Cisco. Защита от широковещательного шторма

Для борьбы с широковещательным штормом в сетевых устройствах Cisco используется параметр storm-control.

1 Описание

• Параметр storm-control задаёт количество бродкастов в секунду.
• Всё, что свыше этого значения, отбрасывается.
• Порт при этом продолжает работать для пересылки всего остального трафика.
• В случае высокого значения storm-contorol можно получить перегрузку ЦПУ коммутатора, в случае низкого значения можно иметь проблемы с работой DHCP и ARP.

2 Настройка

2.1 Задание порогов срабатывания

• Максимальный уровень широковещательного трафика задаётся либо в процентах от полосы пропускания (безразмерные значения), либо в битах в секунду (bps).
• Есть два варианта конфигурирования:
  • однопороговое,
  • двупороговое.

2.1.1 Однопороговый вариант

• Задаётся максимальный порог и действие по достижении этого порога:

  1(config)# int f0/1
  2(config-if)# storm-control broadcast level 30.00
  3(config-if)# storm-control multicast level 30.00
  

• Команда устанавливает максимальный уровень широковещательного трафика в 30% от полосы пропускания.

2.1.2 Двупороговый вариант

• Указывается два порога.
• При достижении первого порога порт будет отключаться.
• При падении уровня трафика до второго порога порт будет включаться:

  1(config-if)# storm-control broadcast level 30.00 10.00
  2(config-if)# storm-control multicast level 30.00 10.00
  

• Здесь первый порог — 30% от полосы пропускания, второй порог — 10% от полосы пропускания.

2.2 Реакция на шторм

• Необходимо задать действие при возникновении шторма

  1(config)# int f0/1
  2(config-if)# storm-control action shutdown
  

• Вторая команда указывает на то, какое действие должно быть совершено, когда лимит будет достигнут. В данном случае мы отключаем порт (shutdown).
• Если действие не указывать, то свитч будет просто фильтровать трафик, превышающий порог, и не отправлять никаких оповещений.
• Можно включить SNMP-трапы и сообщения в Syslog:

  1(config-if)# storm-control action trap
  

2.3 Восстановление портов

• Чтобы коммутатор автоматически восстанавливал порт через некоторое время после отключения, необходимо в глобальной конфигурации задать:

  1(config)# errdisable recovery cause storm-control
  2(config)# errdisable recovery interval 180
  

• В данном случае восстановление происходит через 3 минуты (180 секунд).

2.4 Обнаружение петель

• У коммутаторов Cisco есть также штатное средство обнаружения петель, основанное на периодической отправке keepalive-сообщений.
• Эта опция обычно включена по умолчанию, и в случае срабатывания порт отключается.
• Для механизма keepalive можно также настроить автоматическое включение интерфейса:

  1(config)# errdisable recovery cause loopback
  

2.5 Настройка на все порты сразу

• Для настройки параметров всех портов сразу используйте диапазон портов:

  1(config)# interface range f0/1 - 24
  2(config-if-range)# storm-control broadcast level 30.00 10.00
  

3 Проверка работы

• Используйте команду show storm-control, чтобы проверить конфигурацию функции подавления широковещательной и многоадресной рассылки.
• Используйте команду show storm-control <интерфейс>, чтобы проверить конфигурацию функции подавления широковещательной и многоадресной рассылки на интерфейсе.
• Используйте команду show run interface <интерфейс>, чтобы проверить ловушку (trap), настроенную для порта.