Storm Control
Storm Contorolは{Unicast | Broadcast | Multicast} Stormから該当ポートを守ることができる。
inteface上で1秒間に受信した特定のpacketの数をカウントし、事前に定めておいたsuppressionのthresholdと比較することで、Storm Contorolを行う。
Storm Contorolの設定は以下の要素から行うことができる。
– 総帯域の何パーセントか
– どの種類のpacketを受信したtrafficか
Multicast Trafficのレートが事前に設定したthresholdを越えたとき、指定のthresholdレベルにtrafficが下がるまで、すべてのincoming trafficはdropされる。
Spanning Treeのpacketのみ、このシチュエーションではforwardingされる。BroadcastとUnicastのtrafficが超えた場合は、超えたtraffic種別のみがブロックされる。
Storm Controlは以下のコマンドで設定できる。
storm-control {broadcast | multicast | unicast} level {level [level-low] | pps pps [pps-low]}
Unicast Flooding
宛先Mac addressがMac address tableに存在しない場合、それぞれのVLANごとに所属するすべてのポートからフレームがfloodingされる。
Floodingが避けられず必要なものだったとしても、必要以上のfloodingは非対称routingや、STPのトポロジ変更、もしくはforwarding tableのオーバーフローの原因となる。floodingはDoSアタックなどのネットワーク攻撃の結果としても存在する。
下記のコマンドで、unicastのflooding防止を設定できる。
mac-address-table unicast-flood {limit kfps} {vlan VLAN} {filter timeout | alert | shutdown}
Catalyst6500シリーズでは、 Unknown Unicast Flood Blockingを設定することができる。
switchport block unicast