Unifi Switches blocken Ports wegen STP

Infrastruktur WLAN
1

Hallo zusammen,

… ich brauch mal eure Kreativität.
Heute hab ich 8 Stunden lang versucht ein kleines unifi Netz wieder zum Laufen zu bringen… das wird jetzt also eine lange Nachricht: in 8 Stunden ist viel Passiert: funktionieren tut es noch nicht wieder.

Aufbau des Netzes:
Es gibt 3 8 Port unifi Switches, die je 4 APs mit PoE versorgen.
Port 1 der Switches hängt an Grün, Port 2 an Blau.
Das Blaue Netz läuft nicht über VLANs sondern hat seine eigenen Switches (HP2626) mit eigenen Glasfaserleitungen und GBICs.
Es gibt 4 WLANs
SCHULE - WPA2enterprise in Blau OPNsense ist der DHCP mit 172.16.0.0/16
INTERN - WPA2personal in Grün
GAST - WPA2 in Blau mit Vouchern (unifi HotSpot Portal)
Apple Store - die Extrawurst (derzeit deaktiviert im Controller: wird also nicht ausgestrahlt)

Die Symptome:
Angefangen hat es letzte Woche. Das unifi Netz läuft schon etliche Jahre ohne Probleme. Geändert hab ich in letzter Zeit nichts.
Mir wurde gemeldet, dass die unterschiedlichsten Leute immer mal wieder Probleme hatten mit der WLAN Verbindung. Es ging, dann ging es wieder nicht, und dann ging es wieder.
Erste Untersuchung zeigte nichts auffälliges im Controller, aber ich konnte bestätigen, dass an manchen APs das SCHULE WLAN nicht ging: an allen die an einem der Switches hin. Im anderen Gebäudeteilen ging es ohne Probleme. Das INTERN WLAN hat immer zuverlässig und durchgehend funktioniert: es muss an Blau liegen.

Irgendwann hab ich dann mal beobachtet, dass der BLaue Port (Port 2) an dem unifi Switch das „Verbotssymbol“ hatte: Tooltip sagte „Gesperrt“ und im Log steht: „Switch Port 2 geblockt durch STP-Protokoll“
Natürlich hab ich penibel alle HP2626 angeschaut ob da irgend wo ein falsches Kabel drin steckt (wir haben seit 5 Monaten! Handwerker die neu verkabeln im Haus … ja, wirklich: seit 5 Monaten und es sieht immer noch aus, als wäre eine Bombe eingeschlagen, kein Ende in Sicht).
Aber in denen steckt immer nur ein GBIC zum Serverraum und ein Kabel in Port 2 des unifi Switches. Nur der Switch im Serverraum hat 2 GBICs drin (zu den anderen beiden HPs) und ein zusätzliches Kabel vom Server aus wo Blau „rein“ kommt.
Das STP Protokoll ist für Spanning Tree: und das will ich ja auch aktiviert haben: ich will ja raus bekommen, wo der Loop ist. Ein „physikalischer“ Loop, also ein falsch gestecktes Kabel, auch zwischen Switches, konnte ich Heute nicht finden (ich bin sehr zuversichtlich, dass da keines ist, den es stecken ja extrem wenige Kabel in den Blauen Switches).

Am Ende hab ich, aus Verzweiflung, dann alle 12 alten AC AP Pro abgestöpselt und 4 neue Lite 6 adopted und eingerichtet: um aus zu schließen, dass da ein AP spinnt und mir einen Loop über WLAN macht. Hat nichts gebracht.
Die zwei betroffenen Switches (nur der im Serverraum hat nie „Geblockt“ gezeigt) hab ich auch einmal „vergessen“ und dann resettet und neu aufgenommen: hat auch nichts verändert.
Ich hab keine Logs gefunden die mehr verraten außer Geblockt wegen STP.
Derzeit ist nur noch der Serverraum unifi Switch in Betrieb mit zwei Lite 6 … mal sehen ob, wer in Reichweite ist, das WLAN Nutzen kann.

Noch eine seltsame Beobachtung: ich hatte, um die Glasfaserverbindungen zu testen, mein Laptop mit Kabel nacheinander in alle Blaue Switches gesteckt, eine IP in 172.16.0.0/16 gegeben und die OPNSense in Blau angepingt 172.16.255.254. Das hat geklappt.
Seltsamerweise kann ich das aber auch aus Grün … sollte da mein Loop liegen? Über die OPNsense? Ich hab die exakt gleichen Regeln wie in der Schule (wo das Netz sehr viel Größer ist: 35 APs und alles mit VLANs verteilt). Dort kann der Server die 172.16.255.254 anpingen, aber nicht die Clients (dort ist das Netz gesubnettet: ich habe einen Client im Servernetz getestet). Im kleinen Netz, das die Probleme macht, kann ich von jedem Client in Grün den ich probiert habe (4 Stück) aus die 172.16.255.254 anpingen. Ist das bei euch auch so?

Jetzt hoffe ich, dass irgend jemand eine Idee hat…

Noch zu den Netzen in unifi:
Es gibt „Default“ und „Blau“ als Netze
Blau hat VLAN ID 10
und folgende PortProfile:
„All“ mit Default und Blau, „Blau“ mit nur Blau und „AP-Port“ mit Default und Blau

Unifi Controllerversion ist: 7.3.76.

Viele Grüße

Holger

2

Hi Holger,

hast du zufälligerweise die Switche auf die neuste Firmware upgedated? Danach hatte ich ein ähnlich gelagertes Problem was unser gesamtes Netzwerk für einen Tag lahm gelegt hat. Ein Downgrade der Firmware hat das Problem sofort beseitigt. Habe dann am WE nochmal auf die neue Firmware upgedated um das Problem weiter zu untersuchen. Ob das jetzt ein neues Feature oder ein Fehler in der Firmware ist habe ich nicht herausfinden können. Beseitigt habe ich das Problem, in dem ich den einen Port im Netzwerk gefunden habe, der das Problem verursacht und da dann Port isolation eingeschaltet habe.
Vielleicht hilft dir das was?

LG und bis morgen

Dominik

3

Hi Holger,

ich habe bisher nur Rechner in der NoProxyGruppe probiert, die können alle die OPNSense in Blau pingen. Für „normale“ Clients ist es grad zu spät. Liegt es vielleicht daran, dass es im Seminar kein Proxy gibt? Ok, ich hätte nicht-NoProxyGeräte:
Von einem Unifi-AP kann ich diese Adresse nicht pingen (keine no-proxy-gruppe).

Alle Switche stromlos gemacht (auch die kleinen, die irgendwo unter einem Tisch hängen…) hast Du bestimmt? Ich hatte das im Sommer, ein Switch war defekt und das ganze Netz laggte…

Angebot: Ich kann Dir ein paar Unifi-Switche (24-Port POE PRO und zwei bis drei 48-Port-POE normal) ausleihen? Dann hast du nur unifi und kannst vielleicht besser gucken? Bei uns wird grade ein Teil saniert und ich hab die rumstehen…

Ich hatte auch immer wieder Abbrüche von Clients in Blau (WPA2-Enterprise). Nachdem ich das Captive-Portal, das auch auf blau lief, abgeschaltet hatte, weil es keiner nutzte, wurde es besser aber noch nicht gut. Wie es gerade ist, weiß ich nicht. Es beklagt sich keiner, insofern hoffe ich das beste…

LG
Max

4

Hallo Dominik,

hast du zufälligerweise die Switche auf die neuste Firmware upgedated?
Danach hatte ich ein ähnlich gelagertes Problem was unser gesamtes
Netzwerk für einen Tag lahm gelegt hat. Ein Downgrade der Firmware hat
das Problem sofort beseitigt. Habe dann am WE nochmal auf die neue
Firmware upgedated um das Problem weiter zu untersuchen. Ob das jetzt
ein neues Feature oder ein Fehler in der Firmware ist habe ich nicht
herausfinden können. Beseitigt habe ich das Problem, in dem ich den
einen Port im Netzwerk gefunden habe, der das Problem verursacht und da
dann Port isolation eingeschaltet habe.
Vielleicht hilft dir das was?

… das kann es gewesen sein: updates mach ich immer mal … das könnte
vor 10 Tagen gewesen sein …
Dann werd ich mal Downgraden …
Tausend Dank :slight_smile:

LG

Holger

5

Hallo,

hast du zufälligerweise die Switche auf die neuste Firmware upgedated?
Danach hatte ich ein ähnlich gelagertes Problem was unser gesamtes
Netzwerk für einen Tag lahm gelegt hat. Ein Downgrade der Firmware hat
das Problem sofort beseitigt.

… leider nicht bei mir.
War bei dir auch ein Port geblockt wegen STP? Also das „Blockzeichen“ drauf?

Ich hab erst von 6.4 (aktuelle FW) auf 6.3 downgeraded.
Als das ncihts half hab ich 6.2 drauf gemacht: alles hat zu nix geführt …

Ich hab auch wild GBICs und Switches getauscht, manchmal sogar
Glasfaserleitungen (wir haben 8 pro Schrank).

Jetzt ist nur ein Switch noch da: an dem geht alles.
Der Versorgt 5 APs und bespielt damit ca. 1/3 der Einrichtung …

LG

Holger

6

Hallo Holger,

dann wieder einzeln die Switche ohne APs dranhängen, dann die APs einzeln an die Switche.

Wetten, dann läuft wieder alles einwandfrei, ohne einen Fehler gefunden zu haben.
Schöne Grüße von Murphy

Ach nee, ich heiß ja Thorsten :wink:

7

Hallo Thorsten,

Jetzt ist nur ein Switch noch da: an dem geht alles.
Der Versorgt 5 APs und bespielt damit ca. 1/3 der Einrichtung …

dann wieder einzeln die Switche ohne APs dranhängen, dann die APs
einzeln an die Switche.

Wetten, dann läuft wieder alles einwandfrei, ohne einen Fehler gefunden
zu haben.
Schöne Grüße von Murphy

ja, aber Murphy hat mir gesagt, dass er den Trick schon kennt und hat
ihn ignoriert … er ist halt schon ein Schnuckelchen.

Die Switches wurden beide schon resettet und sie waren letzte Nacht von
18:30 bis Heute Morgen sogar stromlos … hat alles nix gebracht.
Die APs waren auch shcon alle mal weg und sogar neue ganz frische dran.
Gerade ist nur einer der beiden betroffenen an und der Blockt den Port
munter weiter (seine APs sind alle aus, weil ich PoE auf den Ports
abgeschlatet hab: sonst rennen die Leute in der WLAN das nicht geht …

Ich bin gerade dabei die (wohl neuere) Defaulteinstellung von
Spanningtree von RSTP auf STP zurück zu stellen: aber das geht nur im
neuen Interface in Networks unter global Settings und jetzt kann ich
nicht sehen, ob das am Switch ankommt.

Hier hat jemand gesagt, dass es geholfen hat von 32000 auf 4096 zurück
zu stellen: nur wo?

https://community.ui.com/questions/New-US-8-60W-blocked-by-existing-switch-/41cdd142-ddda-405a-8dd7-ffdef5d23f98

… hab ich noch nicht gefunden.

… so langsam hab ich das Gefühl, dass es mein erstes mal die neue
Oberfläche Einschalten war, was das Problem verursacht hat. Da wurden
dann wohl andere Defaults gesetzt.
Und jetzt kann ich den Mist nicht bearbeiten nur Anschauen … himmel …

LG

Holger

8

Nein, bitte nicht. Bei RSTP bleiben. Das ist nicht der Grund.

Das ist die Bridge ID, aus der die root Bridge bestimmt wird.

ZP — Unify-Sw — HP-Sw_Svr – Fw-blau
ZP_U-Sw_ HP-Sw2 _| |_HP-Sw3_U-Sw_ZP
Richtig so ?
blocked HP-Sw2-HP-Sw_Svr und HP-Sw3-HP-Sw_Svr ?
Schleifen gibts hier nicht aber Wächter an den Schnittstellen der HP_Swe. Sind die Switchverbindungen access oder trunk? Falls access, sind root-guard und / oder bpdu-guard aktiv?

9

Hallo WeitDahinten,

Das ist die Bridge ID, aus der die root Bridge bestimmt wird.

ZP — Unify-Sw — HP-Sw_Svr – Fw-blau
ZP_U-Sw_ HP-Sw2 _| |_HP-Sw3_U-Sw_ZP
Richtig so ?
blocked HP-Sw2-HP-Sw_Svr und HP-Sw3-HP-Sw_Svr ?
Schleifen gibts hier nicht aber Wächter an den Schnittstellen der
HP_Swe. Sind die Switchverbindungen access oder trunk? Falls access,
sind root-guard und / oder bpdu-guard aktiv?

hihi: so kommen sich wohl meine Schüler im Matheunterricht vor, wenn ich
in der 7ten die INhalte der 12ten UNterrichte :slight_smile:

… ich hab aber (aus gegebenem Anlass :wink: ) Heute Mittag ein wenig über
STP gelesen und bin sehr daran interessiert mehr zu lernen.

Dafür müßtest du aber ein wenig mehr erklären.
Was ich verstehe: STP beobachtet einen Port und blockt den Traffic, wenn
es meint, dass da was falsch läuft.
Ich habe auch verstanden, dass es einen „root“ gibt: also einen Switch,
der die Schirmherrschaft hat, und wenn man keinen benannt hat, dann ist
das der mit der niedrigsten MAC Adresse? Irgend sowas hab ich gelesen
(kam mir komisch vor, aber irgend wie muss ja entschieden werden, wer
Chef ist).
Dass die Switches miteinander über sowas reden ist eine feine Sache.

Übrigens: da auf STP zurückstellen nichts gebracht hat und auch das
runterstellen auf 4096 nicht, hab ich Heute Mittag schon wieder auf RSTP
zurück gestellt: ich will das ja haben: das ist eine super Funktion
(wenn sie nicht gerade das Netz lahm legt :slight_smile: ).

Also reden wir mal darüber:

ZP — Unify-Sw — HP-Sw_Svr – Fw-blau

was ist ZP?

ZP_U-Sw_ HP-Sw2 _| |_HP-Sw3_U-Sw_ZP
Richtig so ?

… möglich…
Ich hab aber auch oft umgesteckt … ich bin da ja schon eine Weile dran.
Seit Gestern Nachmittag waren gar keine HP Switches mehr involviert: ich
hab sie alle ersetzt … durch was so rum lag (zwei Cisco und ein TP Link).

Es war Jahrelang so (vom Server aus, also seiner Blauen Netzwerkkarte):

     GBIC --> HP3  -> unifi3
     >

Srv → HP1 → GBIC → HP2 → unifi2
> >
unifi1

Vom HP im Serverraum gingen also zwei Glasfaserleitungen zu zwei
Switchschränken in verschiedenen Gebäuden und in denen war dann je ein
unifi dazu der mit Kupfer zum HP verbunden war.

Genau so wurde das grüne LAN in die Switchschränke verteilt: aber mit
eigenen Switches: komplett getrennt.
In die unifs kam auf Port1 also grün rein und auf Port2 Blau.

blocked HP-Sw2-HP-Sw_Svr und HP-Sw3-HP-Sw_Svr ?

am Ende (es wurde immer schlimmer …) haben alle unifis ihren zweiten
Port, also den der an Blau hing, geblockt und das nicht mehr sporadisch
sondern durchgehend.
Zu dem Zeitpunkt waren schon keine HPs mehr im blauen Netz.

Schleifen gibts hier nicht aber Wächter an den Schnittstellen der
HP_Swe. Sind die Switchverbindungen access oder trunk? Falls access,
sind root-guard und / oder bpdu-guard aktiv?

die HPs sind unkonfiguriert: die manage ich nicht, ich verwende sie
„dumm“: hier rein da raus … Ich habe auch nicht das Wissen um die
Ports korrekt zu konfigurieren: ich kann VLANs machen und die verteilen…
Aber ich will sehr gerne lernen: ich will nämlich sehr gerne
herausbekommen, was da los war und warum. Es lief ja seit Jahren ohne
Probleme: warum haben die unifi plötzlich den triller bekommen? Und
sahen auch nach kompletten resets und downgrades der Firmware es noch
als angebracht an, die Ports munter weiter zu sperren?

Jetzt scheint die Situation erstmal befriedet: aber abwarten, was morgen
passiert, wenn nicht nur 50 Geräte im Netz sind, sondern 300.

LG

Holger

10

Hallo Max,

vielen Dank für die Switches.
Max hat mir Heute 3 große unifi Switches ausgeliehen.
Mit denen habe ich alles im WLAN ersetzt, weil die alle SFP Einschübe haben.
ALso verteile ich jetzt Grün und Blau über die Glasfaserports der unifi
Switches.
Mit Grün und Blau richtig verbunden ist nur noch der Switch im Serverraum.
Grün ist das native LAN und Blau ist VLAN10.
Das funktioniert jetzt: und ich sehe auch keine geblockten Ports mehr.
Mal sehen was MOrgen passiert, wenn wieder richtig Traffic ist …

Ach ja: die zwei großen Switches haben noch eine 5er Firmware drauf:
erstmal fass ich das aber nicht an …
Der kleiner hat beim Adopt upgedatet, was ich nciht wollte: gefragt
wurde ich bei dem aber nicht … egal: gerade sieht es gut aus.

LG

Holger

11

Hallo Holger,

das mit dem FW-Upgrade ist zum Teil normal: Der Unifi-Controller hat eine Mindestanforderung an die Firmware. Wenn sie darunter liegt, ist es nicht möglich zu adopten. Früher musste man dann von Hand upgraden, das haben sie jetzt nutzerfreundlicher gemacht.

Was mir gerade einfällt: Wenn man STP angeschalten hat: Ist es dann nicht notwendig, dass auch alle Switche dieses Protokoll können? Vielleicht war das das Problem, dass die HP einfach nicht verstanden haben, was da gesprochen wird und gestört haben? Im Unterricht ist das bei mir öfters so :wink:

LG
Max

12

Hallo Max,

Was mir gerade einfällt: Wenn man STP angeschalten hat: Ist es dann
nicht notwendig, dass auch alle Switche dieses Protokoll können?
Vielleicht war das das Problem, dass die HP einfach nicht verstanden
haben, was da gesprochen wird und gestört haben? Im Unterricht ist das
bei mir öfters so :wink:

… das glaube ich nicht aus zwei Gründen:

  1. die Konstellation lief Jahrelang ohne Probleme
  2. die STP Einstellung wurde nie geändert: die stand schon immer auf RSTP

LG

Holger

13

Hallo, Holger,
hast Du Deine Switch-Probleme schon lösen können?
L.G.
Christoph