LACP-Troubleshooting: Misconfig, unidirektional oder Hashing-Problem?

LACP-Troubleshooting ist in der Produktion oft der schnellste Weg, um „mysteriöse“ Paketverluste, asymmetrische Pfade oder unerklärliche Bandbreitenengpässe zu erklären. Link Aggregation wirkt auf den ersten Blick simpel: Mehrere physische Links werden zu einem logischen Bündel (LAG/Port-Channel) zusammengefasst. In der Praxis entstehen Störungen jedoch in drei sehr unterschiedlichen Klassen, die sich im Incident leicht verwechseln lassen: erstens klassische Misconfiguration (z. B. LACP vs. statisches Bündel, VLAN/MTU inkonsistent, Member falsch gepatcht), zweitens unidirektionale Fehler (ein Link sendet, aber empfängt nicht oder umgekehrt), und drittens Hashing-Probleme (Lastverteilung ist technisch korrekt, aber die Traffic-Charakteristik führt zu Hotspots auf einzelnen Membern). Wer diese drei Failure Modes nicht sauber trennt, greift schnell zu riskanten Maßnahmen wie „Bündel neu bauen“ oder „Member rausziehen“, was Rekonvergenzen auslösen und den Blast Radius vergrößern kann. In diesem Artikel erhalten Sie ein praxistaugliches Vorgehen für LACP-Troubleshooting: schnelle Triage, typische Symptome, belastbare Beweise und sichere Mitigationsschritte – so, dass Ihr NOC auch unter Zeitdruck reproduzierbar entscheidet, ob es sich um Misconfig, unidirektionale Störung oder ein Hashing-/Traffic-Problem handelt.

Grundlagen: Was LACP im Betrieb tatsächlich tut

LACP (Link Aggregation Control Protocol) verhandelt zwischen zwei Systemen, welche physische Interfaces zu einem logischen Aggregat gehören und unter welchen Parametern sie gemeinsam forwarden dürfen. Entscheidend ist: Ein LAG ist nur dann stabil, wenn alle Member konsistent sind (gleiche Geschwindigkeit/Duplex, MTU, VLAN-Handling, Porttyp, und – je nach Plattform – Kompatibilitätsregeln). LACP verhindert viele, aber nicht alle Fehlkonfigurationen. Insbesondere kann ein Bündel „up“ wirken, während einzelne VLANs fehlen, einzelne Member unidirektional defekt sind oder das Hashing einzelne Links überlastet.

• LAG/Port-Channel: logisches Interface, über das Switching/Routing und VLANs konfiguriert werden sollten.
• Member: physische Interfaces, die dem LAG zugeordnet sind.
• Verhandlung: LACP-PDUs bestätigen Zugehörigkeit und Parameterkompatibilität.
• Lastverteilung: erfolgt per Hash über Flow-Attribute, nicht per „Round Robin“.

Als Standardreferenz für LACP und Link Aggregation dient IEEE 802.1AX. Für eine schnelle Terminologieeinordnung ist auch der Überblick zu Link Aggregation hilfreich.

Die drei Hauptklassen von LACP-Problemen: Einordnung vor Aktion

Bevor Sie kommandieren, tauschen oder neu konfigurieren, sollten Sie das Problem in eine Klasse einsortieren. Das reduziert unnötige Changes und führt schneller zur Root Cause.

• Misconfig: Parameter passen nicht zusammen oder sind falsch umgesetzt (Mode, VLANs, MTU, LAG-Key, falsches Patchen, falsche Gegenstelle).
• Unidirektional: ein Member hat nur Rx oder nur Tx (häufig Optik, Faser, Patchpanel, defekter Port, falsche Polarität).
• Hashing/Traffic: LACP ist korrekt, aber ein Flow/Trafficprofil erzeugt Ungleichverteilung oder Hotspots.

Schnelle Triage in 5 Minuten: Decision Tree fürs NOC

Dieses Kurzverfahren ist bewusst so gebaut, dass es ohne Spezialtools funktioniert und auf den meisten Plattformen mit Standardtelemetrie abbildbar ist.

• 1) Ist das Aggregat logisch „up“ und sind alle erwarteten Member „in sync“? Wenn nein: Misconfig oder Unidirektional sehr wahrscheinlich.
• 2) Sind Rx/Tx-Counter pro Member plausibel symmetrisch? Wenn nein: unidirektional oder physische Störung priorisieren.
• 3) Sind Drops/Discards nur auf einem Member hoch, während andere ruhig sind? Wenn ja: Hashing-/Hotspot oder fehlerhafter Member möglich.
• 4) Sind nur bestimmte VLANs/Services betroffen? Wenn ja: VLAN-Allowed/Tagging-/MTU-Mismatch wahrscheinlich (Misconfig-Klasse).
• 5) Korreliert der Beginn mit einem Change (Patch, Profil, Firmware, Migration)? Wenn ja: Drift/Misconfig priorisieren, erst danach exotische Ursachen.

Misconfiguration: Die häufigsten LACP-Fehlkonfigurationen und ihre Symptome

Misconfigs sind die häufigste Ursache, weil LAGs oft aus Templates, manuellen Changes und Cross-Team-Übergaben entstehen. Wichtig: Viele Misconfigs sind teilweise funktionsfähig – das macht sie so tückisch.

Mode-Mismatch: LACP vs. statisch

Ein Klassiker ist „eine Seite LACP, die andere statisch“ (oft als „mode on“ oder „static“ bezeichnet). Je nach Plattform kann das Bündel dann ganz ausbleiben oder – gefährlicher – scheinbar funktionieren, aber inkonsistent forwarden. In Produktion ist „mode on“ ohne Protokollverhandlung besonders riskant, weil LACP-Sicherheitsnetze fehlen.

• Symptom: Member sind nicht alle aktiv oder wechseln, Traffic wirkt instabil, MAC-Flapping möglich.
• Beleg: LACP-Status zeigt „not in sync“ oder keine LACP-PDUs auf einer Seite.

Falsche Gegenstelle oder falsch gepatchte Member (Split-LAG)

Wenn Member eines LAGs auf unterschiedliche Gegenstellen gepatcht sind (ohne explizites Multi-Chassis-Design wie MLAG), entstehen asymmetrische Pfade und häufig MAC-Flapping. Diese Fehlerklasse sieht im Monitoring gerne wie „Loop“ oder „STP-Problem“ aus, obwohl die Ursache physisch ist.

• Symptom: MAC-Moves zwischen Trunks, sporadische Ausfälle, Traffic verteilt sich unlogisch.
• Beleg: Nachbarschaftsdaten (LLDP/CDP) zeigen unterschiedliche Gegenstellen pro Member.

VLAN- und Tagging-Inkonsistenz am Port-Channel

Ein LAG ist logisch ein Interface. Best Practice ist, VLAN-Allowed, Native VLAN/PVID und Portmodus am Port-Channel zu konfigurieren, nicht pro Member. Häufige Fehler entstehen, wenn einzelne Member abweichende VLAN-Listen haben oder wenn auf einer Seite ein VLAN ergänzt wurde, auf der anderen nicht.

• Symptom: Nur einzelne VLANs/Services betroffen, besonders bei Failover oder Hashing-Wechsel.
• Beleg: VLAN X ist auf einer Seite/Member nicht erlaubt; MAC/ARP im VLAN bleiben aus.

MTU-Mismatch und „Blackholing“ großer Frames

MTU-Probleme werden bei LAGs oft erst sichtbar, wenn bestimmte Flows (z. B. Storage, VXLAN, Replikation) größere Frames senden. Dann wirkt es wie „random packet loss“, obwohl es deterministisch ist: große Frames werden gedroppt, kleine gehen durch.

• Symptom: Kleine Pakete ok, große Pakete verlieren; bestimmte Applikationen betroffen.
• Beleg: Drops/giant/fragmentation-Indikatoren (plattformabhängig) oder wiederholbare Tests mit größeren Payloads.

Speed/Duplex/Autoneg-Inkonsistenz

LACP verlangt in der Regel konsistente physische Parameter. Ein einzelner Member mit abweichender Geschwindigkeit oder Autoneg-Fehlern kann instabil werden, aus dem Bundle fallen oder unidirektionale Symptome erzeugen.

• Symptom: Ein Member flappt im LAG, „collecting/distributing“ wechselt, erhöhte Errors.
• Beleg: Interface-Status zeigt abweichende Speed/Duplex oder Autoneg-Fails.

Unidirektional: So erkennst du One-Way-Failures sicher

Unidirektionale Fehler sind besonders gefährlich, weil der Link physisch „up“ bleiben kann. Ein Member sendet z. B. weiterhin Licht, empfängt aber nichts (oder umgekehrt). In einem LAG kann das je nach Hashing dazu führen, dass nur manche Flows brechen. Typische Ursachen sind Optikprobleme, falsche Faserpolarität, verschmutzte Stecker, defekte Patchkabel oder ein Port, dessen Rx/Tx-Pfad gestört ist.

• Symptom: Rx/Tx-Counter pro Member stark asymmetrisch (z. B. Tx steigt, Rx bleibt nahezu konstant).
• Symptom: LACP-PDUs gehen raus, kommen aber nicht zurück (oder umgekehrt), Member bleibt „out of sync“.
• Symptom: Bestimmte Richtungen funktionieren (Client→Server), die Gegenrichtung bricht.

Beweisführung mit Counter-Symmetrie (MathML)

RxTxAsymmetrie = |RxPPS–TxPPS| RxPPS+TxPPS

Interpretation: Je näher der Wert an 1 liegt, desto stärker ist die Asymmetrie. In stabilen, bidirektionalen Links ist der Wert über Zeitfenster meist deutlich kleiner, besonders wenn Traffic in beide Richtungen erwartet wird.

Warum LACP unidirektionale Fehler nicht immer „automatisch“ heilt

LACP erkennt viele Zustände über PDUs. Wenn PDUs aufgrund eines One-Way-Failures nur in eine Richtung durchkommen, kann ein Member in einem „halb-gültigen“ Zustand hängen – insbesondere dann, wenn die Plattform Member aufgrund lokaler Kriterien aktiv lässt. Deshalb sollten NOC-Teams unidirektionale Fehler immer als physisches Problem behandeln und nicht ausschließlich auf Protokoll-Status vertrauen.

Praktische Checks, die unidirektional schnell entlarven

• Per-Member Rx/Tx: Counter in einem festen Zeitfenster vergleichen (nicht nur absolute Werte seit Boot).
• Optik/DOM prüfen: Rx-Power auffällig niedrig oder stark schwankend; bei Kupfer: FEC/PCS-Errors (plattformabhängig).
• Nachbarschaftsprotokolle: LLDP/CDP auf dem Member sichtbar? Einseitige Sicht kann Indiz sein.
• UDLD/ähnliche Mechanismen: Wenn vorhanden, aktivieren und Events auswerten (besonders auf kritischen Uplinks).

Hashing-Problem: Wenn LACP korrekt ist, aber die Lastverteilung nicht passt

Hashing ist kein Fehler des Protokolls, sondern eine Eigenschaft der Lastverteilung: LACP verteilt typischerweise Flows, nicht einzelne Pakete. Das ist wichtig, um Reordering zu vermeiden, führt aber dazu, dass ein einzelner „Elephant Flow“ einen Member vollständig auslasten kann, während andere Links frei bleiben. Das wirkt wie „LAG liefert nicht die erwartete Bandbreite“, ist aber oft ein Traffic-/Hash-Designproblem.

• Symptom: Ein Member läuft dauerhaft nahe Line-Rate, andere sind deutlich niedriger ausgelastet.
• Symptom: Drops/Queue-Discards nur auf einem Member, während das Aggregat „noch Luft“ hat.
• Symptom: Problem tritt nur bei bestimmten Anwendungen auf (Backup, Replikation, Storage, große Transfers).

Ungleichverteilung messbar machen (MathML)

Imbalance = MaxUtil AvgUtil

Interpretation: Wenn Imbalance deutlich größer als 1 ist, deutet das auf Hotspots hin. Für viele Produktionsumgebungen ist bereits ein dauerhaftes Verhältnis von 1,5 bis 2 ein Hinweis, dass Hashing/Flow-Charakteristik relevant ist – insbesondere, wenn Drops auftreten.

Typische Hashing-Fallen in der Praxis

• Zu wenig Entropie: Hash basiert nur auf src/dst MAC oder nur auf IP; viele Flows landen auf demselben Member.
• Elephant Flows: wenige sehr große Flows dominieren; LAG skaliert nicht wie „n Links = n-fach Bandbreite“.
• Symmetrischer Traffic: Viele Flows teilen sich gleiche src/dst (z. B. NAT, Proxy, Load Balancer), Hash wird einseitig.
• L4 fehlt: Wenn Hash nicht L4-Ports berücksichtigt, können große Sessions clustern.

Sichere Maßnahmen bei Hashing-Problemen

• Hash-Algorithmus prüfen: Welche Felder nutzt die Plattform? MAC/IP/L4? Anpassung nur im Change-Fenster.
• Flow-Sicht herstellen: NetFlow/sFlow/Telemetry nutzen, um Top-Talker und Flow-Verteilung zu sehen.
• Applikationsseitig parallelisieren: Mehrere Sessions/Streams statt eines einzelnen Flows (sofern möglich).
• Kapazitätsdesign: Kritische Single-Flow-Workloads nicht allein auf LAG-Skalierung verlassen.

Beweise sammeln: Welche Daten ein gutes LACP-Troubleshooting-Ticket braucht

Damit Misconfig, unidirektional und Hashing sauber getrennt werden können, benötigen Sie reproduzierbare Fakten. Ein „LAG ist kaputt“ hilft niemandem; ein strukturiertes Ticket verkürzt dagegen MTTR und verhindert Ping-Pong zwischen Teams.

• Topologie: Geräte A/B, Port-Channel-ID, Member-Ports, Gegenstellen pro Member (LLDP/CDP).
• LACP-Status: Aggregation State (collecting/distributing), sync/actor/partner-Informationen (plattformabhängig).
• Konfig-Auszug: Mode, LACP rate, VLAN/Allowed/Native, MTU, Speed/Duplex, LAG-Key/ID.
• Per-Member Counters: Rx/Tx, Drops/Discards, Errors in einem definierten Zeitfenster.
• Traffic-Indikatoren: Top-Talker/Flows, Auslastung pro Member, Zeitpunkt der Symptome.
• Change-Korrelation: letzter Change am Link, Patch/Optik-Tausch, Firmware/Reload, Migrationsevents.

Mitigation unter Zeitdruck: Was ist „sicher“, was ist riskant?

LACP-Probleme verleiten zu drastischen Eingriffen. Dabei lässt sich der Impact oft mit minimalen, reversiblen Schritten reduzieren. Das NOC sollte vorab definieren, welche Aktionen im Incident erlaubt sind.

• Sicher: Evidenz sammeln (Status, Counter, Peer-Mapping), Hotspot-Member identifizieren, Ticket sauber füllen.
• Sicher: Einen klar defekten Member (unidirektional, hohe Errors) kontrolliert aus dem Bundle nehmen, wenn ausreichend Restkapazität vorhanden ist.
• Sicher: Bei Misconfig-Verdacht zuerst „read-only“ vergleichen (beide Seiten), dann minimal korrigieren (ein VLAN, eine MTU, ein Mode).
• Riskant: Port-Channel löschen/neu bauen während Produktion (führt zu Rekonvergenz und potenziell größerem Outage).
• Riskant: Hash-Algorithmus ad hoc ändern (kann Flow-Rebalancing und temporäre Störungen auslösen).

Prävention: Standards, die LACP-Incidents selten machen

Die meisten LACP-Störungen entstehen durch Drift und inkonsistente Templates. Prävention heißt daher: Vereinheitlichen, prüfen, und Abweichungen früh sichtbar machen.

• Port-Channel-First: VLANs, MTU und Policies gehören auf den Port-Channel, nicht auf einzelne Member.
• Template-Disziplin: standardisierte Profile für Core/Distribution/Access-LAGs, inklusive Allowed-VLAN-Strategie.
• Peer-Mapping-Audit: regelmäßiger Check, ob Member wirklich zur gleichen Gegenstelle gehen (verhindert Split-LAG).
• Drift-Erkennung: Soll-/Ist-Vergleich der LAG-Konfiguration beider Enden (inkl. VLAN/MTU/Mode).
• Physik-Guardrails: DOM/Optik-Baselines, Reinigung/Handling, klare Patchpanel-Labels.
• Hashing-Bewusstsein: Dokumentieren, welcher Hash aktiv ist und welche Workloads Single-Flow-dominant sind.

Outbound-Links für Standards und Vertiefung

• IEEE 802.1AX als Standardreferenz für Link Aggregation und LACP-Grundlagen.
• Link Aggregation – Überblick zur schnellen Einordnung von Begriffen, LAG-Varianten und Lastverteilung.
• IEEE 802.1Q für VLAN- und Trunking-Grundlagen, relevant bei Allowed-VLAN- und Tagging-Problemen auf Port-Channels.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.