Flow Control und Ethernet: Wie in alten Zeiten...

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Flow Control und Ethernet: Wie in alten Zeiten...

Beitrag von Koppelfeld »

Moinsen!
Eine serielle Schnittstelle konnte man damals ja nicht stabil betreiben ohne Flow Control, ob es nun XON/XOFF war oder Hardware-Handshake.
Aber Ethernet? Ist im Prinzip eine serielle Übertragung und für das, was beim UART ein 'receiver overrun' ist, gibt es sicherlich eine Entsprechung beim Ethernet.

In den letzen 30 Jahren ist mir aber noch kein Flußkontrollproblem untergekommen, oder ehrlich: Ich hätte keines erkannt.

Nun wirft ein 1781A reichlich 'queue errors'. Also: Drei Millionen im Moment. Spontan habe ich auf fünf lange in Betrieb befindlichen und unter hoher Last stehende Lancoms auf 'queue errors' untersucht: Zero - zero - zero - zero - zero.
Die hängen allerdings alle an ordentlichen ProCurve - Switchen.
Was die Interfaces angeht: In Default-Einstellung.
Das Gerät, welches Fehler wirft, wird jedoch von einem pseudo - "Cisco" - Gerät versorgt, "small business edition". Das ist englisch und heißt übersetzt, "taugt nichtmal für eine Grünen-WG. Ich schätze 'mal, Linksys.
Mit einem ganz zeitgemäßen GUI, ganz prima, wenn man 'mal vergessen hat, was es zum Frühstück gab - nach Benutzung kann man leicht nachgucken: "Responsive Design".
Im Gegensatz zu den HP, da habe ich eine responsive CLI und kann, wenn ich nur will, mit einem geeigneten (nicht iPhone/Android) per SSH administrieren.
Das aber nur am Rande - mir ist der Switch suspekt, schon weil die mechanische Ausführung nix taugt und mindestens 1 Port kaputt ist.
Kann es sein, daß ich auf Billigswitchen und/oder auf dem LANCOM bestimmte Einstellungen für die Flußkontrolle vornehmen muß?

Dazu noch ein Hinweis: Der Chef des Unternehmens administriert selbst und hat in einem Anfall grenzenlosen Leichtsinns seine Windows-Clients sowohl mit einem Default-Gateway als auch mit einem DNS - Server versorgt, anstatt einen Proxy einzurichten.
Infolgedessen sind alle Büchsen wüst verwanzt und vervirt.
Auffällig ist, daß, mit zufälliger MAC, jede Menge Pakete Richtung LANCOM geschickt werden, mit Ziel Lancom, mit 127.x.x.x als Absender und Zielport 0. Massiv.
Das triggert wohl auch die 'DDOS' - "Erkennung" und offensichtlich auch die 'queue errors'.

Was kann ich tun?
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: Flow Control und Ethernet: Wie in alten Zeiten...

Beitrag von PappaBaer »

Moin,

auch wenn meine Antwort nicht konkret auf Deine einzelnen Punkte eingeht, so kann ich zumindest sagen, dass ich sehr häufig die Cisco Small Business Switches hinter Lancom-Routern einsetze und an keinem einzigen Standort irgendwelche Probleme damit habe. Weder die von Dir beschriebenen noch irgendwelche anderer Art.
Das würde ich mal so deuten, dass es kein generelles Problem einer wie auch immer gearteten Flusskontrolle zwischen Lancom und Cisco SMB Switches sein kann.
Was kann ich tun?
Mac-Adressen analysieren, ob es sich hier um real vorhandene oder gefakte handelt und versuchen, den Übeltäter (ich gehe mal von einer einzelnen Büchse in dem Netz aus) ausfindig zu machen (über die Mac-Address-Table im Switch).

BTW: Wenn man mal über seinen eigenen Tellerrand schaut und eigene Vorurteile für einen Moment bei Seite legt, fällt einem evtl. auf, dass die Switches der SG300-Serie und darüber sehr wohl ein CLI haben und per SSH administriert werden können.

Grüße,
Torsten
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Flow Control und Ethernet: Wie in alten Zeiten...

Beitrag von Koppelfeld »

PappaBaer hat geschrieben: Cisco Small Business Switches hinter Lancom-Routern einsetze und an keinem einzigen Standort irgendwelche Probleme damit habe. Weder die von Dir beschriebenen noch irgendwelche anderer Art.
Das würde ich mal so deuten, dass es kein generelles Problem einer wie auch immer gearteten Flusskontrolle zwischen Lancom und Cisco SMB Switches sein kann.
Ich würde das so deuten, als daß in Deinen Szenarien
- nur der Traffic "nach draußen" über den Router geht
- und der "interne" Traffic direkt über das LAN.
Den LANCOM habe ich selbstverständlich schon gegen ein stärkeres Gerät ausgetauscht, mit dem gleichen Resultat.
Was kann ich tun?
Mac-Adressen analysieren, ob es sich hier um real vorhandene oder gefakte handelt
Das ist nicht mein Problem, sowas bekommt man ja heraus, zum Beispiel mit einer Interface-Statistik auf dem Switch.

Mein Problem ist:
Es gibt einen "Trick", mit dem man aus dem LAN jeden LANCOM wirkungsvoll torpedieren kann, sodaß der ganze Betrieb steht.
Zum Vergleich: Wenn ich selbst einen 1781A mit flood-ICMP beschieße, dann bleibt der operabel und die CPU - Last steigt um vllt. 8%.
Wenn dieser "LAN-Buster" zuschlägt, dann erinnert das an "Jagd auf Roter Oktober": "Go to 105 percent on the reactor".
Gleichzeitig wirft das Ding wie blöde "Queue Errors".
Was nützt es mit, wenn ich Daddel-PC 1 in die Tonne trete und morgen tickt Daddel-PC 2 aus?

BTW: Wenn man mal über seinen eigenen Tellerrand schaut und eigene Vorurteile für einen Moment bei Seite legt, fällt einem evtl. auf, dass die Switches der SG300-Serie und darüber sehr wohl ein CLI haben und per SSH administriert werden können.
Wir sind alle Gefangene unseres Selbst, gleichsam wie das Insekt im Bernstein. Wenn ich schon die Portnumerierung sehe, fällt mir das Leid in die Schuhe. Wer aber nun auf die Idee kommt, die angeschlossenen Endgeräte "smart" zu verwalten und selbständig in VLANs zu stecken, der gehört erschossen. Und routen sollte ein Switch schon gar nicht können, das ist nicht seine Baustelle.

Diese Soho-Kisten sind wie Schweizer Taschenmesser: Bieten für jeden etwas, aber man kann nix gescheit damit machen.
Einen guten Admin erkennt man daran, daß er KEINEN "Leatherman" benutzt. YMMV.
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: Flow Control und Ethernet: Wie in alten Zeiten...

Beitrag von PappaBaer »

Moin,
Ich würde das so deuten, als daß in Deinen Szenarien
- nur der Traffic "nach draußen" über den Router geht
- und der "interne" Traffic direkt über das LAN.
Na ja, so soll es ja auch sein:
Der Router routet alles, was nicht lokal ist (Internet, VPN) und der Switch kümmert sich um den lokalen Verkehr. Und ja, ich nutze die SG300-Serie auch als Layer3-Switch und lasse den das Inter-VLAN-Routing übernehmen. Das geht wesentlich performanter, als wenn ich für das Inter-VLAN-Routing den Lancom als Router-on-a-stick benutzen würde.
Und ja, man kann auch mit diesen Switches "gescheit" arbeiten. Man muss nur wollen. Es gibt nunmal für jeden Anwendungsfall und Portemonnaie passende Hardware. Es muss auch nicht immer mit Kanonen auf Spatzen geschossen werden.

Aber ist dann jetzt doch zu offtopic.

Was macht Dich denn so sicher, dass das Problem an dem Zusammenspiel zwischen dem Lancom und dem Cisco SMB liegt?
Was nützt es mit, wenn ich Daddel-PC 1 in die Tonne trete und morgen tickt Daddel-PC 2 aus?
Einen guten Admin erkennt man daran, dass er die Ursache beseitigt und nicht nur die Symptome.

Grüße,
Torsten
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Flow Control und Ethernet: Wie in alten Zeiten...

Beitrag von Koppelfeld »

Guten Abend !
PappaBaer hat geschrieben:
Ich würde das so deuten, als daß in Deinen Szenarien
- nur der Traffic "nach draußen" über den Router geht
- und der "interne" Traffic direkt über das LAN.
Na ja, so soll es ja auch sein:
Der Router routet alles, was nicht lokal ist (Internet, VPN) und der Switch kümmert sich um den lokalen Verkehr.
Das kann so sein sollen, muß aber keineswegs.
Im vorliegenden Fall wollen wir aus Sicherheitsgründen Routing in bestimmte Netze von Bedingungen abhängig machen und leiten den Traffic daher über den Router und die darin eingebaute Firewall.

Und ja, ich nutze die SG300-Serie auch als Layer3-Switch
Contradictio in adiecto. _Entweder_ Switch=Multiport-Bridge auf Layer 2 _oder_ Router auf Layer 3.
Es ist wichtig, hier auch sprachlich zu differenzieren, weil sonst die scharfen Grenzen des Schichtenmodells 'im Kopf' diffundieren.
und lasse den das Inter-VLAN-Routing übernehmen.
Das geht wesentlich performanter, als wenn ich für das Inter-VLAN-Routing den Lancom als Router-on-a-stick benutzen würde.
Switches arbeiten, entweder mit FPGAs oder ASICs, erstaunlich schnell und massiv parallel. Die Routingfunktionalität hingegen wird offensichtlich von einer Universal-CPU implementiert. Wir haben in unserem Büro ein Bladecenter mit zwei Mords-Switches drin, komplett 10GE, und da war es für uns schon verlockend, einmal "intern" zu routen. Das Ergebnis war recht enttäuschend.
Und ja, man kann auch mit diesen Switches "gescheit" arbeiten. Man muss nur wollen. Es gibt nunmal für jeden Anwendungsfall und Portemonnaie passende Hardware. Es muss auch nicht immer mit Kanonen auf Spatzen geschossen werden.
Mit gutem Willen kann man so ziemlich alles. Nur sind oft "kleine" Umgebungen gerne schon einmal recht anspruchsvoll, aber das know-how der Administration ist es nicht. Da sind diese Selbstadministrations-Goeys richtig gefährlich.
Wenn Du einen Switch hast, Dich gut einarbeitest und weißt, was Du tust, dann soll das schön sein.
Hast Du mehrere Switches, dann ist das schon nicht mehr so erquicklich. Nehmen wir an, Du verbindest zwei dieser Switches mit einem VLAN-Trunk. Dann wird natürlich einer der beiden routen und schwupp, hast Du, zeitlich quasi koinzident, einen lebhaften Traffic auf einer einzigen Strippe einmal hin und zurück. Jetzt sagst Du, "dann verbinde ich die Switches aggregiert mit 802.3ad", aber das führt nicht zum gewünschten Effekt, weil nur zwei MAC-Adressen beteiligt sind.
Aber ist dann jetzt doch zu offtopic.
Gar nicht so sehr. Die Verquickung logisch und hierarchisch getrennten Ebenen macht oft die Dinge unbeabsichtigt komplizierter und urplötzlich steht das Chaos vor der Tür. So wie jetzt beim Kunden. Da habe ich dann ein Gesamtsystem aus Win32-PCs unterschiedlicher Metastasierungsstufen, einen "intelligenten" Switch und einen recht komplexen Router. Und einen virtuellen "ProxMox" - Switch, der mir auch furchtbar stinkt.
An der Pißrinne einer Düsseldorfer Altstadkneipe las ich vor knapp 40 Jahren, "Treten Sie ruhig näher 'ran, er ist kürzer, als Sie denken". Das, so fuhr es mir seinerzeit durch den Kopf, kann man aber auch vom eigenen kognitiven Horizont sagen. Um bei Deinem Kanonen-Spatzen - Vergleich zu bleiben: Ich hetze lieber unseren Kater auf die Spatzen, anstatt mir beim Conrad einen PC-gesteuerten Laser-Spatzenvertreiber zu besorgen. Denn irgendwann habe ich die GSG 9 vor der Tür, weil ich in terroristischer Absicht Piloten geblendet hätte.
Im Sinne von "small is manageable" wähle ich bevorzugt die einfachere Lösung.
Da hatte schon William von Ockham einen passenden Tip, "entia non sunt multiplicanda prater necessitate".
Was macht Dich denn so sicher, dass das Problem an dem Zusammenspiel zwischen dem Lancom und dem Cisco SMB liegt?
Sicher ? Nichts, denn sonst hätte ich das Ding längst in die Tonne getreten und durch einen gebrauchten ProCurve 3500yl ersetzt.
Es ist eher so ein Gefühl, so etwa das, was der späte Peirce mit "Abduktion" gemeint haben mag.
Was nützt es mit, wenn ich Daddel-PC 1 in die Tonne trete und morgen tickt Daddel-PC 2 aus?
Einen guten Admin erkennt man daran, dass er die Ursache beseitigt und nicht nur die Symptome.
Das wollte ich damit ausdrücken. Schönen Abend noch !
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: Flow Control und Ethernet: Wie in alten Zeiten...

Beitrag von PappaBaer »

Moin,
Koppelfeld hat geschrieben:Contradictio in adiecto. _Entweder_ Switch=Multiport-Bridge auf Layer 2 _oder_ Router auf Layer 3.
Es ist wichtig, hier auch sprachlich zu differenzieren, weil sonst die scharfen Grenzen des Schichtenmodells 'im Kopf' diffundieren.
Hier gebe ich Dir natürlich absolut Recht. Ich wollte natürlich sagen, dass ich die L3-Funktionalitäten dieser Switch-Serie nutze.
Switches arbeiten, entweder mit FPGAs oder ASICs, erstaunlich schnell und massiv parallel. Die Routingfunktionalität hingegen wird offensichtlich von einer Universal-CPU implementiert.
Das dürfte aber vom Modell abhängen. Dank moderner Techniken (z.B Route once, switch many) schaffen die heutzutage Forwarding quasi in Wire-Speed.
Wenn Du einen Switch hast, Dich gut einarbeitest und weißt, was Du tust, dann soll das schön sein.
Hast Du mehrere Switches, dann ist das schon nicht mehr so erquicklich. Nehmen wir an, Du verbindest zwei dieser Switches mit einem VLAN-Trunk. Dann wird natürlich einer der beiden routen und schwupp, hast Du, zeitlich quasi koinzident, einen lebhaften Traffic auf einer einzigen Strippe einmal hin und zurück. Jetzt sagst Du, "dann verbinde ich die Switches aggregiert mit 802.3ad", aber das führt nicht zum gewünschten Effekt, weil nur zwei MAC-Adressen beteiligt sind.
Ich setzte hier natürlich eine vernünftige Netzplanung voraus (Core-, Distribution- und Access-Layer, bei KMU aber zumindest Collapsed-Core). Und LAGs ergeben hier sehr wohl Sinn. Denn wann findet Inter-VLAN-Routing denn statt? IdR doch beim Zugriff auf Ressourcen wie Server, Storage o.ä. Und da sind bei parallelem Zugriff von mehreren Clients auf die Ressource dann ja auch mehrere MAC-Adressen beteiligt.
Sicher ? Nichts, denn sonst hätte ich das Ding längst in die Tonne getreten und durch einen gebrauchten ProCurve 3500yl ersetzt.
Es ist eher so ein Gefühl, so etwa das, was der späte Peirce mit "Abduktion" gemeint haben mag.
Was hält Dich davon ab, dem Kunden testweise für ein paar Wochen eben diesen Switch dahinzustellen? Du hast doch auch schon den Lancom erst durch einen stärkeren ersetzt und nun eine Intel-Büchse zur Seite gestellt. Da wäre es doch ein Versuch wert, auf diese Weise seine Gefühl zu ergründen, zu untermauern oder zu entkräften.
Schönen Abend noch !
Den wünsche ich Dir selbstverständlich auch.

Grüße,
Torsten
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Flow Control und Ethernet: Wie in alten Zeiten...

Beitrag von Koppelfeld »

PappaBaer hat geschrieben: Und ja, man kann auch mit diesen Switches "gescheit" arbeiten. Man muss nur wollen. Es gibt nunmal für jeden Anwendungsfall und Portemonnaie passende Hardware. Es muss auch nicht immer mit Kanonen auf Spatzen geschossen werden.
Unterdessen war beim Kunden der Leidensdruck derart angestiegen, daß ich den Switch tauschen "durfte".
Und siehe da: Keine Probleme mehr, aber alle Mitarbeiter zeigten sich erfreut über die "gefühlt" schnellere Arbeit am Gerät.

Und weil ich nicht bei jedem "SOHO" - Gerät "Erfahrungen" sammeln möchte, die nebenbei noch meinen Ruf ruinieren, entscheide ich nach wie vor "nach Gefühl", was ich einbaue und was nicht. Ein 924 ist kein Porsche, sondern ein peinliches Acessoire für einen Spätpubertanten. Genau wie ein "1er BMW" kein BMW ist, sondern selbstinitiierter Markenkannibalismus. Und ein Multifeature-Teil mit allen "Smarties" und Top-GUI, wo CISCO draufsteht und Linksys drinsteckt, welches aber leider nicht mehr switchen kann, das muß man nicht einsetzen.

Kann man sich zu 99,5% drauf vewrlassen: Wenn irgendwo rote Rallyestrefen drauf sind (oder schlimmer: das ganze Gehäuse rot ist), wenn etwas mechanisch schlampig verarbeitet ist, wenn irgendwo "Smart", "Turbo" oder vor allen Dingen "Profi" draufsteht, dann packt man so einen Schund nicht an.

Denn das war einer der teuersten Switches, die je im Großraum Osnabrück angeschafft wurden.

Wer mir in Zukunft mit "SBS" - Klamotten oder gar einer "Fritzbox" unter die Augen tritt, dem hau' ich in die Fr....
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: Flow Control und Ethernet: Wie in alten Zeiten...

Beitrag von PappaBaer »

Hallo Koppelfeld,

na ist doch prima, Du hast für Dich Dein Bauchgefühl bestätigt, kannst mit Dir selber zufrieden sein und alles ist gut.
Ich denke mal, weiter braucht man an dieser Stelle gar nicht zu diskutieren, erst recht nicht bei doch sehr festgefahrenen Meinungen.
Wenn ich die Verantwortung für dieses Netz hätte, wäre mein primäres Interesse dennoch gewesen, die Ursache - im Klartext: den "LAN-Bomber" - zu beseitigen und für die Zukunft zu verhindern.

Viele Grüße,
Torsten
Christoph_vW
Beiträge: 282
Registriert: 02 Mai 2011, 09:47
Wohnort: Berlin
Kontaktdaten:

Re: Flow Control und Ethernet: Wie in alten Zeiten...

Beitrag von Christoph_vW »

Ja, kann ich bestätigen: die SG300 / SRW2024 Switches sind der letzte Müll.

Besonders toll sind die "Known Issues" in der letzten Firmware

14. Web login
a) It is possible to log-in to the device web UI using any or blank password. Once a password for the admin user via the Web UI was created, it is still possible to access the device even when you use a blank or any password
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: Flow Control und Ethernet: Wie in alten Zeiten...

Beitrag von PappaBaer »

Christoph_vW hat geschrieben:Ja, kann ich bestätigen: die SG300 / SRW2024 Switches sind der letzte Müll.

Besonders toll sind die "Known Issues" in der letzten Firmware

14. Web login
a) It is possible to log-in to the device web UI using any or blank password. Once a password for the admin user via the Web UI was created, it is still possible to access the device even when you use a blank or any password
Jetzt wird's lustig.

Das von Dir zitierte known issue ist von der Firmware-Version 1.2.2.30 aus dem Jahre 2008. Aktuell ist die Version 1.4.5.02 und da ist der Fehler seit Jahren nicht mehr drin.

Ich klinke mich hier aus. Zum einen geht es in diesem Forum ja um Lancom und zum anderen finde ich solche mMn unqualifizierten Kommentare lächerlich. Offensichtlich keine Ahnung von der aktuellen SG300-Serie und trotzdem so einen Senf dazu geben...

Grüße,
Torsten
Christoph_vW
Beiträge: 282
Registriert: 02 Mai 2011, 09:47
Wohnort: Berlin
Kontaktdaten:

Re: Flow Control und Ethernet: Wie in alten Zeiten...

Beitrag von Christoph_vW »

Und wo gibt es die neue Firmware für den SRW2024 Switch? Die hauen doch lieber neue Hardwareversionen raus, anstatt die Fehler in den alten Geräte zu fixen...
Antworten