Избегайте широковещательных штормов ARP

Мы столкнулись с проблемой на днях, когда один из наших сотрудников случайно подключился дважды в недорогом коммутаторе (без STP) к другому коммутатору, который отключил STP. (Второй коммутатор был подключен к нашей основной сети.) В результате пакетная буря снизила нашу сеть.

Если наша упрощенная топология сети выглядит примерно так:

.--.
| S1 |
'-'
  |
.--. ___ .--.
| S2 | ___ | S3 |
'-' '-'

(Извините за грубое искусство ascii, я пытаюсь проиллюстрировать, что S2 и S3 подключены дважды, создавая контур моста)

  • S1 на самом деле является стойкой коммутаторов Cisco
  • S2 - это интеллектуальный коммутатор Netgear с отключенным STP
  • S3 - встроенный коммутатор без STP

Эта область не является моей сильной стороной, поэтому я даже не уверен, что это возможно, но если наша сеть выглядит примерно так, существует ли способ защитить S1 от последующего широковещательного шторма между S2 /S3?

Обновите с помощью дополнительной информации:

  • Установленные на стойке коммутаторы Cisco представляют собой сочетание SG200-50, -26 и -18
  • Netgear - это прошивка GS108Tv2, поддерживающая v5.0.5.7
  • Более эзотерическая часть оборудования представляет собой небольшой встроенный коммутатор, который входит в промышленный контроллер, ссылка здесь: https://www.phoenixcontact.com/online/portal/us?uri=pxc-oc-itemdetail:pid = 2891001 & амп; библиотека = Usen & амп; pcck = Р-08-08-10-06-01 & амп; вкладка = 2. Вкладка «PDF» (вкладка «Загрузка») указывает на «многоадресную функцию», но я не думаю, что это STP /RSTP.

Спасибо за все ответы. Я действительно ценю это.

3 голоса | спросил Dan 16 MonEurope/Moscow2013-12-16T19:40:13+04:00Europe/Moscow12bEurope/MoscowMon, 16 Dec 2013 19:40:13 +0400 2013, 19:40:13

3 ответа


4
  

другой переключатель, у которого STP отключен

Мне не нужно читать дальше. « Доктор, мне больно, когда я делаю X ... « Очевидно, вы не должны отключать STP ни на что, что его поддерживает, чтобы эта ситуация не возникла. Однако, учитывая вашу топологию, STP должен был отключить ссылку S1-S2. Но, видя, что это переключатели LINKSYS с значком Cisco на них, я не ожидаю, что они справятся с этим правильно. Также я не ожидаю, что Netgear GS108T - дешевый, простой коммутатор (у меня есть несколько) - для надежного управления штормом.

На самом деле единственное, что можно сказать: «Не делай этого». (где «это» равно (а) «отключить STP» и (b) «подключить коммутатор к себе». Я не могу заставить вас делать что-либо из этого. И вы не можете быть уверены, что кто-то другой не сделает (b). )

Я не хочу звучать так, как будто я нажимаю более дорогие коммутаторы Cisco, но время от времени я сталкиваюсь с такой же ситуацией в нашей лаборатории VMware, когда кто-то настраивает виртуальный балансировщик нагрузки (alteon, if вам все равно) с двумя интерфейсами в одной сети. Наш Cisco 2960S немедленно уничтожает этот порт - ошибочный самозаверенный порт.

ответил Ricky Beam 16 MonEurope/Moscow2013-12-16T22:47:07+04:00Europe/Moscow12bEurope/MoscowMon, 16 Dec 2013 22:47:07 +0400 2013, 22:47:07
1

Соглашайся с Рон и Майком Пеннингтоном здесь. Вся точка Spanning Tree заключается в том, чтобы предотвратить штормы от взрыва вашей сети, и вы недавно заметили практический урок в том, как это происходит.

Было бы полезно узнать версию вашего коммутатора Netgear. Я смотрю на более старую версию руководства пользователя коммутатора ProSafe для GS748TS, а настройки Spanning-Tree довольно детализированы, поэтому вы должны иметь возможность настроить коммутатор, чтобы это не происходило в будущем.

На старых коммутаторах NetGear ProSafe я использовал конфигурацию по умолчанию, так что STP включен в RSTP (быстрое связующее дерево) с BPDU, залитым во все порты коммутатора. Это хорошая конфигурация для повседневного использования. Чтобы помочь вам больше, нам нужно знать, сколько сетей VLAN находится в вашей сети и т. Д.

Но в конце концов это трудный урок в необходимости политики компании, которая регулирует то, что может и не может быть связано с производственной сетью. У моего работодателя (крупного производственного предприятия Fortune 500) наша сетевая политика заключается в том, что все порты доступа на коммутаторах настроены с включенным BPDUguard таким образом, что, когда к нему подключено какое-либо неизвестное коммутационное устройство, порт становится отключенным. Если у вас есть мониторинг SNMP на ваших коммутаторах, вы получите предупреждение.

В пользовательской фрустрации есть небольшая цена, но это более чем компенсируется тем фактом, что вы автоматически будете иметь видимость и, надеюсь, контролировать то, что подключается, и вам не придется иметь дело с отключением сети в будущем.

ответил connorwa 16 MonEurope/Moscow2013-12-16T20:51:47+04:00Europe/Moscow12bEurope/MoscowMon, 16 Dec 2013 20:51:47 +0400 2013, 20:51:47
0

Я столкнулся с проблемой, связанной с тем, что наша сеть исчезла. 6 Extreme Stacks, 3 HP переключает различные модели и несколько по крайней мере из 8 этих netgear gs108's Gs108T без привязки к нему и привязанный к любому коммутатору, кроме экстремальных переключателей с включенным ELRP, в конечном итоге приведет к отключению всей сети. Это похоже на широковещательную штормовую или многоадресную бурю. У меня был ноутбук, подключенный к экранированному /зеркальному порту, и вы увидите, что есть много пакетов повторной передачи dup-acks и tcp, проходящих через сеть для оборудования или ПК, которые имеют проблемы. Мое предложение посмотреть, что он делает для себя, чтобы включить отслеживание MAC-адресов и посмотреть, что происходит. Сетевое устройство в основном станет сетевой черной дырой. Когда я выполнил этот эксперимент, чтобы понять, почему я видел цикл, и охватывающее дерево не заботилось об этом, я обнаружил, что все мои адреса mac в сети начали переходить от переключателя, чтобы перейти к netgear. Я обнаружил, что ELRP может обнаружить цикл, поэтому я включил его, чтобы предотвратить это снова. Это дорого стоит нашей компании при простоях и замене нескольких коммутаторов вместе с поездкой на Аляску на неделю для устранения неполадок.

Эти переключатели были выбраны для замены немых сетевых переключателей. Подумайте дважды, прежде чем развертывать их в критических средах. Один человек, подключающий его без его настройки, может отключить всю сеть. Кстати, они поставляются с закрывающим деревом, отключенным на всех портах

ответил Aaron 15 PMpFri, 15 Apr 2016 19:30:54 +030030Friday 2016, 19:30:54

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132