本节书摘来自异步社区《IP组播(第1卷)》一书中的第2章,第2.12节,作者【美】Josh Loveless(乔希 勒夫莱斯) , Ray Blair(雷 布莱尔) , Arvind Durai(阿温德 杜莱),更多章节内容可以访问云栖社区“异步社区”公众号查看
2.12 二层保护
IGMP探测特性是配置在交换机上的机制,对于那些无意接收组播流量的设备来说,这种机制能够将组播流量对它的影响降到最低。这项特性不仅保护了网络架构中的资源,还保护了连接在网络中的设备。另一个值得一提且能够保护网络正常运行的特性是风暴控制。
2.12.1 风暴控制
网络中会由于多种不同的方式引发数据风暴,其中包括蓄意的拒绝服务(DoS)攻击、次品网卡(NIC)、程序有问题的NIC驱动等。为了预防网络中无节制地生成广播、组播,或者甚至单播流量淹没交换机,风暴控制特性允许工程师以接口为基础,为这些类型的流量设置门限值。
工程师可以在端口上进行配置,可以根据以下参数来限定流量:带宽百分比、每秒比特数(BPS)或每秒数据包数(PPS)。
当流量到达了门限值时,工程师可以选择发送SNMP(简单网络管理协议)Trap消息,或者关闭端口,也就是让端口进入错误error-disable(错误关闭)状态。
配置参数如下所示。
storm-control broadcast level <0.00 - 100.00> / bps / pps
storm-control multicast level <0.00 - 100.00> / bps / pps
storm-control unicast level <0.00 - 100.00> / bps / pps
storm-control action trap
storm-control action shutdown
在下面这个案例中,工程师配置交换机:当广播流量超过50%时,发送SNMP消息。
Switch(config)#interface gigabitEthernet 0/2
Switch(config-if)#storm-control broadcast level 50
Switch(config-if)#storm-control action trap
下面这条输出内容就是当广播流量超出限制之后,交换机生成的SNMP消息。
%STORM_CONTROL-3-FILTERED: A Broadcast storm detected on Gi0/2. A packet filter
action has been applied on the interface.
工程师也可以使用下面这条命令,将端口转换为error-disable状态。
Switch(config-if)#storm-control action shutdown
当端口关闭时,交换机上会弹出以下信息。
%PM-4-ERR_DISABLE: storm-control error detected on Gi0/2, putting Gi0/2 in
err-disable state
%STORM_CONTROL-3-SHUTDOWN: A packet storm was detected on Gi0/2. The interface has
been disabled.
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state
to down
%LINK-3-UPDOWN: Interface GigabitEthernet0/2, changed state to down
本节前文中提到了DoS攻击。当工程师配置了storm-control action shutdown命令后,可能需要手动让关闭的接口重新启用。不过工程师也可以使用errdisable recovery命令来解决这个问题。
Switch(config)#errdisable recovery cause storm-control
Swtich(config)#errdisable recovery interval 30
在端口恢复后,交换机上会弹出以下信息。
2d07h: %PM-4-ERR_RECOVER: Attempting to recover from storm-control err-disable
state on Gi0/2
2d07h: %LINK-3-UPDOWN: Interface GigabitEthernet0/2, changed state to up
2d07h: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed
state to up
注释
在设置风暴级别时要谨慎,因为你可能会自己发起DoS攻击,从而拒绝合法流量。
