Achtung: Fehlfunktion durch ablaufende Sicherheitszertifikate bei den Dell OS10 Switches

Dell hat gerade seine Kunden gerade per E-Mail angeschrieben und vor einem besonders heimtückischen Problem bei den OS10 Switches gewarnt. Bestimmte Versionen von OS10 (beginnend mit 10.4.1.4 bis 10.5.0.7 P3) enthalten ein Standardzertifikat, das für VLT Peer Establishment und die SFS-Cluster-Bildung verwendet wird. Und genau dieses Standardzertifikat läuft am 27. Juli 2021 ab. Dell beschreibt im Knowledge Artikel 000184027, wie man das Ablaufen des Zertifikates verhindern kann. In den meisten Konstellationen wird ein Update des OS10 auf eine aktuelle Version empfohlen. Ein Update von OS10 verursacht einen Netzwerkausfall. Deshalb sollten betroffenen diesen Artikel unbedingt zu Ende lesen.

Wenn das Zertifikat abläuft kann es zu massiven Fehlfunktionen bei betroffenen Switches kommen, sofern auf diesen VLT Peer Establishment und die SFS-Cluster-Bildung verwendet wird. Es könnte z.B. zu einem nachfolgenden Switch-Neustart, einer Link-Flap-Lösung, einer Operator-ausgelösten Konfigurationsänderung, VMotion und anderen Netzwerkereignissen kommen.

Aktualisierung von OS10 löst das Problem

Auf den von mir betreuten Switchen war die OS10 Version 10.5.0.1P1 installiert. Somit waren diese betroffen. Um das Problem zu lösen, empfiehlt Dell ein Update auf die aktuelle OS10 Version. Deshalb habe ich die Switche auf die OS10 Version 10.5.2.3 aktualisiert. Wie das im einzelnen geht, habe ich bereits in dem Blogartikel Dell OpenNetwork Switches mit OS10 beschrieben. Wer in der gleichen Situation wie ich ist, kann dort eine Anleitung für das Update der Switche finden.

Netzwerkausfall bei der Aktualisierung der Switche

Da Ich VLT Peer Establishment über jeweils zwei Switche verwende, wähnte ich mich vor einem Netzwerkausfall in Sicherheit. Genau dazu ist die VLT Technik ja schließlich gedacht. Wenn ein Switch ausfällt sollte der andere ohne Ausfall übernehmen. Dies war aber leider ein Trugschluss. Obwohl der Versionssprung von 10.5.0.1P1 auf 10.5.2.3 keine großen Änderungen suggeriert, wurde die Version des VLT Protokolls von Version 2.3 auf die Version 3.1 angehoben. Diese Versionen scheinen nicht kompatibel zu sein und es kommt nach dem Update des ersten Switches zu einer Netzwerkstörung, bis der zweite aktualisiert wurde.

Was sagt der Dell Support dazu?

Ich habe nach auftreten der Störung sofort den Support von Dell angerufen. Da kein Support-Mitarbeiter in deutscher Sprache verfügbar war, wurde zwar sofort aber auf englisch sehr freundlich beraten. Leider erhielt ich aber nur die Aussage, dass die Versionen der VLT Protokolle eben nicht kompatibel sind und man mit diesem Netzwerkausfall während dem Update eben leben müsse. Der Support versprach aber auch, dass sich nochmal ein Spezialist melden würde, der uns zu dem Update berät. Deshalb haben ich die Updates zunächst unterbrochen und werde noch mal ein paar Tage abwarten, ob sich jemand meldet. Vielleicht gibt es ja doch noch eine Lösung ohne Netzwerkausfall. Sofern dies der Fall sein sollte, werde ich den Blogeintrag hier entsprechend ergänzen.

Update: Peter gab mir in den Kommentaren den Tipp, das man den Upgradepfad beachten muss. Wenn man zwischenzeitlich auf die Version 10.5.0.6 und erst danach auf die Version 10.5.2.3 aktualisiert, soll es keinen Ausfall geben.

Persönliches Fazit

Wir hatten uns für die hochpreisigen Switche von Dell entschieden, um mit VLT genau solche Ausfälle zu vermeiden. Deshalb bin ich aktuell etwas enttäuscht. Nach gerade mal zwei Jahren, kommt es durch ein kurzfristig notwendiges Update zu genau einem solchen Ausfall. Ansonsten haben uns die Switche bis jetzt aber noch nicht im Stich gelassen und wir sind sehr zufrieden mit ihnen. Insofern hoffe ich, dass dies ein unglücklicher Einzelfall war, der sich so schnell nicht wiederholen wird.

Dell OpenNetwork Switches mit OS10

Dell hat im Jahre 2011 die Firma Force10 Networks übernommen. Seit dieser Zeit sind im Portfolio von Dell auch Enterprise Switches zu finden. Seit 2016 laufen einige dieser Switches mit dem auf Debian Linux basierenden OS10.

Das OS10 verwendet einen Standard-Linux-Kernel und bietet Zugriff auf die Netzwerkhardware über das Switch Abstraction Interface (SAI) des Open Compute Project. Ein Projekt das neben Dell von Microsoft, Facebook, Broadcom, Intel und Mellanox unterstützt und verwendet wird. Damit müssen sich Entwickler nicht mehr um die tatsächlich verwendete Switching-Hardware kümmern und können auf offene Standards aufsetzen.

Das OS10 System ist inzwischen sehr ausgereift und bietet nahezu den gleichen Funktionsumfang wie das vorherige OS9. Grund genug für mich mir die OS10 Switches in den letzten Monaten näher anzusehen und bei ersten Projekten einzusetzen. Zumal diese Geräte preislich sehr attraktiv sind.

Meine Erfahrungen in der Praxis mit den Switches sind sehr positiv und ich kann sie durchweg empfehlen. Allerdings sind die Dokumentationen und Updates bei Dell etwas schwierig zu finden. Deshalb schreibe ich mir hier einige wichtige Informationen und Links mal zusammen, um diese immer griffbereit zu haben.

Downloads der Updates für OS10 und Firmware

Über die Dell Webseite sind die Updates und die Firmware nur schwer zu finden. Leichter findet man die Updates in dem sogenannten Dell Digital Locker. Wenn man sich dort mit seinem Benutzer anmeldet, finden man dort die Updates von OS10, sofern man Produkte mit einem laufenden Wartungsvertrag hat, auf denen OS10 läuft.

Eine aktuellere Firmware oder ein aktuelleres BIOS findet man wiederum am einfachsten in der Rubrik Treiber und Downloads auf der Dell Webseite über den Service-Tag oder die genaue Modellbezeichnung des Switches.

Zugriff auf die Konsole

Die Standardeinstellungen bei dem Zugriff auf die Konsole sind wie folgt:

  • 115200 baud rate
  • No parity
  • 8 data bits
  • 1 stop bit
  • No flow control

Sichern der Konfiguration des Switches

Die Konfiguration des Switches kann mit copy über diverse Protokolle gesichert werden. Ich bevorzuge scp. Wichtig ist, dass der Pfad absolut angegeben wird. Bei einem Mac mit der IP-Adresse 192.168.140.157, dem User kristian und dem Passwort test muss man dann den folgenden Befehl eingeben.

copy running-configuration scp://kristian:test@192.168.140.157/Users/kristian/switch-maschen-23

Update des OS10

Ein Update des OS10 kann mit dem Befehl „image download“ durchgeführt werden. Wenn das Update von dem zuvor beschriebenen MacBook aus geladen werden soll und das Image des OS10 den Namen „PKGS_OS10-Enterprise-10.5.0.1P1.433stretch-installer-x86_64.bin“ hat, benötigt man den folgenden Befehl.

image download scp://kristian:test@192.168.140.157/Users/kristian/Downloads/PKGS_OS10-Enterprise-10.5.0.1P1.433stretch-installer-x86_64.bin

Um den Downloadstatus anzuzeigen, folgenden Befehl ausführen.

show image status

Um die heruntergeladene Images anzuzeigen, folgenden Befehl ausführen.

dir image

Zur Installation des heruntergeladenen Images, den folgenden Befehl benutzen.

image install image://PKGS_OS10-Enterprise-10.5.0.1P1.433stretch-installer-x86_64.bin

Der Fortschritt der Installation kann wieder mit folgendem Befehl „show image status“ kontrolliert werden. Nach erfolgreicher Installation muss die Boot Partition geändert werden.

boot system standby

Der Status des Bootimages kann mit folgendem Befehl abgefragt werden.

show boot detail

Sobald das Update erfolgreich ausgeführt wurde, muss der Switch zum Schluss noch einem neu gestartet werden. Dies geschieht mit dem Befehl „reload“. Nach dem Neustart sollte dann die neue OS10 Version gebootet sein. Dies kann mit dem Befehl „show version“ überprüft werden.

Einrichtung einer vlt Domain

Um eine vlt Domain 2 auf einem Switch mit der IP-Adresse „192.168.140.83 einzurichten, der über das Interface „ethernet1/1/1“ und „ethernet1/1/2 mit einem Switch mit der IP-Adresse „192.168.140.84“ verbunden ist, benötigt man die folgenden Konfigurationszeilen.

vlt-domain 2
 backup destination 192.168.140.84
 discovery-interface ethernet1/1/1-1/1/2

Um ein vlt mit dem vlt-port-channel 3 für einen Trunk einzurichten gibt man den folgenden Befehle ein.

interface port-channel3
 description "Name des vlt"
 no shutdown
 switchport mode trunk
 switchport access vlan 3002
 mtu 9216
 vlt-port-channel 3

Um z.B. das Interface „ethernet1/1/3“ diesem vlt hinzuzufügen benötigt man die folgenden Befehle.

interface ethernet1/1/3
 no shutdown
 channel-group 3 mode active
 no switchport
 flowcontrol receive off

Auf dem zweiten Switch muss im Anschluss natürlich die gleiche Konfiguration gemacht werden, wobei die IP-Adresse in der vlt Domain entsprechend angepasst werden muss.

Um im Anschluss die eingerichtete vlt 2 Domain anzuzeigen und den Erfolg zu kontrollieren gibt man den folgenden Befehl ein.

show vlt 2 vlt-port-detail

Stromverbrauch bei Switchen mit 8 Ports

Gerade bei Switchen spielt der Stromverbrauch eine entscheidende Rolle, da sie normaler Weise rund um die Uhr laufen. Bei kleinen Switchen können die Kosten des jährlichen Stromverbrauchs die Kosten der Anschaffung schnell übersteigen. Aus diesem Grund habe ich den Stromverbrauch von einigen gängigen Switchen mit 8 Ports ermittelt.

Hersteller Model Verbrauch (Ohne angeschlossene PCs)
3Com OfficeConnect Dual Speed Hub 8 (8 Ports) 9,4 W
Allnet ALL8445 Ver.B1 (5 Ports) 2,6 W
Netgear FS108 v2 (8 Ports) 1,5 W
Linksys (Cisco) (8 Ports) W