Storm-Control :: Cisco Switch sicher einrichten
Broadcaststürme können leicht ganze Netzwerke stören. Sie breiten sich innerhalb einer
Broadcast Domain auf dem Layer 2 aus. Das kann in flachen Netzen das gesamte Netzwerk sein, oder in modernen Netzen
ein VLAN. Ein Broadcaststurm kann auch Router stören (hohe CPU-Last) und so über die Grenzen eines VLANs zu Störungen
führen.
Der typische Verursacher für einen Broadcaststurm ist der kleine Switch im Büro oder auf
dem Besprechungstisch. Wird dort versehentlich eine Schleife (Loop) gepatcht, wird dieser Switch
zum Traffic Generator.
Das rote Kabel am kleinen 3Com-Switch erzeugt eine Schleife auf dem Layer 2. Der Switch flutet dadurch
auch die zentralen Switche über das grüne Kabel mit allen Broadcasts, Multicasts und Unicasts mit unbekanntem
Empfänger.
Storm Control einrichten
Cisco IOS bietet mit dem Feature Storm Control die Möglichkeit,
auf Broadcast-, Multicast- und Unicast-Stürme zu reagieren. Die Schwellwerte für die Erkennung eines Sturmes können
in Bit pro Sekunde, Paketen pro Sekunde oder Prozent der Bandbreite angegeben werden.
Im folgenden Beispiel werden die Schwellwerte für FastEthernet0/1 auf 100 Pakete pro Sekunde
für Broadcasts und 500 Pakete pro Sekunde für Multicasts eingestellt. Wird einer dieser Werte überschritten,
wird das Interface deaktiviert.
interface FastEthernet0/1
storm-control broadcast level pps 100
storm-control multicast level pps 500
storm-control action shutdown
Beobachten Sie die Multicast- und Broadcast-Rate eines Interfaces im Normalbetrieb und legen Sie danach die
Schwellwerte fest. Ohne das Kommando storm-control action shutdown würde der Switch den Traffic nur
filtern (blocken). Zusätzlich kann der Switch einen Trap senden.
Folgende Konfiguration begrenzt Multicast auf 100 KBit/s und sendet einen Trap beim Auftreten dieser Bedingung.#
errdisable recovery cause storm-control
interface FastEthernet0/1
storm-control broadcast level pps 100
storm-control multicast level bps 100k
storm-control action shutdown
storm-control action trap
Ein Broadcaststurm sieht auf der Konsole dann so aus:
Switch#
03:16:27: %PM-4-ERR_DISABLE: storm-control error detected on Fa0/1, putting Fa0/1 in err-disable state
Switch#
03:16:27: %STORM_CONTROL-3-SHUTDOWN: A packet storm was detected on Fa0/1. The interface has been disabled.
Switch#
Switch#show storm-control
Interface Filter State Upper Lower Current
--------- ------------- ----------- ----------- ----------
Fa0/1 Link Down 100 pps 100 pps 0 pps
Switch#
03:21:20: %PM-4-ERR_RECOVER: Attempting to recover from storm-control err-disable state on Fa0/1
Switch#
03:21:23: %PM-4-ERR_DISABLE: storm-control error detected on Fa0/1, putting Fa0/1 in err-disable state
Das Interface wird deaktiviert und der Sturm kann das Netzwerk nicht stören.
Mit show storm-control kann sich der Admin den aktuellen Zustand ansehen.
Im obigen Beispiel versucht der Switch nach 5 Minuten das Interface wieder zu
aktivieren.
network lab Empfehlung
Storm Control für Multicast und Broadcast sollte auf allen Edge-Ports eines Netzwerkes
aktiviert werden. In flachen Netzen oder bei intensiver Nutzung einer Multicast-Applikation
müssen die Schwellwerte angepasst werden um Fehlalarme zu vermeiden.
errdisable recovery cause storm-control
interface FastEthernet0/1
storm-control broadcast level pps 100
storm-control multicast level bps 500k
storm-control action shutdown
storm-control action trap
Storm Control für Unicast könnte auf öffentlichen Ports (Netzwerkzugang für Gäste) interessant sein.
Inhalt
- Grundlagen
- Spanning Tree / BPDU-Guard
- Cisco Discovery Protocol (CDP)
- Trunking DTP / ISL / dot1q
- DHCP Snooping
- Dynamic ARP Inspection (DAI)
- Storm Control
- Port Security
- Beispielkonfigurationen
|