Cisco. Защита от широковещательного шторма

Обновлено 2023-10-06 3 мин. для прочтения Computer-Science

Для борьбы с широковещательным штормом в сетевых устройствах Cisco используется параметр storm-control.

Содержание

1 Описание

Параметр storm-control задаёт количество бродкастов в секунду.
Всё, что свыше этого значения, отбрасывается.
Порт при этом продолжает работать для пересылки всего остального трафика.
В случае высокого значения storm-contorol можно получить перегрузку ЦПУ коммутатора, в случае низкого значения можно иметь проблемы с работой DHCP и ARP.

Максимальный уровень широковещательного трафика задаётся либо в процентах от полосы пропускания (безразмерные значения), либо в битах в секунду (bps).
Есть два варианта конфигурирования:
- однопороговое,
- двупороговое.

Задаётся максимальный порог и действие по достижении этого порога:
```
(config)# int f0/1
(config-if)# storm-control broadcast level 30.00
(config-if)# storm-control multicast level 30.00
```
Команда устанавливает максимальный уровень широковещательного трафика в 30% от полосы пропускания.

Указывается два порога.
При достижении первого порога порт будет отключаться.
При падении уровня трафика до второго порога порт будет включаться:
```
(config-if)# storm-control broadcast level 30.00 10.00
(config-if)# storm-control multicast level 30.00 10.00
```
Здесь первый порог — 30% от полосы пропускания, второй порог — 10% от полосы пропускания.

Необходимо задать действие при возникновении шторма
```
(config)# int f0/1
(config-if)# storm-control action shutdown
```
Вторая команда указывает на то, какое действие должно быть совершено, когда лимит будет достигнут. В данном случае мы отключаем порт (shutdown).
Если действие не указывать, то свитч будет просто фильтровать трафик, превышающий порог, и не отправлять никаких оповещений.
Можно включить SNMP-трапы и сообщения в Syslog:
```
(config-if)# storm-control action trap
```

Чтобы коммутатор автоматически восстанавливал порт через некоторое время после отключения, необходимо в глобальной конфигурации задать:
```
(config)# errdisable recovery cause storm-control
(config)# errdisable recovery interval 180
```
В данном случае восстановление происходит через 3 минуты (180 секунд).

У коммутаторов Cisco есть также штатное средство обнаружения петель, основанное на периодической отправке keepalive-сообщений.
Эта опция обычно включена по умолчанию, и в случае срабатывания порт отключается.
Для механизма keepalive можно также настроить автоматическое включение интерфейса:
```
(config)# errdisable recovery cause loopback
```

Для настройки параметров всех портов сразу используйте диапазон портов:
```
(config)# interface range f0/1 - 24
(config-if-range)# storm-control broadcast level 30.00 10.00
```

Используйте команду show storm-control, чтобы проверить конфигурацию функции подавления широковещательной и многоадресной рассылки.
Используйте команду show storm-control <интерфейс>, чтобы проверить конфигурацию функции подавления широковещательной и многоадресной рассылки на интерфейсе.
Используйте команду show run interface <интерфейс>, чтобы проверить ловушку (trap), настроенную для порта.