Storm Control, Unicast Flooding

Storm Control

Storm Contorolは{Unicast | Broadcast | Multicast} Stormから該当ポートを守ることができる。

inteface上で1秒間に受信した特定のpacketの数をカウントし、事前に定めておいたsuppressionのthresholdと比較することで、Storm Contorolを行う。

Storm Contorolの設定は以下の要素から行うことができる。
– 総帯域の何パーセントか
– どの種類のpacketを受信したtrafficか

Multicast Trafficのレートが事前に設定したthresholdを越えたとき、指定のthresholdレベルにtrafficが下がるまで、すべてのincoming trafficはdropされる。
Spanning Treeのpacketのみ、このシチュエーションではforwardingされる。BroadcastとUnicastのtrafficが超えた場合は、超えたtraffic種別のみがブロックされる。

Storm Controlは以下のコマンドで設定できる。

storm-control {broadcast | multicast | unicast} level {level [level-low] | pps pps [pps-low]}

 
Unicast Flooding

宛先Mac addressがMac address tableに存在しない場合、それぞれのVLANごとに所属するすべてのポートからフレームがfloodingされる。

Floodingが避けられず必要なものだったとしても、必要以上のfloodingは非対称routingや、STPのトポロジ変更、もしくはforwarding tableのオーバーフローの原因となる。floodingはDoSアタックなどのネットワーク攻撃の結果としても存在する。
下記のコマンドで、unicastのflooding防止を設定できる。

mac-address-table unicast-flood {limit kfps} {vlan VLAN} {filter timeout | alert | shutdown}
Catalyst6500シリーズでは、 Unknown Unicast Flood Blockingを設定することができる。

switchport block unicast

Pocket

コメントを残す