Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Know How

Storm-Control :: Cisco Switch sicher einrichten

Broadcaststürme können leicht ganze Netzwerke stören. Sie breiten sich innerhalb einer Broadcast Domain auf dem Layer 2 aus. Das kann in flachen Netzen das gesamte Netzwerk sein, oder in modernen Netzen ein VLAN. Ein Broadcaststurm kann auch Router stören (hohe CPU-Last) und so über die Grenzen eines VLANs zu Störungen führen.

Der typische Verursacher für einen Broadcaststurm ist der kleine Switch im Büro oder auf dem Besprechungstisch. Wird dort versehentlich eine Schleife (Loop) gepatcht, wird dieser Switch zum Traffic Generator.

Broadcast Sturm durch Loop am kleinen Switch

Das rote Kabel am kleinen 3Com-Switch erzeugt eine Schleife auf dem Layer 2. Der Switch flutet dadurch auch die zentralen Switche über das grüne Kabel mit allen Broadcasts, Multicasts und Unicasts mit unbekanntem Empfänger.

Storm Control einrichten

Cisco IOS bietet mit dem Feature Storm Control die Möglichkeit, auf Broadcast-, Multicast- und Unicast-Stürme zu reagieren. Die Schwellwerte für die Erkennung eines Sturmes können in Bit pro Sekunde, Paketen pro Sekunde oder Prozent der Bandbreite angegeben werden. Im folgenden Beispiel werden die Schwellwerte für FastEthernet0/1 auf 100 Pakete pro Sekunde für Broadcasts und 500 Pakete pro Sekunde für Multicasts eingestellt. Wird einer dieser Werte überschritten, wird das Interface deaktiviert.

interface FastEthernet0/1
 storm-control broadcast level pps 100
 storm-control multicast level pps 500
 storm-control action shutdown

Beobachten Sie die Multicast- und Broadcast-Rate eines Interfaces im Normalbetrieb und legen Sie danach die Schwellwerte fest. Ohne das Kommando storm-control action shutdown würde der Switch den Traffic nur filtern (blocken). Zusätzlich kann der Switch einen Trap senden. Folgende Konfiguration begrenzt Multicast auf 100 KBit/s und sendet einen Trap beim Auftreten dieser Bedingung.#

errdisable recovery cause storm-control

interface FastEthernet0/1
 storm-control broadcast level pps 100
 storm-control multicast level bps 100k
 storm-control action shutdown
 storm-control action trap

Ein Broadcaststurm sieht auf der Konsole dann so aus:

Switch#
03:16:27: %PM-4-ERR_DISABLE: storm-control error detected on Fa0/1, putting Fa0/1 in err-disable state
Switch#
03:16:27: %STORM_CONTROL-3-SHUTDOWN: A packet storm was detected on Fa0/1. The interface has been disabled.
Switch#
Switch#show storm-control
Interface  Filter State   Upper        Lower        Current
---------  -------------  -----------  -----------  ----------
Fa0/1      Link Down         100 pps      100 pps        0 pps

Switch#
03:21:20: %PM-4-ERR_RECOVER: Attempting to recover from storm-control err-disable state on Fa0/1
Switch#
03:21:23: %PM-4-ERR_DISABLE: storm-control error detected on Fa0/1, putting Fa0/1 in err-disable state

Das Interface wird deaktiviert und der Sturm kann das Netzwerk nicht stören. Mit show storm-control kann sich der Admin den aktuellen Zustand ansehen. Im obigen Beispiel versucht der Switch nach 5 Minuten das Interface wieder zu aktivieren.

network lab Empfehlung

Storm Control für Multicast und Broadcast sollte auf allen Edge-Ports eines Netzwerkes aktiviert werden. In flachen Netzen oder bei intensiver Nutzung einer Multicast-Applikation müssen die Schwellwerte angepasst werden um Fehlalarme zu vermeiden.

errdisable recovery cause storm-control

interface FastEthernet0/1
 storm-control broadcast level pps 100
 storm-control multicast level bps 500k
 storm-control action shutdown
 storm-control action trap

Storm Control für Unicast könnte auf öffentlichen Ports (Netzwerkzugang für Gäste) interessant sein.

 

Inhalt

  1. Grundlagen
  2. Spanning Tree / BPDU-Guard
  3. Cisco Discovery Protocol (CDP)
  4. Trunking DTP / ISL / dot1q
  5. DHCP Snooping
  6. Dynamic ARP Inspection (DAI)
  7. Storm Control
  8. Port Security
  9. Beispielkonfigurationen

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012