Reti locali
 

Info su "loop" tra VLAN diverse (per esperti...?)

The special one 4 Mar 2015 14:48
Ciao a tutti

Mi occupo di networking per lavoro e per diletto, non sono un guru
delle reti ma nemmeno un novellino sprovveduto... per dare un'idea
possiamo dire che sono un po' oltre il livello CCNA. Mi capita questa
cosa: ho due patch di rete collegate a due interfacce di uno switch,
ciascuna delle quali assegnata ad una diversa VLAN (quindi interfaccia
5 in access su VLAN 2 ed interfaccia 23 in access su VLAN 8). Per una
serie di esigenze di test collego le due patch ad un unico switch NON
managed, di quelli che trovate a 10 euro al mediaworld, in modo da
poter usare più utenze sulle due diverse VLAN (dovevo fare delle prove
di apparati).
Fatalità succede un ******* sulla rete, con un nuovo server che sparava
ininterrottamente pacchetti jumbo e che ha messo in ginocchio la rete.
Chi ha in manutenzione la rete, collegandosi in telediagnosi, "trova"
il "loop" formato dalle mie due patch di rete collegate allo stesso
switch, e mi si mangia accusandomi appunto di aver fatto un loop.

Ora, chi ha voglia di spiegarmi

1- come è possibile creare un loop tra due VLAN diverse collegate ad un
semplice switch store & forward
2- come è possibile rilevare questa situazione solo in TLD, senza una
verifica sul posto... ci sono dei contatori che si incrementano, c'è
qualcosa che viene segnalato (certo che magari capendo il punto
precedente ci arrivo anche da solo a capire come stanare una situazione
del genere)

Avrei potuto chiedere a chi ha "scovato" la cosa, e l'ho fatto,
ricevendo come risposta "sono cose che non si devono fare e che non
vanno fatte". Punto.

Se qualcuno ha voglia di perdere due minuti...

Grazie
LS

PS: se serve saperlo, siamo in ambiente Cisco, ma mi interessa più il
discorso teorico generale, non incentrato sulla particolare tecnologia
utilizzata.
writethem 4 Mar 2015 17:53
> 1- come è possibile creare un loop tra due VLAN diverse collegate ad un
> semplice switch store & forward

evidentemente non eri l'unico ad aver unito le due VLAN


> 2- come è possibile rilevare questa situazione solo in TLD, senza una
> verifica sul posto... ci sono dei contatori che si incrementano, c'è
> qualcosa che viene segnalato (certo che magari capendo il punto
> precedente ci arrivo anche da solo a capire come stanare una situazione
> del genere)

wireshark? tecnicamente è un broadcast storm, ovvero una tempesta di
broadcast, che proprio inosservata non passa :)



Ma la domanda che io ti faccio ora è:
chi si è preso la briga di configurare le vlan, ci perdeva tanto ad
attivare lo spanning tree?
The special one 4 Mar 2015 18:47
Il giorno 04/03/2015, alle ore 17.53.40, writethem ha detto:
>> 1- come è possibile creare un loop tra due VLAN diverse collegate ad un
>> semplice switch store & forward
>
> evidentemente non eri l'unico ad aver unito le due VLAN

Ciao e prima di tutto grazie per aver risposto :)
Le seconda delle due VLAN è configurata ad hoc per me e basta, quindi
posso dire con certezza che quello switch 8 porte made in Mediaworld
era l'unico caso in cui le due VLAN erano "unite", a maggior ragione
perché era solo un setup di test temporaneo
>
>
>> 2- come è possibile rilevare questa situazione solo in TLD, senza una
>> verifica sul posto... ci sono dei contatori che si incrementano, c'è
>> qualcosa che viene segnalato (certo che magari capendo il punto
>> precedente ci arrivo anche da solo a capire come stanare una situazione
>> del genere)
>
> wireshark? tecnicamente è un broadcast storm, ovvero una tempesta di
> broadcast, che proprio inosservata non passa :)
>
Conoscendo la struttura che c'è dietro a quell'azienda dubito
fortemente che abbiano usato wireshark... potrei mettere la mano sul
fuoco che siano andati di show e debug sempre più mirati e precisi. Non
sono degli smanettoni improvvisati, bensì quasi tutti CC*P e svariati
CCIE. Il broadcast storm potrebbe essere una dritta utile, non lo avevo
considerato, ma stiamo sempre comunque parlando di due VLAN isolate una
dall'altra a livello logico... broadcast storm innescato da cosa, se i
domini di broadcast delle 2 VLAN sono isolati?
>
>
> Ma la domanda che io ti faccio ora è:
> chi si è preso la briga di configurare le vlan, ci perdeva tanto ad attivare
> lo spanning tree?

Sulla rete è attivo e configurato STP, a maggior ragione non mi spiego
questa cosa. Comunque, per chiarezza, la rete piantata non era colpa
del mio fantomatico "loop" :)

Grazie per aver contribuito
LS
The special one 4 Mar 2015 20:30
Il giorno 04/03/2015, alle ore 20.23.20, Lorenz ha detto:
> The special one <chitemmuort@live.it> ha scritto:
>> Il giorno 04/03/2015, alle ore 17.53.40, writethem ha detto:
>
>> Sulla rete è attivo e configurato STP, a maggior ragione non mi spiego
>> questa cosa. Comunque, per chiarezza, la rete piantata non era colpa
>> del mio fantomatico "loop" :)
>
> E allora di chi era?

Di quel server che sparava i pacchetti jumbo, ma in tutte le manovre
fatte per capire l'origine del down della rete è stato trovato anche
quel collegamento atipico che avevo fatto io.
writethem 5 Mar 2015 08:09
Il 04/03/2015 20.30, The special one ha scritto:
> Il giorno 04/03/2015, alle ore 20.23.20, Lorenz ha detto:
>> The special one <chitemmuort@live.it> ha scritto:
>>> Il giorno 04/03/2015, alle ore 17.53.40, writethem ha detto:
>>
>>> Sulla rete è attivo e configurato STP, a maggior ragione non mi
>>> spiego questa cosa. Comunque, per chiarezza, la rete piantata non era
>>> colpa del mio fantomatico "loop" :)
>>
>> E allora di chi era?
>
> Di quel server che sparava i pacchetti jumbo, ma in tutte le manovre
> fatte per capire l'origine del down della rete è stato trovato anche
> quel collegamento atipico che avevo fatto io.
>
>

Scusami,
tu hai parlato di loop e noi ti abbiamo dato qualche suggerimento circa
il loop.

Adesso ci dici che STP era attivo e loop non ce ne erano e ci chiedi
quale può essere la causa...

spetta un pò che prendo la sfera di cristallo che ho lasciato nel CED :D
meddix on WINSETTETE 5 Mar 2015 08:41
Il 05/03/2015 08:09, writethem ha scritto:
> spetta un pò che prendo la sfera di cristallo che ho lasciato nel CED
no no, l'ho io, me l'hai prestata l'altro giorno.... mo te la mando in
posta elettronica!
The special one 5 Mar 2015 09:28
Il giorno 05/03/2015, alle ore 08.09.04, writethem ha detto:
>
> Scusami,
> tu hai parlato di loop e noi ti abbiamo dato qualche suggerimento circa il
> loop.
>
> Adesso ci dici che STP era attivo e loop non ce ne erano e ci chiedi quale
> può essere la causa...
>
> spetta un pò che prendo la sfera di cristallo che ho lasciato nel CED :D

Scusami, ma forse non mi sono spiegato bene.
Riepilogo: la rete si pianta, interviene la società che la gestisce ed
effettua varie *****isi, nel corso delle quali trova la causa del
problema, ossia il server di cui sopra. Nel corso di queste *****isi
trova anche il mio "loop" tra 2 VLAN diverse (metto LOOP tra virgolette
perché tecnicamente non è un loop, ma non so come altro chiamarlo). Pur
non essendo questa la causa del rallentamento della rete, il tecnico
che è intervenuto (solo da remoto) mi si è mangiato dicendomi appunto
che sono "cose che non si fanno e che non vanno fatte" senza ulteriori
spiegazioni. La mia curiosità era solo questa, non sono io la causa del
problema ma vorrei capire cosa c'è dietro, quindi come è stato rilevato
il mio collegamento e che problemi avrebbe potuto causare (a maggior
ragione visto che è attivo STP, ma anche se non lo fosse stato non
avrei comunque visto problemi nell'effettuare i collegamenti che ho
fatto).
Mi scuso se non sono stato chiaro fin dal principio e ringrazio i
partecipanti.
Andrea B. 5 Mar 2015 12:31
Il 05/03/2015 9.28, The special one ha scritto:
[..]

> spiegazioni. La mia curiosità era solo questa, non sono io la causa del
> problema ma vorrei capire cosa c'è dietro, quindi come è stato rilevato
> il mio collegamento e che problemi avrebbe potuto causare (a maggior
> ragione visto che è attivo STP, ma anche se non lo fosse stato non avrei
> comunque visto problemi nell'effettuare i collegamenti che ho fatto).

Hai di fatto vanificato la suddivisione fra le due VLan e questo rispode
ad entrambe le domande.
The special one 5 Mar 2015 13:14
Il giorno 05/03/2015, alle ore 12.31.11, Andrea B. ha detto:
> Il 05/03/2015 9.28, The special one ha scritto:
> [..]

> Hai di fatto vanificato la suddivisione fra le due VLan e questo rispode ad
> entrambe le domande.

Perché dici che ho vanificato la sudivisione tra VLAN? Trattandosi di
due domini di broadcast differenti, tutti i pacchetti di una (broadcast
compresi) non possono raggiungere l'altra. Il traffico IP non resta
separato tra le due VLAN, anche se i rispettivi cavi sono collegati ad
uno stesso switch? Però... ora che ci penso... non ho considerato cosa
avviene a L2. Può essere che a L3 non avvenga nulla di significativo,
ma a L2 si inneschi un/una broadcast storm o qualche altra catena di
eventi particolare ed identificabile?
Mi sa che rimetto in piedi il laboratorio di test (questa volta
staccato dalla rete aziendale) e sniffo tutto lo sniffabile con
wireshark alla ricerca di anomalie varie, voglio capire questa cosa, la
rispoosta del tecnico "non si fa e basta" non è utile a niente e
nessuno :)

Grazie per essere intervenuto
LS
writethem 5 Mar 2015 16:16
Può essere che a L3 non avvenga nulla di significativo, ma
> a L2 si inneschi un/una broadcast storm o qualche altra catena di eventi
> particolare ed identificabile?
> Mi sa che rimetto in piedi il laboratorio di test (questa volta staccato
> dalla rete aziendale) e sniffo tutto lo sniffabile con wireshark alla
> ricerca di anomalie varie, voglio capire questa cosa, la rispoosta del
> tecnico "non si fa e basta" non è utile a niente e nessuno :)


unire due VLAN è ovviamente un non senso.
detto questo, unire due vlan non comporta veri e propri problemi
tecnici, nè causa un loop (comunque in questo caso non fattibile per via
dello spanning tree abilitato).

semplicemente:
- ti espone a problemi di sicurezza (cambiandosi l'ip si finisce su
un'altra vlan)
- comunque a livello 2 ognuno si prende i broadcast di entrambe le vlan,
vanificando uno dei benefici maggiori della suddivisione, ovvero ridurre
il traffico di broadcast


insomma, le vlan nascono per dividere e tu ci metti una patch di
mezzo... "non si fa e basta" non sarà utile, ma è ragionevole pensarlo :)
The special one 5 Mar 2015 16:41
Il giorno 05/03/2015, alle ore 16.16.42, writethem ha detto:
> Può essere che a L3 non avvenga nulla di significativo, ma
>> a L2 si inneschi un/una broadcast storm o qualche altra catena di eventi
>> particolare ed identificabile?
>> Mi sa che rimetto in piedi il laboratorio di test (questa volta staccato
>> dalla rete aziendale) e sniffo tutto lo sniffabile con wireshark alla
>> ricerca di anomalie varie, voglio capire questa cosa, la rispoosta del
>> tecnico "non si fa e basta" non è utile a niente e nessuno :)
>
>
> unire due VLAN è ovviamente un non senso.

Sono d'accordo. Il mio caso era dovuto al fatto che avevo a
disposizione solo quelle 2 interfacce sul distribution switch (ciascuna
in una VLAN diversa) ed avevo la necessità di collegare più di due
apparati a ciascuna VLAN. Avendo a disposizione solo uno switchettino
unmanaged non potevo creare un trunk e propagare le 2 VLAN che mi
interessavano, pertanto ho dovuto fare ricorso a questa pratica non
proprio elegante, ma che funzionava :)

> detto questo, unire due vlan non comporta veri e propri problemi tecnici, nè
> causa un loop (comunque in questo caso non fattibile per via dello spanning
> tree abilitato).

esatto, ed infatti sono rimasto interdetto quando il tecnico mi ha
accusato di aver creato un "loop".

> semplicemente:
> - ti espone a problemi di sicurezza (cambiandosi l'ip si finisce su un'altra
> vlan)
> - comunque a livello 2 ognuno si prende i broadcast di entrambe le vlan,
> vanificando uno dei benefici maggiori della suddivisione, ovvero ridurre il
> traffico di broadcast

Ecco, a questo in effetti ho pensato solo in ultima battuta, e potrebbe
essere proprio ciò che ha permesso di "scovare" quel mio collegamento
anomalo. Ho intenzione comunque di ricreare la situazione e fare dei
test in un setup isolato dalla rete.

Grazie ancora e buona serata
Romeo Lo Muzio 24 Mar 2015 12:36
Il giorno mercoledì 4 marzo 2015 14:48:28 UTC+1, The special one ha scritto:
> Ciao a tutti
>
> Mi occupo di networking per lavoro e per diletto, non sono un guru
> delle reti ma nemmeno un novellino sprovveduto... per dare un'idea
> possiamo dire che sono un po' oltre il livello CCNA. Mi capita questa
> cosa: ho due patch di rete collegate a due interfacce di uno switch,
> ciascuna delle quali assegnata ad una diversa VLAN (quindi interfaccia
> 5 in access su VLAN 2 ed interfaccia 23 in access su VLAN 8). Per una
> serie di esigenze di test collego le due patch ad un unico switch NON
> managed, di quelli che trovate a 10 euro al mediaworld, in modo da
> poter usare più utenze sulle due diverse VLAN (dovevo fare delle prove
> di apparati).
> Fatalità succede un ******* sulla rete, con un nuovo server che sparava
> ininterrottamente pacchetti jumbo e che ha messo in ginocchio la rete.
> Chi ha in manutenzione la rete, collegandosi in telediagnosi, "trova"
> il "loop" formato dalle mie due patch di rete collegate allo stesso
> switch, e mi si mangia accusandomi appunto di aver fatto un loop.
>
> Ora, chi ha voglia di spiegarmi
>
> 1- come è possibile creare un loop tra due VLAN diverse collegate ad un
> semplice switch store & forward
> 2- come è possibile rilevare questa situazione solo in TLD, senza una
> verifica sul posto... ci sono dei contatori che si incrementano, c'è
> qualcosa che viene segnalato (certo che magari capendo il punto
> precedente ci arrivo anche da solo a capire come stanare una situazione
> del genere)
>
> Avrei potuto chiedere a chi ha "scovato" la cosa, e l'ho fatto,
> ricevendo come risposta "sono cose che non si devono fare e che non
> vanno fatte". Punto.
>
> Se qualcuno ha voglia di perdere due minuti...
>
> Grazie
> LS
>
> PS: se serve saperlo, siamo in ambiente Cisco, ma mi interessa più il
> discorso teorico generale, non incentrato sulla particolare tecnologia
> utilizzata.

La tesi del broadcast storm è corretta. Lo swithccetto unmanaged, probabilmente
o sicuranente non capisce le vlan e quindi semplicemente invia stupidamente i
pacchetti da una lan all'altra, vanificando il lavoro fatto a monte con le vlan.

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Reti locali | Tutti i gruppi | it.comp.reti.locali | Notizie e discussioni reti locali | Reti locali Mobile | Servizio di consultazione news.