Zu den üblichen VLAN-Problemen gehören gestörte Konnektivität, Duplex Mismatches, Unicast Flooding und Layer-3-Konfigurationsfehler. Unsere Troubleshooting-Tipps helfen weiter.
Es gibt verschiedene Gründe, warum virtuelle LANs (VLAN) nicht ordnungsgemäß funktionieren. VLAN-Konnektivitätsprobleme können durch physische Verbindungen, Konfigurationsfehler auf Layer 2 (Data Link Layer beziehungsweise Sicherungsschicht) oder Probleme mit der Konfiguration des gerouteten Layer-3-Netzwerks entstehen.
Im Folgenden finden Sie einige Schritte, die Sie beim Troubleshooting von VLAN-Konnektivitätsproblemen unterstützen.
Physische Konnektivität
Damit das Netzwerk funktioniert, muss eine grundlegende physische Konnektivität gegeben sein. Zu den typischen Problemen zählen defekte Leitungen oder Glasfaserkabel, Staub oder Schmutz auf optischen Anschlüssen, beschädigte Anschlüsse, Störungen durch elektrische Systeme oder geknickte Kabel.
Viele dieser Probleme äußern sich als unidirektionale Verbindungen, bei denen Pakete in die eine, aber nicht in die andere Richtung übertragen werden. Netzwerkgeräte können unidirektionale Verbindungen häufig erkennen, was die Diagnose mit einfachen Befehlen wie show interface bei Cisco-Switches erleichtert. Admins müssen den Schnittstellenstatus und die Fehlerzähler in der Ausgabe überprüfen, um die genaue Art des Problems zu identifizieren.
Duplex Mismatch
Bei langsamen Ethernet-Verbindungen sollten Sie die Duplex-Einstellung überprüfen. Beide Seiten einer Verbindung müssen für denselben Duplex-Modus (auto, full oder half ) und dieselbe Geschwindigkeit konfiguriert sein. Ein Duplex Mismatch kann bei niedrigen Paketraten funktionieren und bei höheren Paketraten zu Fehlern führen.
Achten Sie auf die Symptome und stellen Sie fest, ob es sich um ein Problem auf dem Physical Layer, Data Link Layer, gerouteten Layer oder Application Layer handelt.
Verlassen Sie sich also nicht auf einen einfachen Ping-Test. Eine Schnittstelle, die Late Collisions anzeigt, kommuniziert im Halbduplex-Modus mit einer Vollduplex-Schnittstelle. Eine Vollduplex-Schnittstelle zeigt Runt Frames an, wenn das verbundene Gerät im Halbduplex-Modus arbeitet. Die empfohlene Einstellung für die meisten Geräte lautet auto.
Fehlerhafte VLAN-Konfiguration
Die häufigsten Data-Link-Fehler sind die Fehlkonfiguration der VLAN-ID eines Ports oder das Weglassen der Voice-VLAN-ID bei Ports, an die IP-Telefone angeschlossen sind. Die Verbindung sieht gut aus, und der Paketzähler zeigt steigende Werte. Trotzdem gibt es keine Konnektivität. In diesem Fall sollten Admins eine einfache Überprüfung der Konfiguration durchführen.
Trunking
Bei Trunking-Verbindungen müssen Administratoren das native VLAN einrichten, das dem Switch mitteilt, welches VLAN er für alle Frames ohne VLAN-ID verwenden soll. Diese ID ist normalerweise im gesamten Netzwerk einheitlich, und Admins müssen nur eine einfache Konfigurationsprüfung vornehmen.
Switch-zu-Switch-Links nutzen häufig Trunking, um mehrere VLANs über eine einzige Verbindung zu übertragen. Die Liste der zulässigen VLANs muss an beiden Enden der Verbindung übereinstimmen. Eine Abweichung kann zu isolierten Instanzen eines VLANs führen. Die Konnektivität funktioniert bei einigen Endpunkten, bei anderen hingegen nicht? Dann führen Sie einfache Konfigurationsprüfungen an den Trunk-Schnittstellen des Switches durch.
Die oben genannten Konfigurations-Checks eignen sich ideal, um die Konfigurationsvalidierung zu automatisieren. Bei diesen Kontrollen müssen keine Änderungen vorgenommen werden, sie müssen lediglich die Netzwerkmitarbeiter auf mögliche Probleme aufmerksam machen.
Weiterleitungsschleifen in einem geswitchten Netzwerk
Geswitchte Netzwerke basieren traditionell auf dem Spanning Tree Protocol (STP), um Weiterleitungsschleifen zu verhindern. Doch in manchen Fällen kommt es selbst mit STP zu Schleifen. Eine Schleife leitet Ethernet-Frames schnell um die Schleife herum weiter und beansprucht dabei Schnittstellenbandbreite und Switch-CPUs. Dadurch wird ein Netzwerk in kurzer Zeit so überlastet, dass es nicht mehr funktionsfähig ist. Da die CPUs und Netzwerkverbindungen stark ausgelastet sind, lässt sich das Netzwerk leider nicht nutzen, um das Problem zu diagnostizieren.
Zur Fehlerbehebung sollten Administratoren das Netzwerk in immer kleinere Bereiche aufteilen, um herauszufinden, wo sich die Schleife befindet. Teilen Sie das Netzwerk in der Mitte, und identifizieren Sie, in welcher Hälfte die Schleife liegt.
Admins können die Unterteilung so lange wiederholen, bis sie die Switches ermitteln, auf denen sich die Schleife befindet – und die Schnittstellen, die damit verbunden sind. Es empfiehlt sich, dies in einer Laborumgebung zu üben, um den Prozess zu erlernen. Die Anbieter haben außerdem Funktionen wie Unidirectional Link Detection, Loop Guard, Root Guard und BPDU Guard entwickelt, um verschiedene Arten von Schleifen zu verhindern.
Unicast Flooding
In selteneren Fällen kann es vorkommen, dass ein Switch vergisst, wo sich ein Endpunkt innerhalb eines VLANs befindet. Dies führt zu einer Situation, die als Unicast Flooding bezeichnet wird. Dazu kommt es, wenn der Cache Timer des Switches für die Zuordnung von MAC-Adresse und Port sich von dem Cache des VLANs für die Zuordnung von Router-IP-Adresse und MAC-Adresse unterscheidet. (Ein Beispiel wird im Cisco-TextUnicast Flooding in Switched Campus Networks beschrieben).
Der Switch vergisst, an welchem Port eine bestimmte MAC-Adresse hängt, was dazu führt, dass er alle Ports im VLAN mit Frames überflutet, die für diese MAC-Adresse bestimmt sind. Mehrere Netzwerktopologien und Szenarien können dieses Flooding verursachen. Wenn die betroffenen Systeme viele Daten senden, wie bei einem Festplatten-Backup, werden alle Systeme im VLAN erheblich belastet.
Admins können dieses Problem erkennen, wenn die Endsysteme in dem betroffenen VLAN immer träger reagieren und die Werte der Paketzähler an allen Schnittstellen im VLAN in gleichem Maße ansteigen. Eine Möglichkeit besteht darin, den Timer für die Zuordnung von MAC-Adresse und Port etwas höher einzustellen als den Timer für die Zuordnung von IP- und MAC-Adresse. Alternativ haben die Switch-Hersteller Funktionen implementiert, die eine hohe Last verhindern sollen, indem sie die Anzahl der Unknown-Unicast-Flooding-Vorgänge begrenzen. Da es sich hierbei um herstellerspezifische Befehle handelt, sollten Administratoren sich bei ihrem Anbieter erkundigen.
Abbildung 1: VLAN-Probleme entstehen vielfach durch Fehler im Zusammenhang mit der physischen Konnektivität, einer fehlerhaften VLAN- und Layer-3-Routing-Konfigurationen.
Geroutetes Netzwerk: Layer-3-Probleme
Eine weitere Kategorie von Problemen betrifft die Konnektivität eines VLANs mit dem Rest eines Layer-3-Netzwerks. In diesen Fällen arbeitet das VLAN zwar ordnungsgemäß, aber dessen externe Konnektivität funktioniert nicht. Wenn Admins mindestens ein anderes System im Subnetz anpingen können, klappt die grundlegende Layer-2-Konnektivität, und es handelt sich wahrscheinlich um ein Layer-3-Problem. Es gibt allerdings Ausnahmen, so dass Sie alternative Szenarien nicht ausschließen sollten.
Endpunktkonfiguration
Tritt das Problem bei einem einzelnen Endpunkt auf, überprüfen Sie, ob sich dessen IP-Adresse im richtigen Subnetz befindet und die richtige Subnetzmaske besitzt. Eine falsche Konfiguration kann durch einen Tippfehler während der Konfiguration oder eine Fehlkonfiguration der VLAN-ID auf der Switch-Schnittstelle des Endpunkts verursacht werden, so dass dieser im falschen VLAN/Subnetz landet.
Gateway-Konfiguration
Admins sollten in der Lage sein, das Standard-Gateway im Subnetz sowie benachbarte Systeme im gleichen Subnetz anzupingen. Wenn benachbarte Systeme auf einen Ping reagieren, das Standard-Gateway jedoch nicht, gibt es zwei mögliche Szenarien, die das Problem verursachen.
Die erste Möglichkeit besteht darin, dass das Standard-Gateway nicht richtig konfiguriert ist. Dies könnte an einem fehlenden Switch Virtual Interface (SVI) liegen. Möglicherweise fehlt auch der Router, der das VLAN mit dem gerouteten Layer-3-Netzwerk verbindet, ist falsch konfiguriert oder nicht betriebsbereit.
Admins sollten als Nächstes die SVI- oder Router-Verbindung unter die Lupe nehmen und sich nach der Überprüfung wieder dem fehlerhaften Endpunkt widmen. Für weitere Tests müssen die Administratoren unter Umständen auf die oben beschriebenen Layer-2-Testszenarien zurückgreifen.
Als zweite Möglichkeit kommt in Betracht, dass auf dem Endpunkt eine falsche Subnetzmaske für das Standard-Gateway eingetragen ist. Das Symptom bei diesem Szenario äußert sich dadurch, dass der Endpunkt einige, aber nicht alle anderen Endpunkte im VLAN/Subnetz anpingen kann.
Ob er das Standard-Gateway erreichen kann und die Pakete ordnungsgemäß zurückgeroutet werden, hängt von den jeweils beteiligten Adressen ab. Auch dies ist ein Fall, bei dem die Automatisierung der Netzwerkvalidierung eine große Hilfe ist.
Fazit
Beim Netzwerk-Troubleshooting empfiehlt sich immer ein Divide-and-Conquer-Ansatz. Achten Sie auf die Symptome und stellen Sie fest, ob es sich um ein Problem auf dem Physical Layer, Data Link Layer, gerouteten Layer oder Application Layer handelt. Ermitteln Sie, wo und warum die Konnektivität nicht gegeben ist. Überprüfen Sie anschließend spezifische Elemente, die mit diesem Layer in Verbindung stehen. Testen Sie jede potenzielle Fehlerquelle, um herauszufinden, wo das Problem liegt und was korrigiert werden muss. VLAN-Troubleshooting ist eine wertvolle Fähigkeit, die man sich durch Erfahrung aneignet.
Erfahren Sie mehr über IT-Berufe und Weiterbildung
