Willekeurige netwerkhikjes

In ons serverpark hebben wij onverklaarbare, willekeurige, kortdurende hikjes in onze netwerkverbinding. Om te debuggen draaien wij een script dat elke minuut vanaf alle servers een traceroute doet naar alle andere servers.

In bijna alle gevallen gaat dit goed, maar af en toe rapporteert dit script naar een andere server niet te kunnen tracerouten. Op het moment dat je dan op die server inlogt en het handmatig doet is het probleem alweer weg.

De servers zijn verdeeld over drie racks welke met elkaar in contact staan via juniper switches met een glasvezelkabel ertussen. Vanwege een recentelijke uitbreiding zijn er twee losse /24 subnets welke nog gemerged moeten worden. Alle servers hebben dus een extra route toegevoegd om dit subnet te kunnen bereiken.

De problemen zijn volkomen random. Server X kan niet tracerouten naar server G. De volgende keer is het server B die server H niet kan vinden. Het kan optreden bij servers in andere racks, of in hetzelfde rack, tussen servers in hetzelfde subnet of in het andere subnet.

De servers zijn een combinatie van
- M610's
- M620's
- R310's

De meeste servers zijn uitgerust met een broadcom NetXtreme II uit de BCM serie. Alle servers gebruiken twee netwerkpoorten, die via bonding (balance-tlb) zijn geconfigureerd.

Wat het voor mij lastig te traceren maakt is het feit dat het probleem net zo snel verdwijnt als het verschijnt en ik dus niet verschillende instellingen kan proberen om te zien of dat het probleem oplost.

Wat kan ik nog meer doen om de oorzaak te vinden en dit op te lossen?

Heb je een specifieke log die relevant is? Ik heb de meeste bekeken en de enige die ik regelmatig zie terugkomen is



Arp issue zou natuurlijk kunnen, hoewel ik meen dat dat enkel zou kunnen optreden door een ander onderliggend probleem. Hoe kan ik dit uitsluiten? Op het moment dat ik ga kijken werkt alles, en staat de arp entry er natuurlijk gewoon netjes in. arp -n toont voor alle adressen gewoon netjes een macadres.

Het script is nu heel simpel. Het start 'traceroute -4 -N 1 <server> | tail -n +2 | awk '{print $2}' grep -v '^*&' op en kijkt of de output gelijk is aan de servernaam.

De servers waar het om gaat draaien allemaal op Ubuntu, de meeste op 12.04, sommige op 10.04.

Wireshark is inderdaad een goede optie. Ik zal dit installeren op een PC met de minste netwerkactiviteit en de logfile bekijken.

WhizzCat schreef op vrijdag 30 november 2012 @ 19:38:
Dit zou echt van alles kunnen zijn. Helaas geef je eigenlijk te weinig informatie om iets zinnigs te kunnen zeggen. Die toegevoegde route bv. gaat dat naar een router of l3 switch of wat? Hoe zijn de Junipers verbonden? Proprietary stack of bv. LACP? Zijn je servers per Bond op 1 server aangesloten of verdeeld over 2 switches? (soms kan dit issues opleveren) Welk merk zijn de servers zelf?

Alle servers zijn verbonden via de Juniper switches. Hoewel ze dus in een ander subnet zitten zit er geen router tussen. Om die reden heb ik dus een extra route toegevoegd om te voorkomen dat dit via de default gateway wordt gerouteerd.

De precieze configuratie van de communicatie tussen de junipers weet ik niet, aangezien dat voor ons is opgeleverd door leaseweb (wij huren de junipers van hen). Wel weet ik dat LACP nog niet is ingesteld. Dit willen wij wel heel graag, maar hiervoor moet éérst het virtual chassis geconfigureerd worden, wat enige downtime tot gevolg heeft (die we eerst moeten inplannen, etc...). Om die reden zijn de beide aansluitingen die samen de bond0 interface bieden steeds op één switch aangesloten (waarbij ik weet dat dat niet de optimale configuratie is).

Alle servers zijn van het merk Dell.

decramy schreef op vrijdag 30 november 2012 @ 19:40:
Zit er een CPU of een interface van een switch vol? Dit kun je met SNMP uitlezen en vervolgens in tools als munin/cacti weergeven.

Komt het probleem overal voor? Kun je je switches allemaal een IP geven en vervolgens met smokeping data verzamelen? Probeer het probleem te localiseren tot een bepaalde switch

Ik ga me hier in verdiepen. De switches hebben sowieso allemaal een IP adres en SSH geconfigureerd zodat ik erop kan inloggen. Zoals gezegd, het probleem is volkomen random en treedt dus op alle switches op. Dit kan tussen servers zijn die aangesloten zitten op verschillende switches (via de fiber kabel) of op servers die op dezelfde switch zijn aangesloten. Hier heb ik geen patroon in kunnen ontdekken. Ik vermoed dus dat het probleem niet in één specifieke switch zit.

joopv schreef op vrijdag 30 november 2012 @ 20:39:
Over je logfile:
Wat is hier: ifName ge-0/0/30 op aangesloten en waarom gaat die regelmatig up en down?

Is er een correlatie tussen die log entry's en je hiks?

Kan het zijn dat er een loop in je netwerk zit? Dat kan kortstondige broadcast storms veroorzaken die hele netwerk doen vollopen. Dat zul je wel terug kunnen zien op een wireshark machine, ook zonder het aanmaken van een monitor poort.

En als laatste: de servers die elkaar soms niet kunnen bereiken, zitten die in hetzelfde subnet of loopt dat via een router?

Dit zal ik moeten uitzoeken.

Ik weet wel dat de fiber kabels in een loop zijn aangesloten. Switch 1 zit met een kabel naar switch 2, switch 2 zit met de andere poort naar switch 3, switch met de andere poort naar 4 en 4 met de andere poort weer naar 1. Dit is ons zo aangeraden door leaseweb.

De servers die elkaar soms niet kunnen bereiken zitten soms wel en soms niet in hetzelfde subnet, maar lopen nooit via een router.