Tengo un problema con tráfico en unos de mis switches en mi red:
Tengo una red pequeña con 10 switches y segmentada con VLANs. Estoy usando la VLAN1 para la red de servidores y 4 VLAN más para DMZ, red externa, usuarios y administración.
Mis problemas son:
- En general tengo demasiado broadcast y multicast
- Cierto tráfico de datos entre dos servidores que están conectados a un mismo switch ( y en la misma VLAN) está apareciendo en la troncal del switch; es decir al snifear una de las troncales detecto tráfico de datos entre los dos switches. El tráfico de datos no debería limitarse a la conmutación dentro del mismo switch sin interferir con las otras bocas? o estoy interpretando mal el funcionamiento de los switch? o la configuración de VLAN hace que se pierda la característica de segmentación de dominios de colisión de los switch?
1) Limita el broadcast en las puertas de aceso y en los enlaces ínter switch.
2) Ubica las fuentes de broadcast, particularmente que razón tienen (p.ej si son excesivas consultas ARP).
3) Con un analizador grafica o usa el PRTG (u otro software similar) para conocer el % de broadcast.
Otra respuesta
Por definicion el switch conmuta por direccion MAC, en una troncal discurre todo el trafico etiquetado con la VLAN a la que corresponde, cada VLAN es como si fuera un switch independiente por lo que sigue un switch en una VLAN determinada conmuta segun la MAC. Dicho esto el problema no es que hayas configurado VLAN en tu switch, ya que la VLAN solo es una etiqueta que se agrega para diferenciar la trama en la troncal y derivarla a los puertos asociados con esa VLAN.
Los posibles problemas pueden ser:
- Loops al interior de tu red, talves tienes switch no administrables o algun hubs que esta creando un loop por algun enlace redundante.
- Ataque de inundacion de MAC que hacen que tus switch no puedan almacenar mas direcciones MAC y reenvien el trafico a todos los puertos, lo cual segun los sintomas es muy posible.
- Cables con intermitencia, que puede estar generando conexion y desconexion por lo tanto haciendo que las tramas STP, VTP y DTP, se generen continuamente para tratar de establecer comunicacion.
Mis sugerencias:
- Activa seguridad de puerto para los clientes y si es posible amarra las mac
- Desactiva servicios que no se utilicen en los puertos de los switch
- Aisla el problema del broadcast revisando los consumos de recursos en los switch para saber cual es su origen
- Instala un sistema de monitoreo de syslog que te de informacion sobre actividades de los puertos, que luego puedas revisar.
Y otra respuesta mas
Por lo que comentas, puede ser que el problema lo tengas con la configuración de los puertos de los switches, estos pueden estar en tres modos promiscuos, aislados y comunity.
Si los puertos de tus switches están en modo promiscuos, aunque tengas creadas las VLANs, el tráfico de broadcast y de multicast, pasa através de todos los puertos.
Mira está configuración.
Mira está configuración.
