Verständnissfrage: Broadcast-Sturm im VLAN auch auswirkung auf andere?
Hallo allerseits, mir schwebt da eine frage im Kopf wo ich die Antwort dazu nicht so wirklich weiß bzw. mir ableiten kann, und zwar:
Ein HyperV Server mit 30 VMs ist mit einer einzelnen 10G Netzwerkkarte mit dem CoreSwitch verbunden (oder meinetwegen zwei 10G karten an je einem Switch zwecks Nic Teaming/LoadBalancing).
Es gibt jetzt sagen wir mal 10 VLANs die an die unterschiedlichen VMs weitergereicht werden und an irgendwelchen Switchen als Native Port (Untagged) "rausgeführt" werden wo halt Clients dran stecken.
Der Trunk-Port beim Switch der den HyperV Verbindet hat halt logischerweise alle VLANs als Tagged.
Was Passiert jetzt aber, wenn es in einem der VLANs einen Broadcast Sturm gibt, weil z.B: jemand in seiner Abteilung einen einfachen Miniswitch angesteckt hat und da nen Loop eingebaut hat - der Abteilungsswitch aber keine Erkennung dazu hat.
Dann kommen ja an dem Trunk-Uplink Port zum HyperV Server ja auch massig Datenpakete an...würden diese nicht auch das Physische Interface vom Server und den Switch selber überlasten, sodass sämtliche andere VLAN Netze in Mitleidenschaft gezogen werden?
Ein HyperV Server mit 30 VMs ist mit einer einzelnen 10G Netzwerkkarte mit dem CoreSwitch verbunden (oder meinetwegen zwei 10G karten an je einem Switch zwecks Nic Teaming/LoadBalancing).
Es gibt jetzt sagen wir mal 10 VLANs die an die unterschiedlichen VMs weitergereicht werden und an irgendwelchen Switchen als Native Port (Untagged) "rausgeführt" werden wo halt Clients dran stecken.
Der Trunk-Port beim Switch der den HyperV Verbindet hat halt logischerweise alle VLANs als Tagged.
Was Passiert jetzt aber, wenn es in einem der VLANs einen Broadcast Sturm gibt, weil z.B: jemand in seiner Abteilung einen einfachen Miniswitch angesteckt hat und da nen Loop eingebaut hat - der Abteilungsswitch aber keine Erkennung dazu hat.
Dann kommen ja an dem Trunk-Uplink Port zum HyperV Server ja auch massig Datenpakete an...würden diese nicht auch das Physische Interface vom Server und den Switch selber überlasten, sodass sämtliche andere VLAN Netze in Mitleidenschaft gezogen werden?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1258872366
Url: https://administrator.de/forum/verstaendnissfrage-broadcast-sturm-im-vlan-auch-auswirkung-auf-andere-1258872366.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
6 Kommentare
Neuester Kommentar
wichtig das alle Switche eine saubere BPDU Erkennung haben um die betroffenen Ports abzuschalten
Schon seit Jahrzehnten eine goldene Regel des klugen Netzwerk Admins ! 😉andere möglichkeit gibts nicht?
Doch, den STP hilft nichts gegen lokale Loops eines kleinen Tischswitches, denn der loopt die Port BPDUs auf den gleichen Port zurück und da hilft kein STP weil der das nur an anderen Ports erkennt und blockt (gleiche Port Mac).Heutige Switches haben dafür zusätzlich eine Port Loop Detection. Es ist also immer sinnig BEIDES zu aktivieren wenn man auf Nummer sicher gehen will.
Bessere Switches bieten dazu noch die Möglichkeit eines Rate Limitings (Storm Control) ab einer bestimmten Broad- oder Multicast Last (Threshold) was eine Gefahr ebenfalls minimiert. Nur Broad bzw. Multicast Frames erzeugen Loops, weil Switches diese im Gegensatz zu Unicasts zwangsweise auch alle Ports fluten müssen.
Daraus resultiert auch das man immer zwingend IGMP Snooping auf allen Switches aktiviert um zumindest bei Multicast dort auch einen Riegel vorzuschieben.
wird die Switch-CPU und auch das Physikalische interface stark ins Schwitzen kommen...
Nicht wenn du alle o.g. Loop Protection Möglichkeiten sinnvoll nutzt ! Dann kommt es gar nicht erst zu einem Loop. Tritt der Fall ein, kannst du ganz sicher sein das deine Switches in wenigen Sekunden mit 99% CPU Last kollabieren und damit dann das gesamte Netz.sind eigentlich nutzlos im netzwerk -.-
Richtig müsste es heissen:: sind eigentlich schutzlos im Netzwerk ! Jedenfalls was Loops anbetrifft.Die Antwort lautet ja. Es kommt immer darauf an wie sie konfiguriert sind und wie sie mit BPDU Frames umgehen die an ihren Ports ankommen. Sprich ob sie diese durchreichen oder ob sie diese blocken. Deshalb kann man da pauschal nicht antworten.
Wenn man solche Gruselswitches einsetzt sollte man natürlich immer auf BPDU Forwarding gehen im Setup (sofern sie sowas haben). Ungemangete Switches machen sowas im Default aber sicher ist das nicht immer. Sollte man immer vorher mit dem Wireshark testen !
warum auch andere VLANs dann sehr hohe pingzeiten erlitten haben als ich einen Loop über einen miniswitch generiert habe.
Das ist doch logisch und auch oben schon hinreichend erklärt worden. Die Traffic Last eines Loops breitet sich doch unkontrolliert mit max. Speed was die Switch CPU bzw. ASIC als Forwarding Rate schafft in der ganzen Layer 2 Domain des VLANs aus.Damit also auch auf allen Tagged (Up)links usw. denn dort liegt das VLAN ja auch an und Broad- bzw. Multicast Frames MUSS der Switch Prinzip bedingt forwarden auf allen Ports des VLANs.
Oft rächt sich dann die Unsitte per Schrotschuss alle VLANs auf einem Trunk forzuwarden (switchport trunk allowed vlan all usw.) auch wenn das andere Ende nur wenige davon benötigt. Es schützt aber auch nicht wenn der Loop Event eben in einem VLAN auftritt das im Trunk übertragen werden muss.
aber aktiv was dagegen gemacht haben die dinger nicht
Zeigt das sie falsch oder unvollständig konfiguriert wurden. Das kann passieren wenn es dieser berühmte Port Loop eines kleinen, ungemanageten Desktop Switches ist der gleiche BPDUs auf dem gleichen Port zurückloopt. Dagegen hilft, wie oben bereits gesagt, KEIN Spanning Tree Verfahren. Das bekommt man nur in den Griff wenn man Port Loop Detection aktiviert. Rate Limiting (Storm Control) macht es zusätzlich sicherer.Zumindestens auf den Userports in einem Netzwerk ist sowas Pflicht. Ganz besonders in Besprechnungs/Meeting Räumen oder bei Pool Workern. Das Warum muss man in einem Admin Forum sicher nicht noch beschreiben...
Fazit: Deine Switch Konfig war da schlicht und einfach falsch oder fehlerhaft. Oder die Switch Firmware hat einen Bug ?!
Sowas testet ein verantwortungsvoller Netzwerk Admin auch immer im Voraus logischerweise.
Tolle Unifi Switche wurden uns da eingeredet vom Systemhaus
Der letzte Schrott und billige Massenware vom Barebone Hersteller Accton auf denen sie nur ihren Namensbäppel raufkleben ! Entsprechend mies auch Featureset, Funktion und Support da verwundert obiges Verhalten dann in der Tat nicht. Vom Vendor Zwang mit dem Controller mal gar nicht zu reden.Wenn ein Systemhaus sowas in Firmennetzen empfiehlt zeugt das von wenig bis keiner Fachkenntniss oder das sie nur Margen orientiert verkaufen. Traurig sowas wenn man an solche Leute gerät...aber egal.