michaelp0
Goto Top

HP Switch - maximale Anzahl von händelbaren IP-Adressen?

Moin,

eigtenlich wollte ich nur noch passiv mitlesen und vielleicht im Sommer beim Treffen dabei sein (gibts da eigentlich was neues?),
aber nun habe ich doch ein Problem bei dem ich Unterstützung brauche.

Wir haben hier zwei HUAWEI Router der Telekom (Zweiwegeführung als Backup, stehen in unterschiedlichen Gebäuden), an diesen hängen jeweils ein Switch, welche miteinander verbunden sind.
An einem dieser Switche hängen im Serverraum die diversen Router die wir so benötigen.

Über die Telekom stehen uns ingesamt über 600 IPv4 IP's zur Verfügung (mehrere Subnetze), welche direkt von den Routern benutzt werden (secondary / additional IP's an den WAN Interfaces)
und via NAT Portweiterleitungen zu einzelenen VM's / Rechnernetzen durchführen.

Vor etwa 2 Wochen hatten wir noch 255 IP's weniger und bis dahin lief auch alles über Jahre reibungslos.

Nun haben wir die neuen IP's an eine Barracuda Firewall angebunden und leiten den Datenverkehr dort per NAT weiter.

Seit dem sind,scheinbar zufällig, einzelene IP's aus den Netzen nicht mehr erreichbar. Wenn ich beispielsweise ICMP Pakete vom Web aus zu den IP's sende, kommen
diese Pakete nicht an der Firewall an. Dabei ist sind IP's an der Barracuda, aber auch an andereren Router/Firewall betroffen.

Ein Neustart des Switches an dem die Router hängen sorgt dafür das die IP's wieder erreichbar sind, dafür dann aber andere nicht mehr erreichbar sind...

Als Sofortmaßnahme haben wir knapp 150 IP's aus dem neuen Netz von der Barracuda wieder entfernt, damit scheinen erstmal alle Server / IP's wieder erreichbar (Teinzelene gingen IP's so wieder, für andere war ein Switchneustart möglich).

Ich vermute dem Switch sind das zu viele IP's, inbesondere an einzelne Ports "gebunden"

Bei dem Switch handelt es sich um einen HP V1910-24G JE006A - wir machen sonst sehr gute Erfahrungen mit HP - ich weiß aber das einzelene hier im Forum mit HP eher auf dem Kriegsfuß stehen :P

Hat jemand Erfahrungswerte aus diesem Bereich?


Die Grafik ist stark vereinfacht und nicht ganz aktuell, zeigt aber den aufbau sehr gut.

Grüße MichaelP0(8)
unbenannt

Content-Key: 327456

Url: https://administrator.de/contentid/327456

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 25.01.2017 um 11:08:43 Uhr
Goto Top
Moin,

die 1910er sind doch L2 Switche... die haben mit IPs gar nichts am Hut. Evtl. liegt's an der Bandbreite? Wie sieht denn die Auslastung der Switch Ports aus?

lg,
Slainte
Mitglied: ashnod
ashnod 25.01.2017 um 11:36:13 Uhr
Goto Top
Zitat von @SlainteMhath:
die 1910er sind doch L2 Switche... die haben mit IPs gar nichts am Hut.

Ahoi ,,,,,
Hört sich eher nach einem verar.... Beitrag ... an
Wenn der TO für ein Unternehmen mit dieser technischen Ausstattung arbeitet, dann solte auch irgendwo nen Admin versteckt sein der die Technik beherrscht face-wink
Aber L3 -Funktionalität haben die HP's schon ..

VG
Ashnod
Mitglied: heilgecht
heilgecht 25.01.2017 um 12:04:47 Uhr
Goto Top
Hallo,

ich habe extrem schlechte Erfahrungen mit "kleinen" HP Switchen. In meinem Fall waren es V1810-48G Switche.
Die große HP 5412zl sind eigentlich ok.
Mach dein HP Switch für 1-2 Minuten stromlos, dann geht es vielleicht.

MfG
Mitglied: MichaelP0
MichaelP0 25.01.2017 aktualisiert um 12:09:35 Uhr
Goto Top
Das ist schon ernst gemeint ;)
Wenn du eine Lösung hast, gerne her damit...

Zurück zum Thema:
Das der Switch nur auf L2 arbeitet / sollte hatte ich verdrängt (zumindest in der Theorie L3 Fähigkeiten hat er ja)
Netterweise funktioniert der Netzwerkverkehr ja nach einem Switchneustart wieder und andere IP's sind betroffen...

Wäre auch denkbar dass der Huawei-Router der Telekom damit nicht klar kommt?
Weil dieser muss ja schon eine Zuordnung IP / MAC durchführen.

Durch den Verbindungsverlust zum Switch wäre es ja auch denkbar dass das der Huawei seine Adresstabellen neu anlegt,
soweit hatte ich bisher allerdings nicht gedacht gebe ich zu.

Bin für jeden Tipp dankbar.


Bezüglich Bandbreite: es handelt sich um einen Gbit Switch der permanent etwa 150-200MBit händelt. Ich schaue aber später nochmal nach der genauen Auslastung.

@heilgecht. Nach einem Neustart sind andere IP's betroffen. Schonmal danke für deine Erfahrung

Grüße Michael
Mitglied: chgorges
chgorges 25.01.2017 aktualisiert um 12:10:34 Uhr
Goto Top
Zitat von @ashnod:

Zitat von @SlainteMhath:
die 1910er sind doch L2 Switche... die haben mit IPs gar nichts am Hut.

Ahoi ,,,,,
Hört sich eher nach einem verar.... Beitrag ... an
Wenn der TO für ein Unternehmen mit dieser technischen Ausstattung arbeitet, dann solte auch irgendwo nen Admin versteckt sein der die Technik beherrscht face-wink
Aber L3 -Funktionalität haben die HP's schon ..

VG
Ashnod

Der 1910er ist ein L2+-Switch, dem wurde das Routing rudimentär "reingeprügelt"...
Aber ja, ansonsten lässt das OSI-Modell grüßen... Zumal der Switch hier, auch laut Skizze, kein Routing sondern rein "dummes" Switching macht. Und dass ein Switch dadurch ein Backplane-Limit kommt, bezweifel ich stark.
Mitglied: brammer
brammer 25.01.2017 um 12:08:38 Uhr
Goto Top
Hallo,

zu dem Switch steht auf der Herstellerseite mal folgendes....

Statisches Layer 3-Routing mit 32 Netzwerksegmenten und Erweiterungsrouten.

https://www.google.de/search?q=HP+V1910-24G&oq=HP+V1910-24G&aqs= ...


Ob der HP Switch da an der Stelle Performance mäßig überlastet ist oder das Routing / Switching an der Stelle "problematisch" ist sollte könne wir ohne Kenntnis der Config kaum beurteilen.

brammer
Mitglied: MichaelP0
MichaelP0 25.01.2017 aktualisiert um 12:22:46 Uhr
Goto Top
Der Switch ist weitestgehend unkonfiguriert (nur Basisdinge wie Zugangsdaten) und hat keinerlei Einstellungen bezüglich Routing / VLANs hinterlegt. Wenn du spezielle Parameter wissen möchtest kann ich diese gerne liefern.

Chgorges schon richtig erkannt:er dient nur als Bindeglied zwischen dem Huawei und unseren Routern/Firewalls.

Daten zur Performance / Auslastung versuche ich nachzuliefern.

Grüße Michael
Mitglied: MichaelP0
MichaelP0 25.01.2017 um 12:23:57 Uhr
Goto Top
Habe das Modell nochmal genauer im Web gesucht, Specifikationen finden sich hier:
http://hp-procurve.co.uk/hp-1910-24g-switch
Mitglied: brammer
brammer 25.01.2017 um 12:39:50 Uhr
Goto Top
Hallo,

an einer Unternehmenskritischen/ Funktionskritischen Stelle?

Der Switch ist weitestgehend unkonfiguriert (nur Basisdinge wie Zugangsdaten) und hat keinerlei Einstellungen bezüglich Routing / VLANs
hinterlegt.

Falsches Gerät und falsches Konfiguration!

brammer
Mitglied: KowaKowalski
KowaKowalski 25.01.2017 um 12:44:51 Uhr
Goto Top
Zitat von @MichaelP0:
Wir haben hier zwei HUAWEI Router der Telekom ...... Über die Telekom stehen uns ingesamt über 600 IPv4 IP's zur Verfügung (mehrere Subnetze), welche direkt von den Routern benutzt werden

Hi,

600 IP´s der Telekom und 2 Huawei Router?
Klingt komisch!

In dieser Größenordnung bekommst Du eigentlich Geräte von Cisco hingestellt.
In dieser Größenordnung hast Du weiterhin einen SDM von der Telekom zur Seite gestellt bekommen.
Der sollte Dir helfen.


mfg
kowa
Mitglied: MichaelP0
MichaelP0 25.01.2017 um 12:46:20 Uhr
Goto Top
Zitat von @brammer:

Hallo,

an einer Unternehmenskritischen/ Funktionskritischen Stelle?

Der Switch ist weitestgehend unkonfiguriert (nur Basisdinge wie Zugangsdaten) und hat keinerlei Einstellungen bezüglich Routing / VLANs
hinterlegt.

Falsches Gerät und falsches Konfiguration!

brammer

Ich nehme gerne Empfehlungen für Hardware / Konfiguration entgegen.
Mitglied: MichaelP0
MichaelP0 25.01.2017 um 12:49:20 Uhr
Goto Top
Zitat von @KowaKowalski:

Zitat von @MichaelP0:
Wir haben hier zwei HUAWEI Router der Telekom ...... Über die Telekom stehen uns ingesamt über 600 IPv4 IP's zur Verfügung (mehrere Subnetze), welche direkt von den Routern benutzt werden

Hi,

600 IP´s der Telekom und 2 Huawei Router?
Klingt komisch!

In dieser Größenordnung bekommst Du eigentlich Geräte von Cisco hingestellt.
In dieser Größenordnung hast Du weiterhin einen SDM von der Telekom zur Seite gestellt bekommen.
Der sollte Dir helfen.


mfg
kowa

Ahoi,
Telekom stellt wohl gerade auf Huwai um, bevor unsere Leitung auf 300M aufgestockt wurde hatten wir auch Cisco Geräte.
Danke für den Tipp mit dem SDM
Mitglied: brammer
brammer 25.01.2017 um 12:51:04 Uhr
Goto Top
Hallo,

erstens einen L3 Switch der sauber Roting und VLAN kann... da kommen die üblichen Verdächtigen wie Cisco und Brocade in Betracht oder eine größerer HP
Vor allem aber eine sauberes Konzept der VLAN und der Netzwerke.
Das können wir kaum aus arbeiten .. da zu müssten wir genau wissen was du da den alles benötigst....

brammer
Mitglied: MichaelP0
MichaelP0 25.01.2017 um 13:06:28 Uhr
Goto Top
Zitat von @SlainteMhath:

Moin,

die 1910er sind doch L2 Switche... die haben mit IPs gar nichts am Hut. Evtl. liegt's an der Bandbreite? Wie sieht denn die Auslastung der Switch Ports aus?

lg,
Slainte


Gerade schauen können, CPU Last liegt bei 30%, Ram bei 54%, Bandbreite hat sich gegenüber den vergangenen Wochen nichts getan
Mitglied: chiefteddy
chiefteddy 25.01.2017 um 14:42:40 Uhr
Goto Top
Hallo,

ein L2-Switch muß sich MAC-Adressen "merken", keine IPs! Dafür hat er einen internen RAM-Speicher. In Abhängigkeit vom Einsatz-Konzept (5 Port-Desktop-Switch oder Backbon-Switch im Unternehmensnetz) ist der installierte RAM unterschiedlich groß bzw. die Anzahl der "merkbaren" MAC-Adressen (--> Datenblatt).

Kann es sein, dass Dein Problem nicht die IPs sondern die MAC-Adressen sind?

Wieviele MAC-Adressen "kennt" denn der Switch und wieviele kann er sich "merken"?

Jürgen

Bsp. An einem 10 Port-Switch ist an jedem Port ein 48 Port-Switch angeschlossen, an deren Ports jeweils ein Endgerät. Der 10 Port-Switch muß sich also mindestens 10 x 48 = 480 MAC-Adressen "merken". Wenn dort nur für 450 Adressen "Platz" ist, kommt es genau zu Deinem Fehlerbild.
Mitglied: MichaelP0
MichaelP0 25.01.2017 um 15:34:56 Uhr
Goto Top
Moin Jürgen
danke für deinen Einwand.

Ich habe gerade mal nachgeschaut. Dem Switch sind derzeit 35 Mac's bekannt

Der größte Teil der IP's wird als Secondary IP's an das gleiche Physikalische Interface angebunden
und haben daher die gleiche Mac.
Mitglied: Vision2015
Vision2015 25.01.2017 um 16:20:14 Uhr
Goto Top
Zitat von @MichaelP0:

Moin,
tach..

eigtenlich wollte ich nur noch passiv mitlesen und vielleicht im Sommer beim Treffen dabei sein (gibts da eigentlich was neues?),
aber nun habe ich doch ein Problem bei dem ich Unterstützung brauche.
oha..

Wir haben hier zwei HUAWEI Router der Telekom (Zweiwegeführung als Backup, stehen in unterschiedlichen Gebäuden), an diesen hängen jeweils ein Switch, welche miteinander verbunden sind.
An einem dieser Switche hängen im Serverraum die diversen Router die wir so benötigen.
hm.... ihr habt echt HUAWEI Router der Telekom, für so eine Config ? kann ich kaum glauben...
wer hat euch das eingerichtet ?
standart Antwort an: Der kollege Arbeitet nicht mehr bei uns, der hat nur mist gemacht... standart Antwort aus!

Über die Telekom stehen uns ingesamt über 600 IPv4 IP's zur Verfügung (mehrere Subnetze), welche direkt von den Routern benutzt werden (secondary / additional IP's an den WAN Interfaces)
wozu nutzt ihr 3 class C netze...und dann in den HUAWEI gurken 600 Ip´s ?
und via NAT Portweiterleitungen zu einzelenen VM's / Rechnernetzen durchführen.
aha...

Vor etwa 2 Wochen hatten wir noch 255 IP's weniger und bis dahin lief auch alles über Jahre reibungslos.

Nun haben wir die neuen IP's an eine Barracuda Firewall angebunden und leiten den Datenverkehr dort per NAT weiter.

Seit dem sind,scheinbar zufällig, einzelene IP's aus den Netzen nicht mehr erreichbar. Wenn ich beispielsweise ICMP Pakete vom Web aus zu den IP's sende, kommen
diese Pakete nicht an der Firewall an. Dabei ist sind IP's an der Barracuda, aber auch an andereren Router/Firewall betroffen.
wer hat die Barracuda eingerichtet ?

Ein Neustart des Switches an dem die Router hängen sorgt dafür das die IP's wieder erreichbar sind, dafür dann aber andere nicht mehr erreichbar sind...
aha..

Als Sofortmaßnahme haben wir knapp 150 IP's aus dem neuen Netz von der Barracuda wieder entfernt, damit scheinen erstmal alle Server / IP's wieder erreichbar (Teinzelene gingen IP's so wieder, für andere war ein Switchneustart möglich).
aha... ich sach dir gleich... das Netz Design ist für den Popo... egal... und deine Barracuda ist entweder zu schwach auf der CPU & Speicher... und Falsch eingerichtet!!! Die wird WAN seitig - also in die HP 150,- euro Kinder Switche reinblasen und diese dann dichtmachen!

Ich vermute dem Switch sind das zu viele IP's, inbesondere an einzelne Ports "gebunden"
schnickschnack... eine switch & zu viele IP's gibbet nicht, eher zuwenig MAC Adressen... solltest du aber wissen als Admin...

Bei dem Switch handelt es sich um einen HP V1910-24G JE006A - wir machen sonst sehr gute Erfahrungen mit HP - ich weiß aber das einzelene hier im Forum mit HP eher auf dem Kriegsfuß stehen :P
ich sach ja 150 euro gurke... und dann fast blank eingesetzt....

Hat jemand Erfahrungswerte aus diesem Bereich?
nee... tut mir leid, so ein Netzaufbau ist Käse...


Die Grafik ist stark vereinfacht und nicht ganz aktuell, zeigt aber den aufbau sehr gut.

Grüße MichaelP0(8)

Frank
Mitglied: MichaelP0
MichaelP0 25.01.2017 aktualisiert um 16:58:17 Uhr
Goto Top
So wir sind nun weiter und sehen das Problem nun doch bei den Huawei-Geräten. Beim testen mit Wireshark
war mir wohl ein Fehler unterlaufen,...

Also der Huawei wird von der Telekom aufgebaut und eingerichtet - wir selber haben auf dieses Gerät keinen Zugriff.
Der Huawei wurde Anfang Q3 2016 bei uns verbaut, davor hatte uns die Telekom auch Ciscos aufgebaut...

Wer das nicht glaubt kann gerne seinen Geschäftskundenberater anrufen und nach dem Produkt "DeutschlandLAN Connect IP" fragen - ist der Nachfolger von CompanyConnect der uns für das Upgrade von 155 auf 300Mbit angeboten wurde!

wozu nutzt ihr 3 class C netze...und dann in den HUAWEI gurken 600 Ip´s ?
--> wir nutzen diverse Netze, nicht nur Class C sondern auch noch kleinere, dass ist das was uns die Telekom nach RIPE zuteilt.


wer hat die Barracuda eingerichtet
wir selbst, betroffen sind aber nicht nur IP's die an dieser einen Barracuda münden sondern auch IP's an anderen Firewalls.


aha... ich sach dir gleich... das Netz Design ist für den Popo... egal... und deine Barracuda ist entweder zu schwach auf der CPU & Speicher... und Falsch eingerichtet!!! Die wird WAN seitig - also in die HP 150,- euro Kinder Switche reinblasen und diese dann dichtmachen!

siehe oben: betroffen sind auch anderen Firewalls, nicht nur diese eine. Zudem funktionierte dieses Konstrukt über viele Jahre - es sind "nur" immer mehr Netze dazugekommen
Mitglied: clSchak
clSchak 25.01.2017 aktualisiert um 17:04:18 Uhr
Goto Top
Hi

Zitat von @MichaelP0:

Zitat von @SlainteMhath:

Moin,

die 1910er sind doch L2 Switche... die haben mit IPs gar nichts am Hut. Evtl. liegt's an der Bandbreite? Wie sieht denn die Auslastung der Switch Ports aus?

lg,
Slainte


Gerade schauen können, CPU Last liegt bei 30%, Ram bei 54%, Bandbreite hat sich gegenüber den vergangenen Wochen nichts getan


Ok, bei gescheiten Switchen würde ich sagen "30% ist nix" - bei der HP Serie: die sind fast tot face-smile - unsere Router (FCX & ICX7450 von Brocade) haben nicht mal so viel Last wenn STP Events oder die Leitungen "mal richtig glühen" (bei 10G links) - ich habe es bisher nur in einen 1- stelligen Bereich geschafft mit den Geräten - und dein HP muss nur "Switchen" und hat 30% Last? ôÔ

Ich würde mir dort mal gescheite Hardware reinsetzen, da die Config ja scheinbar eher "nix" ist kannst das Gerät ja schnell austauschen und dann mal schauen.

Edit/add: Der Switch hat nur ein Netzteil und ist nicht gestackt? Alleine das würde ich schon abstellen, mind. 2 Switche im Stack und idealweise mit doppelter Stromversorgung (just my 2 cent ^^ )

Gruß
@clSchak
Mitglied: chiefteddy
chiefteddy 25.01.2017 um 17:13:40 Uhr
Goto Top
Zudem funktionierte dieses Konstrukt über viele Jahre - es sind "nur" immer mehr Netze dazugekommen

Hallo,

wäre das nicht ein triftiger Grund für ein grundlegendes Redesign des Netzwerkes??

Jürgen
Mitglied: Vision2015
Vision2015 25.01.2017 um 17:13:44 Uhr
Goto Top
Zitat von @MichaelP0:

Wer das nicht glaubt kann gerne seinen Geschäftskundenberater anrufen und nach dem Produkt "DeutschlandLAN Connect IP" fragen - ist der Nachfolger von CompanyConnect der uns für das Upgrade von 155 auf 300Mbit angeboten wurde!

ja das stimmt teilweise schon... du kannst aber verlangen was du gerne möchtest... und wenn du deinen Router nutzen möchtest, kein Problem!

Frank
Mitglied: aqui
aqui 25.01.2017, aktualisiert am 26.01.2017 um 17:24:33 Uhr
Goto Top
Der Switch ist weitestgehend unkonfiguriert (nur Basisdinge wie Zugangsdaten) und hat keinerlei Einstellungen bezüglich Routing / VLANs hinterlegt.
Damit ist ja dann klar das das nur rein Mac Adress basiert ist. Mit IP Forwarding hat der dann nix am Hut !
Dem Switch sind derzeit 35 Mac's bekannt
Lachhaft...sowas kann auch der 5 Euro Switch vom Blödmarkt Grabbeltisch
Der größte Teil der IP's wird als Secondary IP's an das gleiche Physikalische Interface angebunden
Uhhh...das ist gruselig und hat jemand verbrochen der eher Frickelt als sauber vorgeht. Der TCP/IP Standard sieht sowas nicht vor. Es ist also de facto eine nicht standardkonforme Konfiguration !
Kein Wunder das sowas wie ICMP nicht geht (Ping etc.) Denn ICMP Traffic wird immer generell ausschliesslich nur von den primary Adressen geregelt. Genau das ist das Problem, da der Standard kein Verfahren kennt multiple, netzfremde IPs an einem Interface mit ICMP richtig zu behandeln.
Solche Frickeleien mit secondary IPs macht man nur bei Adress Migrationen und dann auch immer nur temporär.
Wenn die Barracuda Firewall der Zugangspunkt ist wo IP Anfragen aus dem Internet zuerst terminiert werden ist das auch der Punkt wo man zuerst suchen muss.
Da der nachfolgende Switch ja eh nur Layer 2 macht kann der niemals Grund dieser Fehlfunktion sein. Auch wenns der billigste Banalswitch von HP ist.
Mitglied: gilligan
gilligan 30.01.2017 um 10:50:35 Uhr
Goto Top
Zitat von @aqui:

Der größte Teil der IP's wird als Secondary IP's an das gleiche Physikalische Interface angebunden
Uhhh...das ist gruselig und hat jemand verbrochen der eher Frickelt als sauber vorgeht. Der TCP/IP Standard sieht sowas nicht vor. Es ist also de facto eine nicht standardkonforme Konfiguration !
Kein Wunder das sowas wie ICMP nicht geht (Ping etc.) Denn ICMP Traffic wird immer generell ausschliesslich nur von den primary Adressen geregelt. Genau das ist das Problem, da der Standard kein Verfahren kennt multiple, netzfremde IPs an einem Interface mit ICMP richtig zu behandeln.
Solche Frickeleien mit secondary IPs macht man nur bei Adress Migrationen und dann auch immer nur temporär.

Rein interessehalber: Wie macht man das dann? Ich gehe jetzt mal von dem Standard Telekomanschluß aus, Ciscogerät mit 4 LAN Ports, /27 Subnet. 4 IPs kann ich direkt über die Firewall ansprechen weil physikalische LAN Ports denen ich eine IP geben kann. Und der Rest? Ich kann die Telekom ja nicht überreden mir da VLANs auf dem Cisco einzurichten.
Mitglied: heilgecht
heilgecht 30.01.2017 um 11:07:34 Uhr
Goto Top
Hi,

wir machen es mit NAT.


MfG