Verständnissfrage: Broadcast-Sturm im VLAN auch auswirkung auf andere?

Hallo allerseits, mir schwebt da eine frage im Kopf wo ich die Antwort dazu nicht so wirklich weiß bzw. mir ableiten kann, und zwar:
Ein HyperV Server mit 30 VMs ist mit einer einzelnen 10G Netzwerkkarte mit dem CoreSwitch verbunden (oder meinetwegen zwei 10G karten an je einem Switch zwecks Nic Teaming/LoadBalancing).
Es gibt jetzt sagen wir mal 10 VLANs die an die unterschiedlichen VMs weitergereicht werden und an irgendwelchen Switchen als Native Port (Untagged) "rausgeführt" werden wo halt Clients dran stecken.
Der Trunk-Port beim Switch der den HyperV Verbindet hat halt logischerweise alle VLANs als Tagged.

Was Passiert jetzt aber, wenn es in einem der VLANs einen Broadcast Sturm gibt, weil z.B: jemand in seiner Abteilung einen einfachen Miniswitch angesteckt hat und da nen Loop eingebaut hat - der Abteilungsswitch aber keine Erkennung dazu hat.

Dann kommen ja an dem Trunk-Uplink Port zum HyperV Server ja auch massig Datenpakete an...würden diese nicht auch das Physische Interface vom Server und den Switch selber überlasten, sodass sämtliche andere VLAN Netze in Mitleidenschaft gezogen werden?

Content-Key: 1258872366

Url: https://administrator.de/contentid/1258872366

Ausgedruckt am: 25.09.2021 um 16:09 Uhr

Mitglied: NordicMike
NordicMike 14.09.2021 aktualisiert um 14:59:22 Uhr
Goto Top
Ja. Tun sie. Die Rechner in den VLANs bekommen zwar nicht mit, was los ist, aber das Netzwerk ist dementsprechend langsamer. Du könntest jetzt noch VLANs priorisieren z.B. für VoIP Telefonie.
Mitglied: Assassin
Assassin 14.09.2021 um 13:13:09 Uhr
Goto Top
also ist es wichtig das alle Switche eine saubere BPDU Erkennung haben um die betroffenen Ports abzuschalten...andere möglichkeit gibts nicht? Weil ich denke selbst bei einer VLAN Priorisierung wird die Switch-CPU und auch das Physikalische interface stark ins schwitzen kommen...
Mitglied: aqui
aqui 14.09.2021 aktualisiert um 14:00:09 Uhr
Goto Top
wichtig das alle Switche eine saubere BPDU Erkennung haben um die betroffenen Ports abzuschalten
Schon seit Jahrzehnten eine goldene Regel des klugen Netzwerk Admins ! 😉
andere möglichkeit gibts nicht?
Doch, den STP hilft nichts gegen lokale Loops eines kleinen Tischswitches, denn der loopt die Port BPDUs auf den gleichen Port zurück und da hilft kein STP weil der das nur an anderen Ports erkennt und blockt (gleiche Port Mac).
Heutige Switches haben dafür zusätzlich eine Port Loop Detection. Es ist also immer sinnig BEIDES zu aktivieren wenn man auf Nummer sicher gehen will.
Bessere Switches bieten dazu noch die Möglichkeit eines Rate Limitings (Storm Control) ab einer bestimmten Broad- oder Multicast Last (Threshold) was eine Gefahr ebenfalls minimiert. Nur Broad bzw. Multicast Frames erzeugen Loops, weil Switches diese im Gegensatz zu Unicasts zwangsweise auch alle Ports fluten müssen.
Daraus resultiert auch das man immer zwingend IGMP Snooping auf allen Switches aktiviert um zumindest bei Multicast dort auch einen Riegel vorzuschieben.
wird die Switch-CPU und auch das Physikalische interface stark ins Schwitzen kommen...
Nicht wenn du alle o.g. Loop Protection Möglichkeiten sinnvoll nutzt ! Dann kommt es gar nicht erst zu einem Loop. Tritt der Fall ein, kannst du ganz sicher sein das deine Switches in wenigen Sekunden mit 99% CPU Last kollabieren und damit dann das gesamte Netz.
Mitglied: Assassin
Assassin 14.09.2021 um 13:33:01 Uhr
Goto Top
das heist Switches die keine BPDU erkennung haben bzw die möglichkeit darauf zu reagieren - sind eigentlich nutzlos im netzwerk -.-
Tolle Unifi Switche wurden uns da eingeredet vom Systemhaus :( face-sad
Hatte das mal in einem Testaufbau gemacht und mich gewundert, warum auch andere VLANs dann sehr hohe pingzeiten erlitten haben als ich einen Loop über einen miniswitch generiert habe.
Irrerweise haben das die Switche zwar mitbekommen und auch gemeldet auf welchem Port unnormal viele BPDU pakete eingehen und die warung auch per mail verschickt - aber aktiv was dagegen gemacht haben die dinger nicht xD (also kein Port deaktiviert oder wenigstens ein Paket Limit vorzuschieben...auch ein gesetztes Broadcast und Multicast limit von 100 paketen pro sekunde half absolut - nichts -.-

so ein rotz
Mitglied: aqui
aqui 14.09.2021 aktualisiert um 14:03:02 Uhr
Goto Top
sind eigentlich nutzlos im netzwerk -.-
Richtig müsste es heissen:: sind eigentlich schutzlos im Netzwerk ! Jedenfalls was Loops anbetrifft.
Die Antwort lautet ja. Es kommt immer darauf an wie sie konfiguriert sind und wie sie mit BPDU Frames umgehen die an ihren Ports ankommen. Sprich ob sie diese durchreichen oder ob sie diese blocken. Deshalb kann man da pauschal nicht antworten.
Wenn man solche Gruselswitches einsetzt sollte man natürlich immer auf BPDU Forwarding gehen im Setup (sofern sie sowas haben). Ungemangete Switches machen sowas im Default aber sicher ist das nicht immer. Sollte man immer vorher mit dem Wireshark testen !
warum auch andere VLANs dann sehr hohe pingzeiten erlitten haben als ich einen Loop über einen miniswitch generiert habe.
Das ist doch logisch und auch oben schon hinreichend erklärt worden. Die Traffic Last eines Loops breitet sich doch unkontrolliert mit max. Speed was die Switch CPU bzw. ASIC als Forwarding Rate schafft in der ganzen Layer 2 Domain des VLANs aus.
Damit also auch auf allen Tagged (Up)links usw. denn dort liegt das VLAN ja auch an und Broad- bzw. Multicast Frames MUSS der Switch Prinzip bedingt forwarden auf allen Ports des VLANs.
Oft rächt sich dann die Unsitte per Schrotschuss alle VLANs auf einem Trunk forzuwarden (switchport trunk allowed vlan all usw.) auch wenn das andere Ende nur wenige davon benötigt. Es schützt aber auch nicht wenn der Loop Event eben in einem VLAN auftritt das im Trunk übertragen werden muss.
aber aktiv was dagegen gemacht haben die dinger nicht
Zeigt das sie falsch oder unvollständig konfiguriert wurden. Das kann passieren wenn es dieser berühmte Port Loop eines kleinen, ungemanageten Desktop Switches ist der gleiche BPDUs auf dem gleichen Port zurückloopt. Dagegen hilft, wie oben bereits gesagt, KEIN Spanning Tree Verfahren. Das bekommt man nur in den Griff wenn man Port Loop Detection aktiviert. Rate Limiting (Storm Control) macht es zusätzlich sicherer.
Zumindestens auf den Userports in einem Netzwerk ist sowas Pflicht. Ganz besonders in Besprechnungs/Meeting Räumen oder bei Pool Workern. Das Warum muss man in einem Admin Forum sicher nicht noch beschreiben... ;-) face-wink
Fazit: Deine Switch Konfig war da schlicht und einfach falsch oder fehlerhaft. Oder die Switch Firmware hat einen Bug ?!
Sowas testet ein verantwortungsvoller Netzwerk Admin auch immer im Voraus logischerweise. ;-) face-wink
Tolle Unifi Switche wurden uns da eingeredet vom Systemhaus
Der letzte Schrott und billige Massenware vom Barebone Hersteller Accton auf denen sie nur ihren Namensbäppel raufkleben ! Entsprechend mies auch Featureset, Funktion und Support da verwundert obiges Verhalten dann in der Tat nicht. Vom Vendor Zwang mit dem Controller mal gar nicht zu reden.
Wenn ein Systemhaus sowas in Firmennetzen empfiehlt zeugt das von wenig bis keiner Fachkenntniss oder das sie nur Margen orientiert verkaufen. Traurig sowas wenn man an solche Leute gerät...aber egal.
Mitglied: LordGurke
LordGurke 14.09.2021 um 13:54:33 Uhr
Goto Top
Naja, managed Switches tun nur, was ihnen gesagt wird ;-) face-wink
Schalte Loop-Detection ein und aktiviere zusätzlich Storm-Control, das hält das Netzwerk im Falle solcher Events am Laufen.
Speziell Storm-Control hilft gegen alle Arten von Paketfluten auf Broadcast-Adressen, egal wodurch sie verursacht wurden.
Heiß diskutierte Beiträge
general
DSL-Modems am F-Buchse statt N-Buchse - warum?Windows10GegnerVor 22 StundenAllgemeinDSL, VDSL19 Kommentare

Hallo zusammen, es sind jetzt hier die Fernmeldetechniker gefragt. Normalerweise wird ja ein DSL-Modem mit der F-Buchse einer TAE-NFN-Dose verbunden. Was ist der genau Grund ...

general
Autodesk im Jahre 2021-2022dertowaVor 1 TagAllgemeinOff Topic4 Kommentare

Hallo zusammen, mal eine kleine Anekdote, u.a. da heute Freitag ist. Vor einigen Jahren hatte ich mit Autodesk AutoCAD LT zu tun, in der damaligen ...

general
Außergewöhnliche hohe Spamaktivitäten und Angriffe per E-Mail gelöst beidermachtvongreyscullVor 1 TagAllgemeinE-Mail5 Kommentare

Tach Kollegen, liegt das an den bevorstehenden Wahlen? Ich beobachte seit Tagen auf unserer Firewall, dass wir massiven Spamwellen ausgesetzt sind. Bisher kommt zum Glück ...

question
Einrichtung Unify Security Gateway gelöst markaurelVor 17 StundenFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen und bitte um eure Hilfe! Wie der Titel schon sagt Folgende Situation: Ich hab ein Netzwerk in folgenden IP-Bereich: 192.168.10.x. Als Gateway dient ...

question
Backup-Server, welcher sich selber sichertludakuVor 1 TagFrageBackup6 Kommentare

Moin Zusammen Stellen wir uns kurz folgendes Konstrukt vor: 1x Hypervisor mit 3 VMs: - DC & Fileserver - Webserver - Acronis Backup-Server Ist es ...

question
Sysprep nachträglich virtualisierenalf008Vor 1 TagFrageVmware6 Kommentare

Hallo, ich habe diverse physikalische Server virtualisiert und später sollten diese in eine neue Domäne aufgenommen werden. Leider habe ich beim Virtualisieren erst später (zu ...

question
Wlanprobleme nach Providerwechsel gelöst amsti70Vor 1 TagFrageRouter & Routing8 Kommentare

Hallo alle zusammen! Ich bin neu auf dieser Seite und komme gleich mit einem Problem. Habe jetzt von A1 auf Drei Festnetz gewechselt. Mein System ...

question
Microsoft 365 und Authenticator gelöst pc-schubserVor 1 TagFrageMicrosoft Office10 Kommentare

Hallo zusammen, für einen kleinen Firmenkunden, den ich auch als Admin betreue, habe ich vor einiger Zeit Microsoft 365 Business Standard CSP Lizenzen verkauft. Jetzt ...