Ağda yaşanan sorunlar( Loop vb.) çoğu zaman yapının ilk kurulduğu süreçte ortaya çıkar. Sonrasında ağa yeni bir cihaz & uygulama dâhil edilmediği sürece, başlangıçta iyi bir yapı kurulmuşsa nadiren sorunlarla karşılaşırsınız.
Bu yazıda sahada daha önce karşılaşılmış bazı sorunlara ve çözümüne değinilecektir. Bu tip sorunların yaşanması halinde çözüme daha hızlı ulaşabilmek için sakin kalmak gerektiğini unutmayın. 🙂
Bu yazının devamına BURADAN ulaşabilirsiniz.
[casoyalp-ad wminh=”” wmaxh=”” mminh=”” mmaxh=””]
1.LOOP Sorunu
Eğer STP kullanmıyorsanız & STP ayarları doğru yapılmadıysa;
Ağın genelini etkileyen ciddi bir erişim sorunu varsa;
Kenar anahtar, omurga anahtar, güvenlik duvarı vb. cihazlar ayakta ise ;
DNS, DHCP sunucuları ayakta ve çalışır durumdaysa;
VLAN tagları, routingler olması gerektiği gibi ise; kısacası her şeyin yolunda olması gerektiği bir durumda hiçbir şey yolunda değilse ağınızda bir loop olma ihtimali yüksektir. Loop olan bir ağda ağ geçidinize (gateway – vlan gateway) ping atmanız bile neredeyse imkânsız hale gelir. Normal şartlar altında ağ geçidinize (kablolu ağlarda) en kötü ihtimalle 1-5ms arasında istikrarlı bir şekilde ping atabiliyor olmanız gerekir. Loop olan bir ağda ise ağ geçidinize attığınız pinglerde %99’a varan kayıplar görürsünüz, gecikme süreleri ise binlerce ms’ye çıkar.
Çözümü
Çözüm 1: Bu gibi durumlarda omurga anahtar ve kenar anahtarlara console ile bağlanıp (loop’dan dolayı telnet, ssh yapmanız münkün olmayacaktır) CDP, LLDP, ELSM vb. gibi ağdaki komşu network cihazlarının tanıtılmasında kullanılan protokoller ile loop’u testip edebilirsiniz.
Cisco için: show cdp neighbors
HP için: show lldp info remote-device (LLDP protokolü üretici bağımsız olduğu için tüm ağ anahtarlarında marka fark etmeksizin kullanılabilir.)
Extreme Networks için: show elsm ports all
Komutlarının çıktıları incelendiğinde eğer farklı portlar arkasında aynı (mac adresli) network cihazlarını görüyorsanız tebrikler loop’u tespit ettiniz. Bu iki kablodan birini sökün ve sorunun giderilip giderilmediğini test edin.
Çözüm 2: STP kullanıyorsanız ve doğru yapılandırma yapılmışsa ağın genelini etkileyen loop kaynaklı erişim sorunu olmayacaktır. Küçük, bölgesel, port temelli kesintiler olabilir (özellikle çok sayıda Hub’ın bulunduğu karmaşık ağlarda). Bunları ise aşağıdaki komutlarla tespit edebilirsiniz:
HP ve Cisco için: show spanning-tree [vlan id] : Port durumu Forwarding (FWD) ise o porttan kaynaklı loop yok demektir. Eğer port durumu Blocked (BLK) ise o port loop’a engel olmak için kapatılmış demektir.
Extreme Networks için: Show vlan [vlan adı] : Komutu çıktısında port numarasının yanında (b) harfi var ise port loop engellemek için kapatılmış demektir.
Diğer tüm marka model ağ anahtarı cihazlarında buna benzer komutlar ile port durumunu kontrol edebilirsiniz.
Çözüm 3: Çoğu zaman daha kolay ve kesin çözüm olarak görüldüğü için tercih sebebi olan bu yöntemde loop’a sebep olan portu tespit etmek için ağ anahtarı üzerindeki portlar tek tek çıkartılır. Eğer omurga anahtarı da bulunan büyük bir ağda iseniz, port söküp takma işlemine buradan başlamanız işinizi kolaylaştıracaktır. Bir bilgisayardan normal şartlar altında ping atmasını beklediğiniz bir IP’ye doğru ping başlatın ve tek tek, kısa süre beklemelerle portları sökün, ping’e cevap geldiği anda sökmüş olduğunuz port loop’a sebep olan porttur. O portun arkasında başka ağ cihazları var ise, loop’un asıl kaynağını bulmak için o cihazlarda da bu işlemi yapın. Loop’a sebep olan portu sökün.
[casoyalp-ad wminh=”” wmaxh=”” mminh=”” mmaxh=””]
2. Diğer Ağ Bağlantı Sorunları
2.1. Port yapılandırması ile ilgili sorunlar
2.1.1. Ağ anahtarında Manuel hız ve duplex ayarı (port speed)
Akıllı ağ anahtarları bir portun hızını ve duplex’ini el ile ayarlamaya imkân verir, bu bazı durumlarda çok da kullanışlı bir enstrümandır. Ağ anahtarları genelde auto-negotiation destekler ve bağlandığı cihazlarla konuşarak 10/100/1000Mbit gibi hangi hızda half duplex, full duplex çalışacağına karar verir. Çalıştığına emin olduğunuz bir kablo ile iki network cihazını bağladıktan sonra, bağlantı sorununun olduğunu görüyorsanız bunun sebebi bağlantı yaptığınız portların çalışma hızlarının manuel olarak ayarlanmış olması olabilir. İki ağ anahtarını birbirine bağlayan portların birinde port hızı ayarlamasını el ile yapmaya karar verdiyseniz, mutlaka diğer cihazda da ilgili porta bu hız ayarlamasını el ile yapın.
Bazı durumlarda sizin kontrolünüzde olmayan (internet servis sağlayıcının switch veya router’ları vb.) cihazların ayarlarını göremeyebilirsiniz. Sizin kontrolünüzde olmayan cihazlarla kendi cihazlarınızı bağladığınız zaman eğer portlar ayağa kalmıyorsa kendi tarafınızdaki cihazlarda manuel port hızı ayarlamayı deneyin.
Tespit edilmesi: Show running-config , Show config , display current-configuration vb. komutların çıktılarında interface ayarları altında “speed 10” “duplex half” gibi bir komut görüyorsanız o portun hızı manuel belirtilmiştir.
Çözüm: Tespit ettiğiniz hatalı yapılandırmayı kaldırın.
2.1.2. Portun shutdown edilmesi, auto-negotiation kapalı olması , vlan yapılandırması
Eğer bir port yapılandırılırken shutdown edildiyse, auto-negotiation kapatılmışsa, vlan yapılandırması yanlışsa bağlantı sorunu yaşanacaktır. Bu üç yapılandırma ilk bakılması gereken yerlerdendir. (Ağ güvenliğinin artırılması amacıyla kullanılmayan tüm portların shutdown edilmesi doğru olandır.)
Tespit edilmesi: Show running-config , Show config , display current-configuration vb. komutların çıktılarında interface ayarları altında görülebilecek olan “shutdown” “no auto-negotiation” yapılandırmaları mevcuttur.
Çözüm: Tespit ettiğiniz hatalı yapılandırmayı düzeltin.
2.2. Uyumsuzluk – desteklememe sorunları
2.2.1. Cihazların Ethernet hız desteklerinin limitli olması
Bazı durumlarda ağ cihazı ile uçtaki cihaz (pc, ip kamera vs) arasında bağlantı hızı uyumsuzlukları olabiliyor. Örneğin ağ anahtarı 100/1000Mbit desteklerken 10Mbit desteklemeyebiliyor, kapı geçiş sisteminde kullanılan kart okuyucu ise yalnızca 10Mbit hızda çalışmak için tasarlanmış olabiliyor. Bu gibi durumlarda yapılandırma ile sorunu çözmenin bir yolu olmadığından, ilk kontrol edilmesi gereken noktalardan birisi bağlantı yapılacak cihazlarının birbirine hız uyumlarının olup olmadığıdır. Aksi takdirde saatlerce yazılım güncellemesi, farklı kablo farklı cihaz deneme gibi çözüm yolları üretmeye çalışırken zaman kaybedebilirsiniz.
2.2.2. Transciever – GBIC – SFP uyumsuzluğu
Birçok üretici ağ cihazlarının desteklediği fiber modül markalarını sınırlandırır. Hatta bazen aynı üreticiye ait ağ cihazı ve fiber modülü uyumsuz olabilmektedir. Ağ anahtarına takılmış olan fiber modülün uyumlu olup olmadığını aşağıdaki komutlarla kontrol edebilirsiniz:
Cisco: Show inventory , Show interface transciever
Hp: Show tech transcievers
Extreme networks: Show ports transciever information detail , debug hal show optic-info
2.3. Yapılandırma dikkatsizlikleri
2.3.1. LACP port yapılandırması
Özellikle kurumsal sistemlerde yedekli yapıya önem verilir. Güvenlik duvarları ve omurga anahtarlar gibi kritik cihazlar yedekli (Aktif/Aktif – Aktif/Pasif ) çalıştırılır. Ağ cihazları arasındaki yedeklik de 2 veya daha fazla kablo LACP protokolü ile birlikte çalıştırılarak sağlanır. Bu tip durumlarda gerekli yapılandırma cihazları birbirine bağlayan portlar altında değil, LACP portu altında (etherchannel, trunk, port group, lag ..) yapılması gerekir. Fiziksel portlar baz alınarak yapılacak yapılandırmalar mantıksal (lacp) portu etkilemez. O yüzden orada zaman kaybetmeyin.
2.3.2. L3 interface yapılandırma yanlışları (IP çakışması)
Bazı durumlarda dikkatsizlikten & bilgi aktarımı eksikliğinden dolayı hali hazırda başka bir yerde kullanılan bir IP, bir ağ cihazına tanımlanabiliyor veya tam tersi. Bu tip durumlarda aynı IP’ye sahip bu iki cihazı da etkileyen bir erişim sorunu oluyor.
Tespit: Show running-config, Show ip interface brief, Show arp, Show ip arp vb. komutlarla çakışan IP’nin nerede tanımlandığını, hangi mac adresine sahip üzerinde olduğunu görebilirsiniz.
Çözüm: IP’yi tanımlı olduğu yerden kaldırın.
2.3.3. Aynı tipte Broadcast paketlerin bir kısmının hattan geçip bir kısmının geçmemesi
Farzedelim ki 2 network cihazı arasında L2/L3 bir hat var (internal hat veya İnternet servis sağlayıcının sağladığı bir hat) , tüm VLAN’lar iki cihazın birbirine bağlandığı portlardan geçirilmesine rağmen cihazların birinde görünen MAC adresini diğer cihazda göremiyorsunuz; veya DHCP gibi broadcast paketlerinin bir kısmının diğer tarafa iletilmesinde sorun yaşıyorsunuz.
Tespit: Yaşadığınız sorun Broadcast paketlerinin aradaki hatta limitlenmesi ile ilgili olabilir. ARP ve DHCP paketleri broadcast paketler olduğundan MAC adresinin diğer cihazda görünmemesi veya DHCP paketlerinin geçmemesi (kullanıcıların IP alamaması) bununla ilgili olabilir.
Çözüm: Network cihazlarının birbirlerine bağlandığı portlarıda broadcast limitasyonu var mı kontrol edin. Varsa limiti yükseltin veya tamamen kapatın. Eğer sizin cihazlarınızda böyle bir limitasyon yok ise, bu hattı size sağlayan İnternet servis sağlayıcıdan broadcast limitini kaldırmasını talep edin.
Cisco cihazlarda: show running-config çıktısında interface ayarları altında “strom-control” ibaresi var mı kontrol edin. show interfaces counters storm-control komutu ile de storm-control’e takılan broadcast paket var mı görebilirsiniz.
Serinin devamı için BURAYA tıklayın.
Tavsiye Kitap:
https://www.seckin.com.tr/9789750232244
[casoyalp-ad wminh=”” wmaxh=”” mminh=”” mmaxh=””]