Advies Cisco 2950 Storm-control - Netwerken

vrijdag 10 juni 2005 16:08

Acties:

Huh?

Topicstarter

Hoi,

wil graag advies over het afstellen van een storm protocol per poort.

situatie:

eXtended ster netwerk

1x 2950 als middenpunt
met daar aan vast st of 6 linksys 5 poort switches.
met daar aan de clients (xp)

vorige situatie alles linksys.

voor uitbreiding van het netwerk ben ik overgestapt op een cisco2950

alleen heb ik in het verleden met leerlingen die me switches doorverbonden
(switch1 --> swicht1)

met gevolg dat een broadcast verkeer optrat dat 78% van me uptime frat.

----------------------------------------

nu zit ik te spelen met broadcast-contol maar ik heb geen idee welke 2 waardes(%)
je nou het beste kan gebruiken per poort

heeft iemand daar een vuist regel voor

het zijn gemiddeld 3 pc`s via een linksys switch op 1 2950 poort?

code:

Current configuration : 2943 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Hetveer_ba01
!
enable secret 5
enable password 
!
ip subnet-zero
!
cluster enable het 0
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
 storm-control broadcast level 15.00
 storm-control action shutdown
!
interface FastEthernet0/2
!
interface FastEthernet0/3
 storm-control broadcast level 15.00
 storm-control action shutdown
!
interface FastEthernet0/4
 storm-control broadcast level 15.00
 storm-control action shutdown
!
interface FastEthernet0/5
 storm-control broadcast level 15.00
 storm-control action shutdown
!
interface FastEthernet0/6
 storm-control broadcast level 15.00
 storm-control action shutdown
!

stukje code

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

vrijdag 10 juni 2005 17:03

Acties:

Adze

CCNP !

Als je last heb van broadcast storms, moet je naar de oorzaak zoeken, en niet de symptomen bestrijden. Als je nu storm control activeert en door een broadcast storm worden de poort dichtgezet, heb je geen draaiend netwerk meer.

vrijdag 10 juni 2005 18:30

Acties:

Duinkonijn

Huh?

Topicstarter

Adze15021979 schreef op vrijdag 10 juni 2005 @ 17:03:
Als je last heb van broadcast storms, moet je naar de oorzaak zoeken, en niet de symptomen bestrijden. Als je nu storm control activeert en door een broadcast storm worden de poort dichtgezet, heb je geen draaiend netwerk meer.

de oorzaak weet ik wel.. dat zijn de leerlingen die de 5 poorts switches doorlussen

de school wil ook geen geld uitgeven voor meerdere lijnen

[ Voor 7% gewijzigd door Duinkonijn op 10-06-2005 18:34 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

vrijdag 10 juni 2005 18:40

Acties:

JackBol

Security is not an option!

waarom niet gewoon aan spanningtree overlaten? (of ondersteunen die linksys geen bpdu's?)

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

vrijdag 10 juni 2005 18:49

Acties:

Duinkonijn

Huh?

Topicstarter

Dirk-Jan schreef op vrijdag 10 juni 2005 @ 18:40:
waarom niet gewoon aan spanningtree overlaten? (of ondersteunen die linksys geen bpdu's?)

nope

toen ik een volledige opzet had met die linksyses ging het gehele netwerk voor 80% plat.

heb het eerlijk gezegd nog niet getest met me 2950 in de praktijk (hoe die er op reageerd, maar heb liever dat een klas wordt afgestoten als er wat mis is.)

kritieke omgevingen als administratie en directie heb ik op poorten zitten die niet beveiligd zijn

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

vrijdag 10 juni 2005 20:33

Acties:

richard_kraal

spanningtree is iets wat tegenwoordig standaard in switches zit, heel vroeger kwam het nog wel eens voor dat het er niet opzat en kon dan dus problemen veroorzaken

tegenwoordig zit het er op en is het ook zeker aan te raden het aan te laten (JA het staat standaard aan en not managable devices hebben het 99% van de keren ook aanstaan)

aanzetten/aanlaten heeft alleen maar voordelen!

met uitzetten kan je het je switches moeilijk maken

vrijdag 10 juni 2005 20:36

Acties:

Duinkonijn

Huh?

Topicstarter

richardkraal schreef op vrijdag 10 juni 2005 @ 20:33:
spanningtree is iets wat tegenwoordig standaard in switches zit, heel vroeger kwam het nog wel eens voor dat het er niet opzat en kon dan dus problemen veroorzaken

tegenwoordig zit het er op en is het ook zeker aan te raden het aan te laten (JA het staat standaard aan en not managable devices hebben het 99% van de keren ook aanstaan)

aanzetten/aanlaten heeft alleen maar voordelen!

met uitzetten kan je het je switches moeilijk maken

Vraag 2 waarom die linksysjes over de kop gaan dan

overigens was ik het niet van plan uit te zetten.

wilde gewoon dat als er een linksys over de zeik gaat. die 2950 hem afsloot.

[ Voor 10% gewijzigd door Duinkonijn op 10-06-2005 20:37 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

vrijdag 10 juni 2005 21:21

Acties:

JackBol

Security is not an option!

Duinkonijn schreef op vrijdag 10 juni 2005 @ 20:36:
[...]

Vraag 2 waarom die linksysjes over de kop gaan dan

overigens was ik het niet van plan uit te zetten.

wilde gewoon dat als er een linksys over de zeik gaat. die 2950 hem afsloot.

dan zou ik meer moeite erin steken om je spanning-tree optimaal te laten werken ipv. de symptomen bestrijden.

Als je zorgt dat die cisco de rootswitch is, zal de betreffende linksys automatisch geblokkeerd worden als die deel uit maakt van een spanning-tree loop. Wel even een trapje laten sturen, want het verkeer zal via de andere linksys waarmee de loop gesloten is de rootswitch bereiken. (Maar in ieder geval geen storm veroorzaken).

Lees ik hierboven trouwens dat je je kritieke systemen op de zelfde switch hebt als waar pubers op liggen te klooien?? Je zou je moeten schamen! ga in de hoek staan!

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

vrijdag 10 juni 2005 21:31

Acties:

Duinkonijn

Huh?

Topicstarter

denk dat het ff mis gaat zal ff een tekening maken

Afbeeldingslocatie: http://www.tweakers.net/ext/f/60398/thumb.jpg

probleem is dus als een leerling de utp stekker van pc1 weer in switch kamer 1 doet
dat die switch over de zeik gaat (door een lokale loop)

andere switches staan in andere ruimtes dus ze kunnen geen ring netwerk maken of zo

(verleden: Toen ik nog geen 2950 had stond daar in de plek ook een linksys.
bij een lokale doorlus, kreeg 1 linksys het voorelkaar om alle linksysjes te laten flippen
met gevolg bij een ping 10 pogingen dat er 8 verloren gingen)

Probleem is ook daar dat als een docent er achter komt dat de pc`s in dat lokaal
niet of half werken. hij daar geen actie op onderneemd (hoogstends dat je het 2 weken later hoord)

daarom wil ik eigelijk dat die switch op dat punt gewoon van de 2950 wordt geknikkerd.

Kijk als ik het budget / geld had dan zou ik het gewoon opdelen in vlans met een flinke router der tussen of zo
3750 of zo + alle linksysjes er uit

alleen het geld is er niet, en cisco wil het niet gratis geven

offtopic:
In een andere omgeving heb ik alle omgevingen in apparte vlans zitten met alleen maar managable switches 29*0 en daar doet dit probleem zich totaal niet voor (mede dat de 29*0 geen auto uplink heeft

)

Dirk-Jan schreef op vrijdag 10 juni 2005 @ 21:21:
[...]

Lees ik hierboven trouwens dat je je kritieke systemen op de zelfde switch hebt als waar pubers op liggen te klooien?? Je zou je moeten schamen! ga in de hoek staan!

nope die 2950 ligt in een magazijn bij een ML370 en een E800
zonder rack of airco.

zal maandag foto`s maken... denk dat je huilend wel loopt,
opzich wel een droge sauna

[ Voor 119% gewijzigd door Duinkonijn op 10-06-2005 22:14 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

zaterdag 11 juni 2005 10:21

Acties:

joopv

Duinkonijn schreef op vrijdag 10 juni 2005 @ 18:49:
[...]
kritieke omgevingen als administratie en directie heb ik op poorten zitten die niet beveiligd zijn

Begrijp ik het nu goed - administratie zit op hetzelfde netwerk als de rest van de school??

Ik zou er toch minstens een apart vlan voor maken, en liever nog een fysiek compleet gescheiden netwerk met hooguit een firewall er tussen.

zaterdag 11 juni 2005 10:38

Acties:

Duinkonijn

Huh?

Topicstarter

joopv schreef op zaterdag 11 juni 2005 @ 10:21:
[...]

Begrijp ik het nu goed - administratie zit op hetzelfde netwerk als de rest van de school??

Ik zou er toch minstens een apart vlan voor maken, en liever nog een fysiek compleet gescheiden netwerk met hooguit een firewall er tussen.

uhu.. moet je wel het geld er voor hebben

enige voordeel wat ik heb, is dat ze zwak begaafd zijn waardoor ik geen script kiddies heb

overigens is die school niet veel groter dan een basisschool.

maargoed vanaf nu graag ontopic.

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

zaterdag 11 juni 2005 13:32

Acties:

Adze

CCNP !

Wat je zou kunnen proberen om op te zetten om het probleem te tackelen is:

spanning-tree port-fast + spanning-tree bpdu guard op alle poorten van de 2950 naar de linksysjes. Wanneer de switch dan een bpdu op die poort ziet binnen komen (ook al is het zijn eigen gegenereerde bpdu) dan zal die poort in "err-disable" modus gaan, en de rest van je netwerk zal blijven draaien.

CatSwitch-IOS(config)#spanning-tree portfast bpduguard

Eventueel kun je gebruik maken van "auto-recovery", zodat de switch na een tijdje geen bpdu's gezien te hebben de poort automatisch weer activeert.

CatSwitch-IOS(config)#errdisable recovery cause bpduguard
CatSwitch-IOS(config)#errdisable recovery interval 400

linkje

Van storm control heb ik geen kaas gegeten.

[ Voor 47% gewijzigd door Adze op 11-06-2005 13:52 ]