder nur nicht bei den relevanten Uplinks?
Ansonsten würde ich mir mal Spannung Tree ansehen: einheitliche Protokollvariante, BPDU Guard/Filter und prüfen, wie es mit der Topologie aussieht.

Und, wichtigste Frage überhaupt: Bist Du Dir sicher, dass Du alle Switches siehst/kennst? Nicht das zwischendrin irgendwas unbekanntes werkelt und sich einmischt.

Wenn Du selbst nicht remote auf die Switches kommst, dann muss sich jemand lokal anstöpseln und Dir über sein Notebook Zugriff ermöglichen.

 

[VDC]

Ja, sowas hört sich nach Loops oder ähnlichem an, am besten irgendwo ein unmanaged Switch dazwischen, der ist schön transparent.

Die 1930 und 1830er Switches sind Webmanaged und haben im Falle der 1930 nur eine rudimentäre Shell per SSH. Sind die Ausfälle immer in den selben Ecken?

 

[0x8100]

auch wenn es unwahrscheinlich ist: an doppelte macs denken (also nicht nur durch loops, sondern tatsächlich geräte mit gleicher mac). wenn die switche ständig die mac an anderen ports umlernen, dann siehst du auch solche probleme auf layer 3.

 

[Masamune2]

Die Aruba 1900er und 1800er haben kein SSH, da kommst du nur per HTTP(S) drauf.

 

[derChemnitzer]

bringe mal die Switche Ruckus ICX Switche auf einen einheitlichen FW Stand
Ich hatte mal was in den Release Notes über solche Probleme bei älteren FWs gelesen

 

[TheManneken]

Siehst gar keinen Statuswechsel bei den Ports oder nur nicht bei den relevanten Uplinks?
Ansonsten würde ich mir mal Spannung Tree ansehen: einheitliche Protokollvariante, BPDU Guard/Filter und prüfen, wie es mit der Topologie aussieht.

Nicht bei den Switchen, auf die ich derzeit zugreifen kann. Da finden keine statt. Bei den Arubas weiß ich es Stand jetzt nicht.

Bist Du Dir sicher, dass Du alle Switches siehst/kennst? Nicht das zwischendrin irgendwas unbekanntes werkelt und sich einmischt.

Zu 99% bisher ja. Ich hab halt über LLDP geprüft wie was miteinander verbunden ist und auch die meisten MAC-Adressen mittlerweile mal auf den Vendor gecheckt, ob da ggf. noch Switch-Hersteller auftauchen. Und zu unmanaged Switchen hat @VDC ja was gesagt - die würde ich im Zweifel wohl nur wie die Nadel im Heuhaufen finden.

@derChemnitzer

Aktuellste Firmware SPS08095n ist auf allen ICX derzeit installiert, Stand Januar 2024

Und dann haben ja noch einige korrekt auf Spanning Tree und Loops verwiesen. Das ist definitiv ein Thema, was ich angehe. Verbinden werde ich das wohl dann mit einem Besuch vor Ort.

Die Zuverfügungstellung eines Clients vor Ort, über den ich remote per HTTP(S) auf die Aruba zugreifen und mal einen Scan über das gesamte Netz laufen lassen kann, wäre toll, aber aus Gründen gibt's momentan niemanden vor Ort, der mir das bereitstellen kann - gleichermaßen aber auch aktuell niemanden, der von den Problemen betroffen wäre. Der gesamte Standort steht aktuell leer und vor der 35. KW habe ich nicht mehr die Möglichkeit, da mal einen Besuch abzustatten.

 

[Tanzmusikus]

Der gesamte Standort steht aktuell leer und vor der 35. KW habe ich nicht mehr die Möglichkeit, da mal einen Besuch abzustatten.

Na, dann genieße die Urlaubszeit (der anderen Mitarbeiter) !!