Gast Geschrieben 17. September 2014 Geschrieben 17. September 2014 Hallo wenn man heute ein Kabel zweimal in denselben Switch (Core/Distribution/Access) einsteckt, wer "merkt" das? in den 90ern wurde da das gesamte Netz (Server und Client) lahmgelegt, selbst wenn man die "guten 3com SuperStack II"-Switche hatte (aber ohne strenge Segmentierung). Sagen wir - in einem 50-Mann-Unternehmen, wo zwei Client-Switche (mittleres Modell, z.B. von netgear) direkt am Server-Switch hängen - in einem 2.000-Mann-Unternehmen, mit Netzwerksegmentierung, alles Cisco. Ciao Zitieren
Smau Geschrieben 17. September 2014 Geschrieben 17. September 2014 Hi, wenn du BPDU-Guard aktiviert hast dann merkt das nur dein Switch und setzt einen der beiden Loop-Ports auf Shutdown. Ohne BPDU-Guard wünsche ich deinen Anwendern viel Spaß mit Broadcast-Stürmen, Paket-Drops / falschen MAC-Tables und einer grottigen Geschwindigkeit. Diese Auswirkungen sind unabhängig wie groß oder gut dein Netz ist bzw segmentiert ist. (Nicht auf ein VLAN / Segment begrenzt) Loops zieht man normalerweise nur wenn man zwei VDCs eines Nexus 7000 / 7700 miteinander verbindet. so far, Smau Zitieren
Gast Geschrieben 17. September 2014 Geschrieben 17. September 2014 Den BPDU-Guard braucht man meiner Meinung nach nicht. Dies ist eher eine Art zusätzliches Sicherheitsfeature. Hier wird der Port abgeschaltet, wenn an diesem Port eine BPDU eingeht. Hierdurch wird verhindert, dass einen "Angreiferswitch" zur Root-Bridge wird. Daher wird der BPDU-Guard auch hauptsächlich auf AccessPorts eingesetzt. Die meisten Switche haben eine Loop Protection/Loop Detection-Funktion, die eine Schleife erkennt. Diese Funktion haben oftmals sogar ganz billige Switche, die kein STP können. Wie dies genau funktioniert weiß ich aber leider auch nicht. Vielleicht kann jemand anders helfen? mfg Hendrik232 Zitieren
Crash2001 Geschrieben 18. September 2014 Geschrieben 18. September 2014 Unter Cisco-Switchen gibt es zwei Möglichkeiten. Portfast BPDU-Guard Enhancement und Spanning-Tree Loop Guard. Beide Technologien haben ihre Schwachstellen und ihre Vorteile. Zitieren
Gast Geschrieben 18. September 2014 Geschrieben 18. September 2014 Was passiert eigentlich genau im Moment des Stecken des Loops? Bleiben wir der einfachheit halber mal bei 90er-Jahre-Switchen. Zitieren
Smau Geschrieben 18. September 2014 Geschrieben 18. September 2014 Da der Loop-Guard aber nicht zusammen mit dem Root-Guard verwendet werden kann nimmt man eig. Root-Guard auf den Access-Switches und BPDU-Guard nahezu überall. Hendrik232 scheint da die Features ein wenig vermischt zu haben. Der Root-Guard sorgt dafür, dass an angeschlossenen Ports keine Root-Bridge entstehen kann. Nur Loop-Guard und BPDU-Guard verhindern Loops. Was passiert bei einem Loop: Durch den doppelten Link hast du eine inkonsistenten MAC-Table da bei Flooding der Frame vom Switch an sich selbst geschickt wird. Dadurch wird eine falsche MAC -> Port zuordnung im MAC-Table angelegt. Und das hier ist noch das harmloseste Problem. Keine Ahnung was du mit 90er-Jahre Switches meinst. Aber evtl. solltest du dich mal mit Netzwerkgrundlagen beschäftigen. grüße, Smau Zitieren
Gast Geschrieben 18. September 2014 Geschrieben 18. September 2014 Vielleicht habe ich mich missverständlich ausgedrückt. Die Unterschiede sind mir schon bekannt. Nochmal detaillierter: Ganz alte Switche: Bei ganz alten Switchen ohne automatische Erkennung von Sende- und Empfangsrichtung sollte bei einem Straight-Through-Kabel nichts passieren. Für einen Loop wäre hier ein Crossover-Kabel nötig. Switche mit Spanning-Tree: Hier sollte der Loop ohne irgendwelche Zusatzfeatures, wie Root-Guard oder BPDU-Guard, erkannt werden. Angenommen ein Benutzer steckt auf einem Access-Switch einen Loop, dann werden über diesen ja auch erstmal BPDUs transportiert. Der Switch sollte dann den Weg zur Root-Bridge (vermutlich einem Core-Switch) bestimmen und da es einen kürzeren Weg gibt, wird einer der beiden Ports deaktiviert werden. (Über den Loop zu gehen würde ja höhere Pfadkosten bedeuten.) Wenn ich den BPDU-Guard auf einem Endgeräteport einsetze, dann kann ich verhindern, dass ein Anwender einfach einen zusätzlichen Switch (wenn STP-fähig) in das Netzwerk integriert oder das Netzwerk mit gefälschten BPDUs manipuliert wird. Den Root-Guard sehe ich eher in Szenarien, bei denen ein "fremder" Switch im Netzwerk geduldet werden müssen, welcher nicht unter meiner Verwaltung steht und ich verhindern will, dass dieser Switch zur Root-Bridge wird. P.s.: Ich hatte mal einen "Billig-Switch" ohne Spanning-Tree, der einen Loop erkannt hat. Hier frage ich mich, wie der das gemacht hat. Jemand eine Idee? mfg Hendrik232 Zitieren
Crash2001 Geschrieben 18. September 2014 Geschrieben 18. September 2014 Könnte mit den MAC-Adressen zusammenhängen, die er sehen konnte und wo oder an Paketen, die immer und immer wieder darüber verschickt wurden. Gibt da verschiedene Methoden, wie es auch ein relativ dummer Switch erkennen kann - auch ohne BPDUs. Zitieren
eneR Geschrieben 1. Oktober 2014 Geschrieben 1. Oktober 2014 Nur Loop-Guard und BPDU-Guard verhindern Loops. Ich würde zu diesem Punkt "hendrik232" zustimmen. STP reicht vollkommen aus um einen Loop zu verhindern, da brauch man nicht zwingend Loop o. BPDU Guard. Grüße Zitieren
SilentDemise Geschrieben 1. Oktober 2014 Geschrieben 1. Oktober 2014 Den Satz hast du wunderbar aus dem Kontext gerissen. Der bezieht sich auf den Satz davor, nämlich auf die Root-Guard Zitieren
Smau Geschrieben 2. Oktober 2014 Geschrieben 2. Oktober 2014 Ich würde zu diesem Punkt "hendrik232" zustimmen. STP reicht vollkommen aus um einen Loop zu verhindern, da brauch man nicht zwingend Loop o. BPDU Guard. Grüße Erstmal habe ich keine Ahnung was du damit sagen möchtest. Es gibt zwei arten von "Loops": Einmal den "Triangle-Loop" über mehrere Geräte in welchem Kontext STP einen Link blockt um den Loop zu verhindern.Und den "lokalen-loop" an einem Gerät wenn ein Kabel zweimal in das selbe Gerät gesteckt wird. Hier hilft STP nur in verbindung mit BPDU-Guard oder Loop-Guard da im STP-Tree nicht Kabel auf dem lokalen Switch zu sich selbst betrachten werden. Bitte erstmal über Netzwerk Grundlagen informieren bevor man hier einfach rausquatscht. Zitieren
eneR Geschrieben 6. Oktober 2014 Geschrieben 6. Oktober 2014 @ SilentDemise: Stimmt, war wohl eher suboptimal gequoted. Erstmal habe ich keine Ahnung was du damit sagen möchtest. Es gibt zwei arten von "Loops": Einmal den "Triangle-Loop" über mehrere Geräte in welchem Kontext STP einen Link blockt um den Loop zu verhindern.Und den "lokalen-loop" an einem Gerät wenn ein Kabel zweimal in das selbe Gerät gesteckt wird. Hier hilft STP nur in verbindung mit BPDU-Guard oder Loop-Guard da im STP-Tree nicht Kabel auf dem lokalen Switch zu sich selbst betrachten werden. Bitte erstmal über Netzwerk Grundlagen informieren bevor man hier einfach rausquatscht. Ich hatte das geschrieben, nicht gequatscht. :/ Und wenn du einen! "lokalen-loop" baust, wird das von STP erkannt. Ein Port geht auf blocking, kein loop, alles gut. Schöne Grüße, eneR Zitieren
eneR Geschrieben 8. Oktober 2014 Geschrieben 8. Oktober 2014 Und den "lokalen-loop" an einem Gerät wenn ein Kabel zweimal in das selbe Gerät gesteckt wird. Hier hilft STP nur in verbindung mit BPDU-Guard oder Loop-Guard da im STP-Tree nicht Kabel auf dem lokalen Switch zu sich selbst betrachten werden. Bitte erstmal über Netzwerk Grundlagen informieren bevor man hier einfach rausquatscht. Auch noch ein gutes Beispiel an dieser Stelle ist ein Hub. Da wäre eine doppelte Verbindung zwischen Switch und Hub auch nichts anderes als "Kabel auf dem lokalen Switch zu sich selbst". Auch bei solchen "Anwendungsfehlern" hilft das STP. Also kann man auf die ursprüngliche Frage antworten, dass jeder Switch mit einer entsprechenden STP Implementierung ein Kabel zu sich selber erkennt. Trotzdem gibt es ein großes aber, nämlich wenn der Switch falsch konfiguriert wird. Die diversen Möglichkeiten lasse ich nun mal weg, ging ja wohl letztlich um einen Standardswitch. Falls ich etwas falsch sehe darf man mich gerne berichtigen! Ansonsten war es das zu den Netzwerk Grundlagen. Grüße, eneR Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.