Achtung: Fehlfunktion durch ablaufende Sicherheitszertifikate bei den Dell OS10 Switches

Dell hat gerade seine Kunden gerade per E-Mail angeschrieben und vor einem besonders heimtückischen Problem bei den OS10 Switches gewarnt. Bestimmte Versionen von OS10 (beginnend mit 10.4.1.4 bis 10.5.0.7 P3) enthalten ein Standardzertifikat, das für VLT Peer Establishment und die SFS-Cluster-Bildung verwendet wird. Und genau dieses Standardzertifikat läuft am 27. Juli 2021 ab. Dell beschreibt im Knowledge Artikel 000184027, wie man das Ablaufen des Zertifikates verhindern kann. In den meisten Konstellationen wird ein Update des OS10 auf eine aktuelle Version empfohlen. Ein Update von OS10 verursacht einen Netzwerkausfall. Deshalb sollten betroffenen diesen Artikel unbedingt zu Ende lesen.

Wenn das Zertifikat abläuft kann es zu massiven Fehlfunktionen bei betroffenen Switches kommen, sofern auf diesen VLT Peer Establishment und die SFS-Cluster-Bildung verwendet wird. Es könnte z.B. zu einem nachfolgenden Switch-Neustart, einer Link-Flap-Lösung, einer Operator-ausgelösten Konfigurationsänderung, VMotion und anderen Netzwerkereignissen kommen.

Aktualisierung von OS10 löst das Problem

Auf den von mir betreuten Switchen war die OS10 Version 10.5.0.1P1 installiert. Somit waren diese betroffen. Um das Problem zu lösen, empfiehlt Dell ein Update auf die aktuelle OS10 Version. Deshalb habe ich die Switche auf die OS10 Version 10.5.2.3 aktualisiert. Wie das im einzelnen geht, habe ich bereits in dem Blogartikel Dell OpenNetwork Switches mit OS10 beschrieben. Wer in der gleichen Situation wie ich ist, kann dort eine Anleitung für das Update der Switche finden.

Netzwerkausfall bei der Aktualisierung der Switche

Da Ich VLT Peer Establishment über jeweils zwei Switche verwende, wähnte ich mich vor einem Netzwerkausfall in Sicherheit. Genau dazu ist die VLT Technik ja schließlich gedacht. Wenn ein Switch ausfällt sollte der andere ohne Ausfall übernehmen. Dies war aber leider ein Trugschluss. Obwohl der Versionssprung von 10.5.0.1P1 auf 10.5.2.3 keine großen Änderungen suggeriert, wurde die Version des VLT Protokolls von Version 2.3 auf die Version 3.1 angehoben. Diese Versionen scheinen nicht kompatibel zu sein und es kommt nach dem Update des ersten Switches zu einer Netzwerkstörung, bis der zweite aktualisiert wurde.

Was sagt der Dell Support dazu?

Ich habe nach auftreten der Störung sofort den Support von Dell angerufen. Da kein Support-Mitarbeiter in deutscher Sprache verfügbar war, wurde zwar sofort aber auf englisch sehr freundlich beraten. Leider erhielt ich aber nur die Aussage, dass die Versionen der VLT Protokolle eben nicht kompatibel sind und man mit diesem Netzwerkausfall während dem Update eben leben müsse. Der Support versprach aber auch, dass sich nochmal ein Spezialist melden würde, der uns zu dem Update berät. Deshalb haben ich die Updates zunächst unterbrochen und werde noch mal ein paar Tage abwarten, ob sich jemand meldet. Vielleicht gibt es ja doch noch eine Lösung ohne Netzwerkausfall. Sofern dies der Fall sein sollte, werde ich den Blogeintrag hier entsprechend ergänzen.

Update: Peter gab mir in den Kommentaren den Tipp, das man den Upgradepfad beachten muss. Wenn man zwischenzeitlich auf die Version 10.5.0.6 und erst danach auf die Version 10.5.2.3 aktualisiert, soll es keinen Ausfall geben.

Persönliches Fazit

Wir hatten uns für die hochpreisigen Switche von Dell entschieden, um mit VLT genau solche Ausfälle zu vermeiden. Deshalb bin ich aktuell etwas enttäuscht. Nach gerade mal zwei Jahren, kommt es durch ein kurzfristig notwendiges Update zu genau einem solchen Ausfall. Ansonsten haben uns die Switche bis jetzt aber noch nicht im Stich gelassen und wir sind sehr zufrieden mit ihnen. Insofern hoffe ich, dass dies ein unglücklicher Einzelfall war, der sich so schnell nicht wiederholen wird.

2 Antworten auf „Achtung: Fehlfunktion durch ablaufende Sicherheitszertifikate bei den Dell OS10 Switches“

  1. Hallo Kristian,
    ich habe gestern meine Switches von 10.4.2.2 auf die neue Version gebracht. Es gab in meinem Netzwerk dank der VLT-Kopplung zweier Switche keine Ausfälle – max. zwei Pings gingen verloren.
    ABER: Man muss bei diesen Switchen unbedingt den Upgrade-Pfad beachten! Meine (und auch deine) Version gehen NICHT direkt auf die aktuelle Version zu heben. Man muss eine Zwischenversion (im Moment die 10.5.0.6) installieren. Ist also zweimal Aufwand, dafür ohne Ausfall. Sollte der Support eigentlich wissen… 🙁
    https://dl.dell.com/topicspdf/smrtfab-os10-upgrade-ug_en-us.pdf (Seite 14)

  2. Hallo Peter,

    danke für den Tipp. Hatte mir bei den anderen Switches jetzt so beholfen, dass ich beide aktualisiert und dann nacheinander neu gestartet habe. Wenn man den zweiten Switch genau dann startet, wenn der erste gerade wieder da ist, gehen auch nur wenige Pings verloren. Dein Vorschlag ist aber natürlich viel besser und der Upgradepfad ist mir doch tatsächlich entgangen. Werde das bei dem nächsten Switch-Upgrade aber genau prüfen 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.