morphium79
Goto Top

Hallo zusammen, ich habe ein relativ großes Firmennetzwerk mit zwei großen Adressbereichen. Hier kommt es immer wieder zu Störungen, dessen Ursache mir bislang unklar ist.

Folgender Aufbau ist gegeben:
IP Bereich 10.50.0.0 - 10.50.7.255 mit Subnetmaske 255.255.248.0 soweit technisch in Ordnung denke ich.
In diesem Bereich sind die Arbeitsplatzrechner Drucker Server etc. angesiedelt.

Aufgrund der Zunehmenden Modernisierung haben wir immer mehr Maschinen mit Stuerungen welche über Ethernet (Profinet) kommunizieren.
So eine Anlage hat dann mal gut und gerne einen Bedarf von 20 IP Adressen weshalb wir einen neuen NEtzweerkbereich ins Leben gerufen haben:
IP Bereich 10.50.40.0 - 10.50.63.255 mit SSubnetzmaske 255.255.224.0

Beide Netze hängen Physikalisch zusammen, managbare Switche sind da aber ich glaube nicht oder nicht sinnvoll eingerichtet.

Es kommt immer wieder vor, dass das gesamte Netz für ca. 20 Sekunden "einfriert"

Wie würdet ihr diese Strukturen auf bzw. umbauen, was müsste man in den Switches einstellen?

Content-Key: 248796

Url: https://administrator.de/contentid/248796

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: Chonta
Chonta 10.09.2014 um 15:20:35 Uhr
Goto Top
Hallo,

Du hast mit deinen beiden Netzen mal riesiege Broadcastdomänen.
Das Ziel für das Netzwerk ist es eigendlich so kleine Broadcastdomänen zu schaffen wie möglich um zu verhindern das durch ein Gerät das falsch konfiguriert ist das gesamte Netz lahmgelegt wird.

http://de.wikipedia.org/wiki/Broadcast-Dom%C3%A4ne

Also wenn Dein gesamtes Netz immer mal einfriert, dann wirst Du irgendwo ein Gerät haben was murks macht.
Dein Problem ist es dieses bei der netzstruktur zu finden > Struktur ändern und Subneten.

Gruß


Chonta
Mitglied: killtec
killtec 10.09.2014 um 15:23:48 Uhr
Goto Top
Hi,
eine weitere Überlegung wäre hier die Trennung der LANS durch VLAN oder pysikalische Trennung durch mehr Switche. Die beiden Netze kannst du dann über einen Router oder Layer3 Switch verbinden.

Gruß
Mitglied: Pjordorf
Pjordorf 10.09.2014 um 15:24:55 Uhr
Goto Top
Hallo,

Zitat von @morphium79:
IP Bereich 10.50.0.0 - 10.50.7.255 mit Subnetmaske 255.255.248.0
2054 Hosts.

So eine Anlage hat dann mal gut und gerne einen Bedarf von 20 IP Adressen
IP Bereich 10.50.40.0 - 10.50.63.255 mit SSubnetzmaske 255.255.224.0
8192 Hosts? Wie viele Steuerungen kommen denn da dran? Du schreibst was von 20 IPs. Warum nicht die eine ein 192,168,x,x/24 gepackt damit du die von dein 10.x sauber unterscheiden kannst? Sicher das deine Steuerungen alle mit dein 255.255.224.0 umgehen können? Manche können auch heute noch tatsächlich nur die alten (nicht mehr existenten) Klassem.

Es kommt immer wieder vor, dass das gesamte Netz für ca. 20 Sekunden "einfriert"
Nein ein Switch? Nur eine Strecke? Nur ein Server? Alle 2054 + 8192 Hosts klemmen gleichzeitig für ca. 20 Sekunden? Nur TCP oder UDP? usw.usw.

Gruß,
Peter
Mitglied: Lochkartenstanzer
Lochkartenstanzer 10.09.2014 aktualisiert um 15:44:38 Uhr
Goto Top
Zitat von @morphium79:

Folgender Aufbau ist gegeben:
IP Bereich 10.50.0.0 - 10.50.7.255 mit Subnetmaske 255.255.248.0

= 10.50.0.0/21 -> 2k hosts

IP Bereich 10.50.40.0 - 10.50.63.255 mit SSubnetzmaske 255.255.224.0

= 10.50.32.0/19 -> 8k hosts

Beide Netze hängen Physikalisch zusammen, managbare Switche sind da aber ich glaube nicht oder nicht sinnvoll eingerichtet.

Zwei IP-Netze in der gleichen Broadcastdomain, zusammen 10k hosts.

Sowas habe ich zuletzt in den 80ern an Universitäten gesehen. mit tollen Broadcaststürmen udn sonstigem was so ein Riesennetz stört.

Es kommt immer wieder vor, dass das gesamte Netz für ca. 20 Sekunden "einfriert"

Kein Wunder. Wenn Ihr ein "flaches" netz habt, schwappt jeder Hickser durch das ganze Netz. ein paar layer3-switche täten Eurem Netz ganz gut.

Wie würdet ihr diese Strukturen auf bzw. umbauen, was müsste man in den Switches einstellen?

Netze segmentieren, Notfalls jeder Maschine sein eigenes /27 oder gar /24 geben.

Layer 3 switches kaufen und ausgiebig Routing nutzen.

lks
Mitglied: 108012
108012 10.09.2014 um 16:50:16 Uhr
Goto Top
Hallo,

ich mache es mal kurz, was sicherlich nicht meine Art ist, aber hier geht echt bald gar nichts mehr
wenn nicht mal jemand gründlich aufräumt! Und der sollte Geld in die Hand nehmen und sich auf jeden
Fall vorher einen Plan manchen den man dann nur noch abarbeitet.

IP Bereich 10.50.0.0 - 10.50.7.255 mit Subnetmaske 255.255.248.0
Also dem geht ja heute leider gar nicht mehr.
Wer routet denn das alles? Die Firewall alleine?

IP Bereich 10.50.40.0 - 10.50.63.255 mit SSubnetzmaske 255.255.224.0
Dito!

- Zwei dicke L3 Switche die so richtig Wumms haben
Redundant und als Core
- Mehrere Switche die alle gestapelt sind und an den Core angebunden sind
Für alle Netzwerkgeräte außer die Server
- Einen oder zwei richtig dicke Switche Granaten Layer2+
Zur Anbindung der Server am besten auch gestapelt

soweit technisch in Ordnung denke ich.
Dann such mal technisch nach dem Problem! Denn mit Sinn behaftet ist das nicht und
da Dir nichts besseres eingefallen ist, kann ich mir auch gut vorstellen wie lange die ganze
Sache gewachsen ist!

Es kommt immer wieder vor, dass das gesamte Netz für ca. 20 Sekunden "einfriert"
Bei der Größe ist das schon ein richtiges Lob an die Netzwerktechnik denke ich mal.

Wie würdet ihr diese Strukturen auf bzw. umbauen, was müsste man in den Switches einstellen?
Also wenn Du uns mal so in etwa sagen könntest was Du denn für Switche und Klienten hast und wie
viele das sind und wie genau die Switche heißen sollte das kein Thema sein.

- Größe
- Anzahl
- Protokolle
- Budget

Gruß
Dobby
Mitglied: morphium79
morphium79 10.09.2014 um 16:51:49 Uhr
Goto Top
2054 Hosts für alles was zum Server muss, sind natürlich nicht alle verwendet, aber angelegt ist das Netz so (war nicht meine Idee)

Wir haben 7 Gebäudeteile, In jedem Gebaudeteil gibt es min. 10 Produktionsanlagen, z.T. mit mehreren Maschinen, also hast du Pro Halle gleich mal 200 + Hosts verballert.

Daher:
10.50.40.0 - 255 Allgemein Programmiergeräte etc. von der Technik
10.50.41.0 - 255 und 10.50.51.0 - 255 GEbäude 1 usw.

Das Subnetz scheinen sie bis jetzt zu verkraften, wir haben noch nicht alle umgestellt, das geht jetzt dann Schritt für Schritt los.
Aus Sicherheitsgründen soll das Maschinennetz physikalisch vom anderen getrennt werden. Daten werden auf einer Diskstaion gespeichert, die mehrere Netzwerkkarten het, damit sie auch aus dem anderen .0 - 7 Netz erreichbar ist.
Wir, die Technik, wollen an unseren Laptops nicht ständig Adressen umstellen wenn wir an einer anderen Anlage was nachschauen müssen, daher alles in einem Block

Es friert der Hauptswitch ein, da alles von da verteilt ist geht dann im ganzen Betrieb garnichts mehr bis er sich nach ca 20 sek. wieder erholt hat.
ich denke aber, es muss möglich sein die Switche (jedes Gebäude hat mindestens einen Unterverteiler mit Glas zum Hauptswitch) so einzustellen, dass der Switch hinter dem der Fehler auftritt das Problem selber handelt und nicht alles einfriert.
Mitglied: aqui
aqui 10.09.2014 aktualisiert um 16:57:17 Uhr
Goto Top
Beide Netze hängen Physikalisch zusammen, managbare Switche sind da aber ich glaube nicht oder nicht sinnvoll eingerichtet.
Oha....da wundert es nichtmal einen blutigen Laien das es da logischerweise zu Problemen kommt. Solche Kardinalsfehler in der Planung und Einrichtung macht nichtmal ein Azubi im ersten Lehrjahr mehr....
Erstmal die riesigen Broadcast Domains mit /21er Masken ist schon tödlich für ein Netz und dann (man mag es kaum glauben...!) noch mit 2 solch großen IP Netzen auf einem Draht ohne Routing und Segmentierung.... Schlimmer kanns eigentlich nicht mehr kommen. Als Netzwerk Admin kannst du da nur ganz schnell weglaufen !

Minimal müsstest du diese beiden IP Segmente zwingend mit einem Router segmentieren:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Switche sind da aber ich glaube nicht oder nicht sinnvoll eingerichtet.
Mit sowas kann ein verantwortungsvoller Netzwerker nichts anfangen denn "glauben" ist bekanntlich nicht wissen !!
Wenn du also Hilfe willst musst du das schon wasserdicht rausbekommen und die Topologie und Switchkonfig kennen. Mit Wischiwaschi Infos ist dir nicht geholfen.
Das Fazit ist ganz klar Segmentieren Kein Mensch betreibt solche großen Broadcast Domains !
Wenn du das machst verschwinden auch die Probleme sofort.
Die Antworten der Kollegen oben sind da ja auch entsprechend eindeutig !
Mitglied: morphium79
morphium79 10.09.2014 um 16:56:38 Uhr
Goto Top
Problem ist, ich bin hier SPS Techniker und hab immer nur die Probleme, wenn man die an unsere EDV vorträgt passiert mal nichts. Daher wollte ich mal eine externe Meinung zu unserer Struktur (sofern man da von Struktur reden kann).

Die Meinung ist ja sehr eindeutig. Werde das nun mal an die EDV weitergeben und hoffen, dass die mal aufwachen.

P.S. Ich hab das so nicht verbrochen, das Netzwerk ist die letzten X Jahre immer nur dazugeflickt worden.
Mitglied: aqui
aqui 10.09.2014 aktualisiert um 17:01:23 Uhr
Goto Top
Daher wollte ich mal eine externe Meinung zu unserer Struktur (sofern man da von Struktur reden kann).
Wenn es nur halbwegs stimmt was von dir als SPS Techniker kommt zur Beschreibung ist das megakrank und hat mit Struktur nicht das geringste zu tun.
Klär das aber wasserdicht bevor du dich da mit Nichtwissen der Topologie zu weit aus dem Fenster lehnst.
Werde das nun mal an die EDV weitergeben und hoffen, dass die mal aufwachen.
Ist die Frage ob diese "Experten" dort sich von einem kleinen SPS Techniker beraten lassen wollen ?!
P.S. Ich hab das so nicht verbrochen,
Du musst dich hier nicht rechtfertigen ! So ein Netz spricht eher für die totale Unfähigkeit der EDV. Netzwerker gibt es dort de facto nicht. Sofern es denn stimmt wie du die Situation schilderst ?!
Mitglied: 108012
108012 10.09.2014 um 17:22:36 Uhr
Goto Top
Problem ist, ich bin hier SPS Techniker und hab immer nur die Probleme, wenn man die an
unsere EDV vorträgt passiert mal nichts.
Das kann man sich aber nur vorstellen, wenn dort die ganze Hütte 24/7/365 laufen muss und
wer mit einem Schraubenzieher oder einem LSA Anlegewerkzeug erwischt wird sofort "fliegt".

Daher wollte ich mal eine externe Meinung zu unserer Struktur
(sofern man da von Struktur reden kann).
Was soll das denn nützen wenn man hier etwas rät und dann Du es vorträgst und dann
der Chef das hört und wieder nicht richtig "geht"!!!!!

Die Meinung ist ja sehr eindeutig. Werde das nun mal an die EDV weitergeben und
hoffen, dass die mal aufwachen.
Das wird bei Euch erst der Fall sein wenn der Laden voll zum Stehen kommt und dann muss
alles "rucki zucki" laufen und jeder darf auch gleich mal seinen halben Bekanntenkreis am
Wochenende mitbringen um mit anzupacken.

P.S. Ich hab das so nicht verbrochen, das Netzwerk ist die letzten X
Jahre immer nur dazugeflickt worden.
Das brauchst Du uns nicht erzählen denn das so ein Netzwerk nur aus der
Not geboren sein kann oder aber weil der Laden 24/7 Attacke macht ist uns auch klar.

10.50.40.0 - 255 Allgemein Programmiergeräte etc. von der Technik
10.50.41.0 - 255 und 10.50.51.0 - 255 GEbäude 1 usw.
Nimm hier einmal gleich die .255 am Ende weg denn das ist jeweils die Broadcast Adresse und
die wird nicht benutzt, zumindest nicht von Dir sondern die ist reserviert!

Das Subnetz scheinen sie bis jetzt zu verkraften, wir haben noch nicht alle umgestellt,
das geht jetzt dann Schritt für Schritt los.
Also ohne Router oder aber Layer3 Switche und dann auch bitte gleich mit ein wenig
Luft nach oben als gestapelt und als Core, Distributed und Access Layer ausgelegt.
Kräftige Switche im Stapel mit VLANs und die Hälfte aller Probleme sollten weg sein!

Aus Sicherheitsgründen soll das Maschinennetz physikalisch vom anderen getrennt werden.
Aus genau diesen Gründen sollte man mit VLANs arbeiten und auch da braucht es nur eine
Admin Console die an einem KVM Switch hängt und man kann auf alles zugreifen, gar kein
Thema nur für umme gibt es das nicht!

Wir, die Technik, wollen an unseren Laptops nicht ständig Adressen umstellen wenn
wir an einer anderen Anlage was nachschauen müssen, daher alles in einem Block
Jo das macht zwar Sinn nur irgend wer sollte zwischen den Netzen routen und um sie
abzugrenzen machen VLANs dann natürlich erst richtig Sinn.

Es friert der Hauptswitch ein, da alles von da verteilt ist geht dann im ganzen Betrieb
garnichts mehr bis er sich nach ca 20 sek. wieder erholt hat.
Naja wenn Ihr auch die .255 IP Adressen nutzt ist das kein Thema!

ich denke aber, es muss möglich sein die Switche (jedes Gebäude hat mindestens
einen Unterverteiler mit Glas zum Hauptswitch) so einzustellen, dass der Switch hinter
dem der Fehler auftritt das Problem selber handelt und nicht alles einfriert.
Ne klar nur man muss erst einmal den Fehler bzw. die Fehlerquelle finden und das sollte bei
Euch schon fast nicht mehr mit dem Kabelhai sondern viel mehr mit dem Kabelwal erledigt
werden.

Gruß
Dobby
Mitglied: MrNetman
MrNetman 10.09.2014 um 22:57:32 Uhr
Goto Top
Ich würde einen Fachmann holen und sofort abhauen.

Na im Ernst:
zwei solch große Netzwerke an ein und demselben Switch ohne VLANtrennung zu betrieben ist unverantwortlich. Bei PCs mögen 20 Sekunden noch irgendwie hinnehmbar sein, aber VoIP oder gar die Echtzeit-Steuerungssysteme. Und die Designer von Profinet haben ihre Komponeten leidlich sauber, aber es gibt auch noch Dinge wie Heartbeat und viele Layer2 Geschichten zur Geräteerkennung ....

Ein falscher Broadcast/Multicast und alles steht.
Wireshark ist dein Freund.
Brauchst dazu noch nicht einmal einen Mirrorport.
Und dazu (habe erst jetzt den Rest überflogen) ist deinem Hauptswitch mit den vielen MACs und einer evtl. spinnenden NIC gleich das Licht ausgeblasen worden. Neu lernen und es geht.

Du musst als Techniker für den Produktionsbereich nur darauf drängen, dass diese Maschinenbereiche in eigene VLANs ausgelagert werden. Und das mit dem manuellen Wechsel der IP am PC wird dir wohl nicht erspart bleiben.
Die Erreichbarkeit der Netze wird über einen zentralen Switch und dessen interne Routingfähigkeit erreicht.

Gruß
Netman
Mitglied: brammer
brammer 11.09.2014 um 13:45:14 Uhr
Goto Top
Hallo,

Wir haben 7 Gebäudeteile, In jedem Gebaudeteil gibt es min. 10 Produktionsanlagen

Na das hört sich ja schon mal nach mindestens 70 VLAN's an....

Jede Anlage in ein VLAN , jede Abteilung bekommt ihr eigenes VLAN.... und so weiter....

Daten werden auf einer Diskstaion gespeichert, die mehrere Netzwerkkarten het, damit sie auch aus dem anderen .0 - 7 Netz erreichbar ist.

Aha...schon mal was von Routing gehört?

Es friert der Hauptswitch ein, da alles von da verteilt ist geht dann im ganzen Betrieb garnichts mehr

Jetzt nur für 20 sek.... aber irgendwann friert der Core Switch dauerhaft ein.

es muss möglich sein die Switche (jedes Gebäude hat mindestens einen Unterverteiler mit Glas zum Hauptswitch) so einzustellen, dass der Switch hinter
dem der Fehler auftritt das Problem selber handelt und nicht alles einfriert.

Denkfehler!
Das Problem darf gar nicht erst auftreten dan muss der Switch auch nichts händeln!
Kleinere Netzwerk, sauber Segmentieren und VLAN's schon ists gut...

brammer
Mitglied: morphium79
morphium79 11.09.2014 um 15:19:11 Uhr
Goto Top
So, jetzt hab ich mal in die Weboberfläche unseres Mainswitch geschaut. Allzu viele Einstellungen wurden da nicht vorgenommen. Es handelt sich um einen Procurve von HP 4208vl.
hab mal paar Scrennshots gemacht.

Es gibt 3 VLAN: Default_VLAN
Gast
Maschinen
Sind aber nur einzelne Ports auf Gast und Maschine gestellt, der überwiegende Teil ist auf Default

Ich versuch mal die Screenshots hochzuladen
Mitglied: morphium79
morphium79 11.09.2014 um 15:25:05 Uhr
Goto Top
Kann man hier irgendwo 'Screenshots hochladen
Mitglied: brammer
brammer 11.09.2014 um 15:35:28 Uhr
Goto Top
Hallo,

ja kann man...

Formatierungen in den Beiträgen

brammer
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.09.2014 um 15:37:24 Uhr
Goto Top
Zitat von @morphium79:

So, jetzt hab ich mal in die Weboberfläche unseres Mainswitch geschaut. Allzu viele Einstellungen wurden da nicht
vorgenommen. Es handelt sich um einen Procurve von HP 4208vl.
hab mal paar Scrennshots gemacht.


Mal dumm gefragt:

Wenn Du "nur" für die Maschinen zuständig bist, darfst und kannst du das so einfach? Wenn ja, ist bei Euch nicht nur das LAN im argen. face-smile

lks
Mitglied: brammer
brammer 11.09.2014 um 15:39:09 Uhr
Goto Top
Hallo,

@Lochkartenstanzer
du verstehst das nur falsch...sowas nennt man flache Hierachien......

brammer
Mitglied: morphium79
morphium79 11.09.2014 um 15:55:26 Uhr
Goto Top
alles ohne passwort, hast du die IP (und die steht drauf) kannst du im IE reinschauen
Mitglied: brammer
brammer 11.09.2014 um 16:09:08 Uhr
Goto Top
Hallo,

den Admin feuern...
Das ist irgendwo zwischen grob fahrlässig und geschäfts gefährdend...

brammer
Mitglied: 108012
108012 11.09.2014 um 17:05:10 Uhr
Goto Top
So, jetzt hab ich mal in die Weboberfläche unseres Mainswitch geschaut.
Allzu viele Einstellungen wurden da nicht vorgenommen. Es handelt sich
um einen Procurve von HP 4208vl. hab mal paar Scrennshots gemacht.
Naja gut das kann ich nun nicht beurteilen, aber für so viele Maschinen und
Gebäude und dann noch für alles VLANs ich weiß nicht ob die Switche die
Last abfangen werden. Aber das es so nicht weiter geht ist auch sonnenklar.

Es gibt 3 VLAN: Default_VLAN
Das ist wohl auf allen Switche das Standard VLAN!

Gast
Ok

Maschinen
Ach sieh mal an.

Sind aber nur einzelne Ports auf Gast und Maschine gestellt, der überwiegende Teil ist auf Default
Im default VLAN (VLAN1) sind immer eigentlich alle Maschinen und Netzwerkgeräte Mitglied!
Also das VLAN1 oder das so genannte default VLAN lässt sich auch richtig gut zum administrieren
benutzen.

den Admin feuern...
Das ist irgendwo zwischen grob fahrlässig und geschäfts gefährdend...
Oder die haben das einfach getrennt, so etwas wie wir machen alles für das Büro und die Techniker
dann alles für die Maschinen, dann würde man schon verstehen wollen warum die Admins da nicht
bei gehen wollen. Aber irgend wie, ich weiß auch nicht genau warum, ließt man da immer zwischen
den Zeilen heraus, das dort 24 Stunden rund um die Uhr geackert wird und niemand den Betrieb
unterbrechen darf.

Gruß
Dobby
Mitglied: MrNetman
MrNetman 11.09.2014 um 18:12:41 Uhr
Goto Top
Screenshots:
Ursprungsbeitrag öffnen
Bild zufügen
Link des Bildes an der passenden Stelle im Kommentar einfügen.

Gruß
Netman
Mitglied: aqui
aqui 01.10.2014 um 11:56:25 Uhr
Goto Top
@morphium79
Wenn du kein Interesse mehr hast an einer zielführenden Lösung dann bitte auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Mitglied: morphium79
morphium79 21.10.2014 um 10:17:53 Uhr
Goto Top
Sorry, war in Elternzeit, muss jetzt mal klären, was da in der Zwischenzeit gemacht wurde und erstmal einiges aufarbeiten, dann geht's hier weiter