Cisco. Защита от широковещательного шторма

Для борьбы с широковещательным штормом в сетевых устройствах Cisco используется параметр storm-control.

Содержание

1 Описание

  • Параметр storm-control задаёт количество бродкастов в секунду.
  • Всё, что свыше этого значения, отбрасывается.
  • Порт при этом продолжает работать для пересылки всего остального трафика.
  • В случае высокого значения storm-contorol можно получить перегрузку ЦПУ коммутатора, в случае низкого значения можно иметь проблемы с работой DHCP и ARP.

2 Настройка

2.1 Задание порогов срабатывания

  • Максимальный уровень широковещательного трафика задаётся либо в процентах от полосы пропускания (безразмерные значения), либо в битах в секунду (bps).
  • Есть два варианта конфигурирования:
    • однопороговое,
    • двупороговое.

2.1.1 Однопороговый вариант

  • Задаётся максимальный порог и действие по достижении этого порога:
    (config)# int f0/1
    (config-if)# storm-control broadcast level 30.00
    (config-if)# storm-control multicast level 30.00
    
  • Команда устанавливает максимальный уровень широковещательного трафика в 30% от полосы пропускания.

2.1.2 Двупороговый вариант

  • Указывается два порога.
  • При достижении первого порога порт будет отключаться.
  • При падении уровня трафика до второго порога порт будет включаться:
    (config-if)# storm-control broadcast level 30.00 10.00
    (config-if)# storm-control multicast level 30.00 10.00
    
  • Здесь первый порог — 30% от полосы пропускания, второй порог — 10% от полосы пропускания.

2.2 Реакция на шторм

  • Необходимо задать действие при возникновении шторма
    (config)# int f0/1
    (config-if)# storm-control action shutdown
    
  • Вторая команда указывает на то, какое действие должно быть совершено, когда лимит будет достигнут. В данном случае мы отключаем порт (shutdown).
  • Если действие не указывать, то свитч будет просто фильтровать трафик, превышающий порог, и не отправлять никаких оповещений.
  • Можно включить SNMP-трапы и сообщения в Syslog:
    (config-if)# storm-control action trap
    

2.3 Восстановление портов

  • Чтобы коммутатор автоматически восстанавливал порт через некоторое время после отключения, необходимо в глобальной конфигурации задать:
    (config)# errdisable recovery cause storm-control
    (config)# errdisable recovery interval 180
    
  • В данном случае восстановление происходит через 3 минуты (180 секунд).

2.4 Обнаружение петель

  • У коммутаторов Cisco есть также штатное средство обнаружения петель, основанное на периодической отправке keepalive-сообщений.
  • Эта опция обычно включена по умолчанию, и в случае срабатывания порт отключается.
  • Для механизма keepalive можно также настроить автоматическое включение интерфейса:
    (config)# errdisable recovery cause loopback
    

2.5 Настройка на все порты сразу

  • Для настройки параметров всех портов сразу используйте диапазон портов:
    (config)# interface range f0/1 - 24
    (config-if-range)# storm-control broadcast level 30.00 10.00
    

3 Проверка работы

  • Используйте команду show storm-control, чтобы проверить конфигурацию функции подавления широковещательной и многоадресной рассылки.
  • Используйте команду show storm-control <интерфейс>, чтобы проверить конфигурацию функции подавления широковещательной и многоадресной рассылки на интерфейсе.
  • Используйте команду show run interface <интерфейс>, чтобы проверить ловушку (trap), настроенную для порта.

Дмитрий Сергеевич Кулябов
Дмитрий Сергеевич Кулябов
Профессор кафедры теории вероятностей и кибербезопасности

Мои научные интересы включают физику, администрирование Unix и сетей.

Похожие