Netzwerkproblem - Inter VLAN Routing ?

[Hannibal Smith]

Hallo ihr Netzwerkexperten,

ich stehe auf der Arbeit mal wieder vor einem lustigen Problem.
Zu mir sollte erwähnt werden, dass ich erst seit knapp 1 Jahr tief in der Netzwerkadministration bin (nach der Ausbildung eben) und noch viel lernen kann und auch möchte.

Zum Problem:
Wir haben bei uns seit Ewigkeiten Probleme mit der Datenübertragung der Steri. Normalerweise werden die Daten an einen Server geschickt und von dort aus weiterverarbeitet. Allerdings kommt nicht immer alles an, was auch erstmal kein Problem darstellt. Sobald allerdings ein gewisses Paket mit einer Entgültigen Freigabe der Charge fehlt, darf diese komplett verworfen werden und muss neu durch die Steri. Das macht das Problem leider nur schwer reproduzierbar.
Der Hersteller weist das Problem von sich ab und auf unser Netzwerk. Soweit so gut.
Das Netzwerk für die Sterigeräte ist ein eigenes Netzwerksegment und in einem VLAN abgebildet. Dieses ist in das eigentliche Firmennetz geroutet, um den Server zu erreichen (Abbildung "Verbindungsabbrüche").
Hierbei kommt es zu den genannten Abbrüchen.

Testweise haben wir das VLAN auf einem physisch getrennten Switch erstellt und auch den anzusprechenden Server mit einem Interface in dieses Netz gepackt. Das zweite Interface hängt ganz normal im Firmennetz um die Daten weiterverarbeiten zu können. Nun funktioniert die Verbindung einwandfrei, allerdings ist das für uns keine Optimale Lösung, da wir so einen Hardwareserver und eigene Hardware bräuchten. Zudem ist das Problem an anderer Stelle ein sehr ähnliches. (Abbildung "keine Verbindungsabbrüche").

Durch einen Zufall haben wir noch folgendes entdeckt:
Eines der Geräte wurde zurück ins alte Geroute VLAN gesteckt und der Server, der laut Testaufbau nun direkt im "neuen, isolieren" VLAN steckt, verbindet sich auch mit diesem Gerät !! obwohl er ein Interface direkt in diesen Netzbereich hätte. (Abbildung "Abbrüche auf der 10")
Wie kann das funktionieren ?

Nun stellt sich uns die Frage, wie man das Problem beseitigen kann und wieder zurück zur VLAN umgebung ohne eigene Hardwareswitche. Klar das Routingdeaktivieren wäre der Schritt, der das Problem mit sicherheit lösen wird, allerdings kann ich mir nur schwer vorstellen, an was es denn liegen kann. Eine hohe Broadcastlast ist beispielsweise ja schon durch das VLAN, egal ob geroutet oder nicht, auszuschliesen.

Ich bitte um Anregungen, Gedankengänge etc. um die Ursache ausfindig zu machen.

Viele Grüße
Hannibal

 

[KillerCow]

Erstmal muss ich einfach wieder vorweg sagen, dass man VLANs nicht routen kann. VLAN = Layer 2, Routing = Layer 3.

Was noch helfen könnte:

• Wie kommunizieren die Systeme miteinander? TCP oder UDP? Werden nur bei Bedarf Verbindungen aufgebaut oder muss/soll eine permanente Verbindung auf Layer3+ stehen?
• Du erzählst was von "routing". Wer routet? Wie sehen die Routen auf ALLEN beteiligten Systemen aus?
• Gibt es eine Firewall?
• Gibt es auf den Netzwerkschnittstellen Sende-/Empfangsfehler? Gibt es mögliche (zeitlich limitierte) Störeinflüsse entlang der Kabelwege? Starkstromleitungen, Motoren oder so.
• Was sind "Abbrüche" im Kontext? Wo bricht die Verbindung ab? Layer2, Layer3, weiter oben?
• Habt ihr schonmal die Kommunkation mitgeschnitten (tcpdump, wireshark, o.ä.)?
• Gibt es Begleiterscheinungen, wenn die Störung auftritt? Z.B. hohe Latenz, Paketloss, etc?

 

[madmax2010]

https://documentation.meraki.com/MS/Layer_3_Switching/Layer_3_vs_Layer_2_Switching

 

[snaxilian]

Befindet sich zwischen den Subnetzen noch eine Firewall? Hatten mal Probleme mit einem größeren Hersteller der unsere Backups unnötig stark verzögerte bis hin zum Abbruch weil die Firewall auf dem erlaubten Backup-Traffic noch DPI angewendet hat und reingucken wollte aber mit der Art der Daten nix anfangen konnte^^

 

[Hannibal Smith]

Hi danke schonmal für die Antworten

Werden nur bei Bedarf Verbindungen aufgebaut oder muss/soll eine permanente Verbindung auf Layer3+ stehen?

Die Verbindungen werden nur bei Bedarf, also wenn die Maschine Protokolldateien senden möchte, aufgebaut.

Du erzählst was von "routing". Wer routet? Wie sehen die Routen auf ALLEN beteiligten Systemen aus?

In solchen Netzen gibt es normalerweise einen oder mehrere Layer 3 Switche, die die "Routinginstanz" darfstellen.

Gibt es eine Firewall?

Ja, als Gateway zum Internet - lach

Gibt es auf den Netzwerkschnittstellen Sende-/Empfangsfehler?

Tx und Rx Error? Nein, leider nicht.

Gibt es mögliche (zeitlich limitierte) Störeinflüsse entlang der Kabelwege? Starkstromleitungen, Motoren oder so.

Nein, auch das fällt weg, die Fehler treten immer auf, wenn das Gerät Daten sendet, nur kommen manche davon an und andere nicht... was ankommt ist immer unterschiedlich

Was sind "Abbrüche" im Kontext? Wo bricht die Verbindung ab? Layer2, Layer3, weiter oben?

Wie schon in den Abbildungen gezeigt, funktioniert auf Layer 2 noch alles.

Habt ihr schonmal die Kommunkation mitgeschnitten (tcpdump, wireshark, o.ä.)?

Leider sehr nichtssagend, da wir die Daten nicht zuordnen können, also welches Paket welchen Teil des Protokolls sendet

Gibt es Begleiterscheinungen, wenn die Störung auftritt? Z.B. hohe Latenz, Paketloss, etc?

Hohe Latenzen sind in der Ursprungssituation aufgetreten

https://documentation.meraki.com/MS/Layer_3_Switching/Layer_3_vs_Layer_2_Switching

Danke dafür - an wen genau richtet sich der Link?

Gruß
Hannibal

Ergänzung (4. November 2020)

Befindet sich zwischen den Subnetzen noch eine Firewal

Siehe den Kommentar oben - nein eine FW gibt es nicht zwischen den Netzen

 

[razzy]

Bevor ich weiter ins Detail gehe, hast du ein vernünftiges Netzwerk Design?
Sprich L2/L3 instanzen (sprich Core/Distri/Access), wo ist was mit welchem VLAN verbunden etc inkl. Kommunikationsbeziehung?

So auf anhieb ohne genauere Details des Aufbaus eines Netzwerks finde ich es schon sehr kritisch "Fern-Diagnosen" oder ähnl. anzubieten.
Finde es eher nur ein Ratespiel

Des Weiteren möchte ich hier noch sagen, wenn es ein Firmen-Netz ist, dann ist es vermutlich auch mit Service bei einem Fachbetrieb abgedeckt, der auch bestimmt für Fragen/Troubleshooting oder Consulting-Leistung offen ist

Welche Netzwerk-Hardware ist denn verbaut?

 

[Hannibal Smith]

Sprich L2/L3 instanzen (sprich Core/Distri/Access), wo ist was mit welchem VLAN verbunden etc?

Ja ein vernünftiges Design (zwar verbessungswürdig in Hinsicht auf Redundanzen) gibt es. Wo genau das VLAN aufliegt kann ich nicht direkt sagen, bin eigentlich für das Netzwerk eines anderen aber durch ein Tochtergesellschaftliches Konstrukt verbunden Unternehmen tätig. Werd ich morgen früh mal genau hinterfragen.

Fachbetrieb abgedeckt, der auch bestimmt für Fragen/Troubleshooting oder Consulting-Leistung offen ist

Gibts es ebenfalls, allerdings möchte ich nicht alle Probleme an einen Dienstleister geben sondern selbst versuchen es zu lösen und dabei zu lernen

Welche Netzwerk-Hardware ist denn verbaut

Extreme Networks im Core hauptsächlich x670 und der Accesspart hauptsächlich x440

 

[Gr1mwalk3r]

Erstmal muss ich einfach wieder vorweg sagen, dass man VLANs nicht routen kann. VLAN = Layer 2, Routing = Layer 3.

Da du es "schon wieder" sagst, sollte darauf hingewiesen werden das (zwischen) VLAN problemlos geroutet werden kann. Bei Beschränkungen durch VLAN kommt auch gerne VXLAN ins Spiel.

Zu mir sollte erwähnt werden, dass ich erst seit knapp 1 Jahr tief in der Netzwerkadministration bin (nach der Ausbildung eben) und noch viel lernen kann und auch möchte.

Ich sehe hier keine Probleme bei dem Design. Ob die erforderlichen Kentnnisse zur Umsetzung innerhalb dieses Designs vorhanden sind, kann nur @Hannibal Smith beantworten.

 

[KillerCow]

das VLAN problemlos geroutet werden können

Nein können sie nicht. VLAN arbeitet auf Layer 2. Routing (zumindest in diesem Kontext) arbeitet auf Layer 3. VLANs trennen Kollisionsdomänen auf (ist in heutigen geswitchten Netzen irrelevant) und fungieren (je nach Implementierung und Vertrauen in den Hersteller) als Sicherheitsfeature (Systeme in VLAN 1 können nicht mit Systemen in VLAN 2 reden, selbst wenn sie dasselbe IP-Netz nutzen).

Es wird "leider" gerne angenommen, dass ein VLAN einem IP-Netz entspricht und daraus resultiert die Annahme, ein VLAN könnte geroutet werden. Leider wird bei Switchen gerne von "inter-VLAN routing" o.ä. gesprochen, was von der Begrifflichkeit einfach nicht korrekt ist. Was diese Geräte können, ist schlicht Layer-3 routing.

Klassisch betrachtet kann ein VLAN aus den oben genannten Gründen nicht geroutet werden. Mag kleinkarriert klingen, den Unterschied zu verstehen ist in einigen Situationen aber essentiell! So habe ich das in meiner Fachausbildung gelernt und so ließt es sich in diverser Fachliteratur. Sollte sich die Definition von "VLAN" tatsächlich verändert haben, bitte unbedingt passende Informationen liefern, danke!

 

[snaxilian]

Nein, die Definition hat sich nicht geändert, keine Sorge.
Ja, technisch korrekt hat ein VLAN nur begrenzt etwas mit einem Subnetz zu tun da mehrere Subnetze dem gleichen VLAN angehören können oder auch mehrere VLANs die gleichen Subnetze beherbergen können (was dann das Routing erschwert da man NAT verwenden muss^^).
In der Realität bzw. vor allem in kleineren und mittleren Umgebungen ist die Realität jedoch so, dass 1 VLAN = 1 Subnetz entspricht und daher umgangssprachlich gleichgesetzt wird. Diese sprachliche Nachlässigkeit führt dann zu der Annahme, dass man zwischen VLANs routen könne. Noch schlimmer wird es wenn die Werbeseiten und -prospekte der Hersteller diesen Fauxpas noch forcieren durch solche technisch ungenau formulierten Begrifflichkeiten wie inter-VLAN Routing.

So, ich hoffe damit ist das Thema geklärt und alle können sich wieder dem Ruhepuls annähern sofern dieser nicht bereits anliegt

 

[Gr1mwalk3r]

VLANs trennen Kollisionsdomänen

Auch das ist falsch. VLANS trennen Broadcast-Domänen. Nehmt es mir nicht übel, aber eure Informationen beschädigen die Integrität der VLAN-Broadcast-Domänen. Der Datenverkehr zwischen VLANs muss zwangsweise immer geroutet werden um das sicherzustellen.

In der Realität bzw. vor allem in kleineren und mittleren Umgebungen ist die Realität jedoch so, dass 1 VLAN = 1 Subnetz entspricht

Es ist egal welches Unternehmen in welcher Größe so arbeitet oder nicht. VLANS bleiben routbar und segmentieren den Switch logisch in verschiedene Subnetze. Wenn ein Router an den Switch angeschlossen ist, kann ein Administrator den Router so konfigurieren, dass er den Datenverkehr zwischen den verschiedenen am Switch konfigurierten VLANs weiterleitet. Das Inter-VLAN-Routing als Fauxpas zu bezeichnen ist zeugt von keiner Praxiserfahrung.

Ihr führt hier mit euren Aussagen nicht nur das VTP Protokoll, sondern auch die dot1q encapsulation eines Layer 3 Switches ad absurdum. IEEE standard 802.1Q. Router on a stick mit Subinterfaces je VLAN brauchen wir dann einfach auch nicht, alles nur eine "sprachliche Nachlässigkeit" die zu der Annahme führt dass man zwischen VLANs routen könnte ...

 

[KillerCow]

VLANS trennen Broadcast-Domänen

Mag sein, dass ich hier Begriffe verwechselt habe. Werde ich mich nochmal schlau machen, Danke für den Hinweis.

Das Inter-VLAN-Routing als Fauxpas zu bezeichnen ist zeugt von keiner Praxiserfahrung.

Es macht, was man erwartet, aber die Benennung ist falsch, weil:

VLANS bleiben routbar

VLAN = Layer 2, was will man da routen? Layer 2 kennt keine IP-Netze und genau diese bzw. zwischen diesen wird geroutet.

Ich klinke mich hier aber aus, die Diskussion gehört nicht in den Thread.

 

[Gr1mwalk3r]

Ich klinke mich hier aber aus, die Diskussion gehört nicht in den Thread.

Dann werde ich das als "Newbie" (seit 11/2020 angemeldet)" gerne so berücksichtigen.

 

[Gr1mwalk3r]

Der Themenersteller hatte eine INTER vlan routing Frage und wollte ZWISCHEN den Netzwerken routen. Die erste Antwort die er bekommen hat war die o.g. von @KillerCow ..

Erstmal muss ich einfach wieder vorweg sagen, dass man VLANs nicht routen kann. VLAN = Layer 2, Routing = Layer 3.

Das erweckt sofort den Eindruck das es unmöglich ist zwischen VLANs zu kommunizieren.

Systeme in VLAN 1 können nicht mit Systemen in VLAN 2 reden, selbst wenn sie dasselbe IP-Netz nutzen)

Sollte sich der Themenersteller: @Hannibal Smith nochmal zu Wort melden können wir ihm gerne dabei helfen sein Problem zu lösen.

@KillerCow meinte bestimmt folgendes: Erstmal muss ich einfach wieder vorweg sagen, dass man VLANs nicht routen kann, sondern nur zwischen den VLANs. VLAN = Layer 2, Routing = Layer 3. Systeme in VLAN 1 können mit Systemen in VLAN 2 reden, selbst wenn sie unterschiedliche IP-Netze nutzen. Alles was wir dafür brauchen ist ein Layer 3 Gerät, die IP-Adressen der Systeme und Subnetze inkl. Subnetzmaske um die Interfaces für die logischen Sub-Interfaces oder des SVI zu erstellen.

Das wir hier das obligatorische "zwischen" manchmal stumm halten ist mMn. der Tatsache geschuldet das es physisch schon kein "zwischen" mehr gibt weil alles auch mal auf einer Backplane passiert. Konzeptionell und doch argh kleinkarriert korrekt: VLANs sind NICHT Routbar, nur ein Routing zwischen VLANS ist möglich -- habe nun der Vollständigkeithalber das "einzige" fehlende "zwischen" mit einem "(ZWISCHEN)" im Beitrag #8 editiert. Alle anderen Formulierungen haben es bereits korrekt beinhaltet. Weniger Goldwaagen -- More Cisco!