Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerkanalyse

Typische Problemsituationen Teil 1

In diesem Kapitel werden Situationen vorgestellt, die in der Praxis immer wieder vorkommen. Die Reihenfolge orientiert sich am OSI-Modell angefangen mit dem Layer 1. Einige Beschreibungen wurden aus Gründen der Übersichtlichkeit in eigene Dokumente ausgelagert.

Inhalt

Verkabelung
Duplex Mismatch (anderes Dokument)
Broadcaststürme
Unterschiedliche Encapsulation im Ethernet
Doppelte MAC-Adressen
DHCP funktioniert nicht
Doppelte IP-Adressen
Doppelte Hostnamen
MTU-Einstellung bei DSL (anderes Dokument)
Path MTU Discovery (PMTUD)


Verkabelung

Oft sind die Probleme geradezu trivial. Die Stecker sind nicht eingerastet oder es wurde das falsche Kabel verbaut. Gerade in Bürobereichen mit viel „Bewegung“ sind auch defekte Kabel in der Tischverkabelung nicht selten. Einzelheiten zur Netzwerkverkabelung mit Kupferkabel und Lichtwellenleitern finden Sie im Kapitel Netzwerkverkabelung.

Duplex Mismatch

Der Duplex Mismatch ist immer noch das häufigste Problem. Ursachen und Lösungen sind im Kapitel Erste Schritte beschrieben.

Broadcaststürme

Layer 2-Broadcasts sind der Feind jedes Protokollstacks. Hier kann die Entscheidung nicht auf der Netzwerkkarte getroffen werden. Die Netzwerkkarte nimmt den Frame entgegen und gibt ihn weiter an die höheren Layer. Hier wird er dekodiert und dann irgendwann verworfen.

Die Ursachen für Broadcaststürme sind vielfältig:

  • Defekte Netzwerkkarten. Ich hatte mal eine Netzwerkkarte die beim Booten übers Netz ununterbrochen und im Abstand von wenigen Mikrosekunden DHCP-Discovers gesendet hat.

  • Für Netware gibt es Token Ring Treiber, der alle Frames im RIF als „All Route Broadcast“ markieren.

  • IPX-Router können die SAP vieler Netwarestationen sammeln und dann periodisch ins Netz broadcasten.

  • In einer Spanning Tree Loop kreisen Broadcasts bis ans Ende aller Tage. Allerdings geht bei einer Loop ohnehin nichts mehr. Da ist der Blick auf die CPU-Last-LED's der Switche recht interessant.

Tip: Einige Switche und Router von Cisco haben ein Feature namens „Broadcast Suppression“. Damit können Broadcast-Stürme wirkungsvoll begrenzt werden.

Unterschiedliche Encapsulation im Ethernet

Im Ethernet gibt es historisch bedingt mehrere verschiedene Frametypen. Gerade im Netware-Umfeld gibt es häufig Probleme durch Stationen mit unterschiedlichen Frameformaten. Um die Verwirrung komplett zu machen, gibt es für die Formate auch noch mehrere Bezeichnungen.

IEEE nennt es

Cisco sagt

und Novell meint

Ethernet II

ARPA

Ethernet II

802.3

LLC

802.2

802.3 SNAP

SNAP

SNAP

802.3 Raw

Novell

802.3

Tabelle: Frameformate im Ethernet

Stationen die unterschiedliche Formate verwenden können nicht direkt miteinander kommunizieren.

Ethernet II DIX

Ethernet II wurde durch die Firmen Digital, Intel und Xerox etabliert. Daher auch die Bezeichnung DIX. Cisco bezeichnet diesen Rahmentyp auch ARPA.

Das komplette Datenpacket besteht aus einer Preamble und dem eigentlichen Inhalt. Die Preamble ermöglicht eine Synchronisierung der Empfangselektronik. Nach jedem Packet folgt auf dem Übertragungsmedium eine Pause, der Inter Frame Gap (IFG) mit einer Länge von 12 Byte.

Es gab oder gibt wohl einige Kartenhersteller die den Inter Frame Gap bei ihren Produkten verkürzt haben, um die Performance zu steigern. Dadurch werden an einem Shared Media natürlich andere Karten benachteiligt.

Bitfolge
101010...

Frame
64 – 1518 Byte



IFG

Preamble
8 Byte

Destination
6 Byte

Source
6 Byte

Type
2 Byte

Daten
46–1500 Byte

FCS
4 Byte

Ethernet II kommt hauptsächlich bei TCP/IP zum Einsatz.

Ethernet IEEE 802.3

In IEEE 802.3 wurde die Preamble geteilt und ein Start of Frame Delimiter (SFD) hinzugefügt. Der SFD endet mit zwei auf eins gesetzten Bits. Das vom IEEE genormte Ethernet hat ein im Header ein Längenfeld. Nach diesem Längenfeld folgt ein LLC-Header.

Bitfolge
1010... 10101011

Frame
64 – 1518 Byte



IFG

Preamble
7 Byte

SFD
1 Byte

Destination
6 Byte

Source
6 Byte

Länge
2 Byte

DSAP
1 Byte

SSAP
1 Byte

CTRL
1 Byte

Daten
42–1497 Byte

FCS
4 Byte

Spanning Tree BPDUs werden in 802.3-Frames verpackt. Netware benutzt ab Version 3.12 diesen Frametyp zur Übertragung von IPX.

Ethernet 802.3 SNAP

SNAP steht für SubNetwork Access Protocol.

Bitfolge
1010... 10101011

Frame
64 – 1518 Byte



IFG

Preamble
7 Byte

SFD
1 Byte

Destination
6 Byte

Source
6 Byte

Länge
2 Byte

DSAP
1 Byte

SSAP
1 Byte

CTRL
1 Byte

SNAP
5 Byte

Daten
38–1492 Byte

FCS
4 Byte


SNAP wird im Ethernet zum Beispiel zur Übertragung von CDP und Appletalk eingesetzt.

Raw Ethernet

Raw Ethernet ist eine Erfindung von Novell. Dieses Format kann nur zur Übertragung von IPX genutzt werden. Die zwei FFFF-Bytes sollten ursprünglich eine Prüfsumme darstellen.

Bitfolge
1010... 10101011

Frame
64 – 1518 Byte



IFG

Preamble
7 Byte

SFD
1 Byte

Destination
6 Byte

Source
6 Byte

Länge
2 Byte

FFFF
2 Byte

Daten
44–1498 Byte

FCS
4 Byte

Raw Ethernet wird nur von Novell eingesetzt und war bis Netware 3.11 der Default.

Doppelte MAC-Adressen

Für nicht eindeutige MAC-Adressen gibt es zwei mögliche Ursachen:

  • Der Hersteller der Karten hat sich vertan und liefert Karten mit gleicher Adresse aus.

  • Die MAC-Adresse wurde im Kartentreiber durch eine lokal vergebene Adresse überschrieben die nicht einmalig ist.

Solange die betroffenen Host in getrennten Layer 2-Netzen stehen ist die Welt noch in Ordnung. Treffen allerdings zwei gleiche Adressen in einem Layer 2-Netz zusammen, sind Probleme unvermeidbar.

Das Fehlerbild sieht dann oft so aus, das jeder der Hosts zeitweise problemlos arbeiten kann.

Also auf jeden Fall die Adressen der betroffenen Host überprüfen. Unter Linux benötigt man dazu das Kommando „ifconfig“ und unter Windows bringt „ipconfig /all“ das gewünschte Ergebnis.

Es soll einige Mainboards mit dem SIS900-Chip geben, die als MAC-Adresse per default die 00:00:00:00:00:00 nutzen. Bei manchen Boards von Elitegroup wurde die MAC auch durch ein BIOS-Upgrade auf diesen Wert gesetzt.
Mitunter kann man die MAC-Adresse auch im BIOS neu setzen.

Im guten alten Token Ring werden gleiche MAC-Adressen für mehrere Host gerne zum Loadsharing eingesetzt. Dabei müssen die Adressen natürlich in unterschiedlichen Ringen sein.

DHCP funktioniert nicht

Beim Booten von Endgeräten an (Cisco-)Switchports kann ein typisches Problem auftreten. Das Gerät bekommt keine IP-Adresse vom DHCP-Server. Häufig aktiviert der Windows-PC dann eine Adresse aus dem Link Local Netz 169.254.0.0. Später funktioniert die Zuweisung mit dem DHCP-Client bzw. „ipconfig /renew“ problemlos.

Ursache für dieses Verhalten ist hauptsächlich das Spanning Tree Protocol. Bevor ein Port beginnt Frames zu forwarden, durchläuft er die beiden Status listening und learning. Beide Phasen dauern jeweils 15 Sekunden.

Dieses Problem kann mit den folgenden Kommandos behoben werden.

unter CatOS

Switch> (enable) set spantree portfast 3/4 enable

und unter IOS

Switch(config)# interface fastethernet 0/4
Switch(config-if)# spanning tree portfast 

Durch diese Konfiguration gehen die entsprechenden Interface sofort in forwarding.

Tip: Ab IOS 12.1 gibt es das Kommando interface range. Damit können bestimmte Einstellungen an ganzen Gruppen von Ports vorgenommen werden:
 
Switch(config)# interface range fastethernet 0/1-7

Bei Cisco-Switchen spielen noch Protokolle wie PAgP und DTP eine Rolle.

Mitunter ist auch der Adressen-Pool des DHCP-Servers erschöpft. Ursachen können eine zu kleine Dimensionierung, der Ausfall eines DHCP-Servers oder eine sehr lange Leasetime sein.

Auch andere Protokollstacks wie Netware oder Appletalk reagieren mitunter negativ auf einen zu spät öffnenden Switchport.

Beim Einsatz von Wireless LAN können Probleme mit der Verschlüsselung ein ganz ähnliches Fehlerbild erzeugen. Wird der WEP- oder WPA-Key am WIndows-Client nicht korrekt eingegeben, zeigt Windows trotzdem eine Verbindung mit guter Feldstärke an. Es besteht aber keine Verbindung zum WLAN-Access Point und dadurch funktioniert DHCP auch nicht. Windows vergibt der WLAN-Adapter dann eine IP-Adresse aus dem IP-Netz 169.254.0.0/16.

Doppelte IP-Adressen

Doppelte IP-Adressen sollte es eigentlich nicht geben. Jeder Host hat vor der Aktivierung seiner Adresse einen Test auf Eindeutigkeit durchzuführen. Dazu sendet der Host mehrere ARP-Requests an sich selbst. Auf diese ARP-Request sollte also keiner antworten.

Im Zeitalter der mobilen Endgeräte funktioniert das leider nicht immer so. Und es gibt auch noch genügend IP-Stacks die sich nicht um irgendwelche RFC's kümmern.

Mit doppelten IP-Adressen ergibt sich ein Fehlerbild ähnlich dem bei doppelten MAC-Adressen. Je nach dem welcher Host gerade im ARP-Cache des Default Routers steht, funktioniert die Kommunikation oder eben nicht. Im Eventlog von Windows, wird die Erkennung doppelter IP-Adressen protokolliert.

Doppelte Hostnamen

Nicht eindeutige Hostnamen sind besonders im Windowsumfeld problematisch. Dort registrieren sich die Maschinen mit ihren Hostnamen beim WINS-Server. Problematischer ist allerdings das Computerkonto der betroffenen Maschinen auf dem Domaincontroller. Der Betreiber der zweiten Maschine wird für seinen PC ein Computerkonto erstellen. Dadurch wird das Konto der anderen Maschine überschrieben. Beim Booten für das zu einer Meldung „Das Vertrauensverhältnis zur primären Domäne ist gestört...“ und es ist keine Anmeldung am Domaincontroller möglich.

Path MTU Discovery (PMTUD)

Die Maximum Transmission Unit (MTU) bezeichnet die maximale Größe eines Frame auf einem Übertragungsmedium.

PMTUD soll verhindern das TCP-Segmente durch Router fragmentiert werden. Dazu wird in allen Segmenten das DF-Bit (don't fragment) gesetzt. Sendet nun der Client ein Segment mit 1200 Bytes und gesetztem DF-Bit, wird der Router B das Segment verwerfen, da er das Segment nicht in das Netz 2 senden kann. Über diesen Umstand wird der Router B den Client via ICMP imformieren. Im ICMP ist dafür die Kombination Type=3 (destination unrechable), Code=4 (fragmentation needed and DF set) vorgesehen. Der Router sollte laut RFC 1191 die mögliche MTU in diesem ICMP-Packet mitsenden. Dadurch kann der Client seine MTU entsprechend anpassen.

Client und Server verbunden mit drei Routern

Sobald aber nun ein Router ICMP blockiert, beginnen die Probleme. Möglich wäre in unserem Beispiel, das Router B keine ICMP-Meldung versendet. Damit würde sich das interessante Fehlerbild ergeben, das ein Ping vom Client zum Server funktioniert und auch die Kommunikation mit kleinen Packeten. Sobald aber größere TCP-Segmente versendet werden bricht die Kommunikation ab.

Abhilfe bringt hier nur eine vernünftige Routerkonfiguration. Hat man keinen Zugriff auf die Router kann man immer noch die MTU seines eigenen Interfaces entsprechend einstellen oder PMTUD deaktivieren.

Professionelle Hilfe

Diese Seiten sollen Ihnen helfen, Netzwerkprobleme zu lösen. Sollten Sie bei der Planung, Installation oder natürlich bei der Fehlersuche Hilfe benötigen, wenden Sie sich an die IT-Experten Berlin Netzwerkservice Berlin.

 

<-- Auswerten und Filtern Inhalt Typische Probleme Teil 2 -->

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012