Jump to content

VLAN - Datenverkehr einschränken


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

alle VLAN bei uns werden auf einem 6509 geroutet.

 

Per Trunk werden alle VLANs auf die Switche verteilt.

 

Kennt jemand den Befehl um den Datenverkehr den VLAN auf die einzelnen Switche zu beschränken.

 

Natürlich kann man mit "switchport trunk allowed ..." den Verkehr einschränken. Es gibt aber, so viel ich weis einen Befehl für den 6509 der den Verkehr automatisch einschränkt.

Link zu diesem Kommentar

Nein, keine Accesslisten.

 

Die Funktion sieht folgendermaßen aus:

 

Alle VLAN sind auf dem 6509 definiert und werden auch dort geroutet.

 

Per trunk werden diese VLANs an die Distribution-Layer-Switche verteilt.

 

Tritt jetzt in einem VLAN ein Broadcaststurm auf wird dieser auf alle Switche verteilt, da alle Switche dieses VLAN kennen. Diese von mir gesuchte Funktion gibt den Switchen an, nur aus den VLANs den Datenverkehr anzufordern bzw. entgegen zunehmen welchen auch auf ihnen abgefragt werden.

 

Ich hoffe es ist jetzt ein bisschen klarer geworden.

Link zu diesem Kommentar

Hallo

 

ich bin mir nicht ganz sicher aber ich denke du meinst VTP Pruning?

Aus Cisco Doku:

 

VTP Pruning

 

VTP ensures that all switches in the VTP domain are aware of all VLANs. However, there are occasions when VTP can create unnecessary traffic. All unknown unicasts and broadcasts in a VLAN are flooded over the entire VLAN. All switches in the network receive all broadcasts, even in situations in which few users are connected in that VLAN. VTP pruning is a feature that you use in order to eliminate or prune this unnecessary traffic.

 

Regards

Link zu diesem Kommentar

Du hast 3 Switche vom Core aus in Reihe geschalten? Wie sieht denn da deine Topologie aus? Segmentierst du das dann auf Layer3?

 

Sorry, habe mich wohl nicht klar genug ausgedrückt. Wir haben im backbone zwei 6509-er und sonst alles Edge-Switche (2950/2970/3548/3750), die zwar teilweise Layer3-Funktionalitäten haben, aber bei uns nicht genutzt werden.

 

OK, mittlerweile zweifle ich selbst daran, aber jetzt wo ich paar Beitraege bei cisco.com gelesen hab faellt mir auf, vtp pruning funzt garnicht wenn du auf transparant faehrst.

 

seltsam, seltsam, bei uns läufts :)

Link zu diesem Kommentar

Catalyst 3560 Switch Software Configuration Guide

 

VTP pruning is not designed to function in VTP transparent mode. If one or more switches in the

network are in VTP transparent mode, you should do one of these:

• Turn off VTP pruning in the entire network.

• Turn off VTP pruning by making all VLANs on the trunk of the switch upstream to the VTP

transparent switch pruning ineligible.

To configure VTP pruning on an interface, use the switchport trunk pruning vlan interface

configuration command (see the “Changing the Pruning-Eligible List” section on page 12-22). VTP

pruning operates when an interface is trunking. You can set VLAN pruning-eligibility, whether or not

VTP pruning is enabled for the VTP domain, whether or not any given VLAN exists, and whether or not

the interface is currently trunking.

 

 

(Ich habs auch enabled und hab mode transparent, bin aber sehr restriktiv in der Konfiguration der VLANs auf dem Trunk)

Link zu diesem Kommentar

Hi,

 

ein paar Bemerkungen:

 

aus eigener Erfahrung kann ich sagen: Finger weg von VTP-Pruning!

Ich hatte ziemlich Probleme. Am besten alle Switches als transparent konfigurieren.

 

Zur eigentlichen Frage:

 

Am 6509 kannst du auf VLANs Policing machen, d.h. die Bandbreite limitieren (in in und out am interface). Mit älteren SUPs nur incoming am Interface...

 

Ansonsten kannst du ACLs setzen.

 

Auf optischen Interfacen kannst du das sog. storm control (broadcast suppression) aktivieren.

 

Grüsse,

Thomas

Link zu diesem Kommentar
  • 1 Monat später...

Hallo Lars,

 

du kannst natürlich ansatzweise [via microflow policing und ] strom-control diese Probleme zähmen, jedoch ist das gesamt design (sehr layer2 lastig) nicht optimal. Besser ist hier einen L3 routed campus zu definieren. Hier kannst du dann kleine "Terrorzellen" bilden. Falls ein L3 routed Design zu teuer ist gibt es auch andere Möglichkeiten den Kopf aus der Schlinge zu bekommen.

 

Wenn schon Probleme bekannt sind sollte man nicht versuchen die schlechte Situation "irgendwie" besser zu machen sondern eine optimales Umfeld zu schaffen. pure L2 Designs are dead!

 

brgds

 

TS

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...