CERCA
RSS Subscription
Sottoscrivi i nostri RSSper essere sempre
aggiornato sugli ultimi
articoli pubblicati nel sito!
Home Page |
Articoli | Articoli Networking
Storm Control
News inserita il 17/10/2009
Storm Control
Gli switch inoltrano il traffico basandosi sulla tabella dei MAC Address. Quando lo switch riceve una frame su una porta, inserire il MAC Address sorgente della frame con la relativa porta in una tabella chiama MAC Address Table. Quando una frame viene trasmessa, viene consultata tale tabella per conoscere la porta di destinazione e la frame viene spediata solo su quella porta.
Nel caso l'indirizzo MAC di destinazione non sia presente la frame viene spedita su tutte le porte: in tal caso si parla di unknown unicast.
Tuttavia le frame broadcast vengono trasmesse su tutte le porte. Anche le frame multicast vengono trasmesse su tutte le porte se il protocollo IGMP snooping o CGMP non Ë attivo.
In alcuni casi il traffico broadcast o in generale semplicemente quello unicast puÚ essere eccessivo e degradare le prestazioni della rete. Un caso comune Ë quello di un attacco DoS (Denial of Service).
Un metodo semplice per ridurre tale rischio Ë abilitare la feature Storm Control sugli switch. Tale feature permette di limitare il numero di pacchetti o il rate dei pacchetti broadcast, multicast o unicast ricevuti su una porta.
Il comando storm-control si applica a livello di interfaccia e permette di specificare il traffico da limitare: broadcast, multicast o unicast.
Bisogna inoltre indicare la soglia superata la quale il trafficco viene filtrato. Il traffico inizia a essere trasmesso di nuovo quando scende sotto una soglia, che se non settata Ë pari alla precedente.
La soglia puÚ essere settata in pacchetti per secondo o per rate bandwidth se il tipo di switch lo permette.
Supponiamo che vogliamo bloccare il traffico broadcast quando supera il 20% della banda disponibile (20 Mbit/s per una interfaccia 100 Mbps e 200 Mbits per una interfaccia 1Gbps) e venga trasmesso quando si abbassa sotto il 10%. Il comando Ë il seguente
interface GigabitEthernet1/0/1
storm-control broadcast level 20 10
In alcuni casi a seconda dello switch e dell'IOS Ë possibile indicare il numero di pacchetti. Nel seguente caso il numero di pacchetti multicast viene bloccato se supera i 1000 pacchetti al secondo e riattivato se scende sotto i 500.
interface GigabitEthernet1/0/1
storm-control broadcast level pps 1000 500
E' possibile sostituire la keyword broadcast con multicast o unicast per indicare tale tipo di traffico.
Di default il traffico viene esclusivamente filtrato. E' possibile filtrarlo e inviare una trap SNMP di notifica ad una stazione di management o mettere in error-disable la porta. Per scegliere tali opzioni dare il comando
storm-control action trap
o
storm-control action shutdown.
Per verificare lo stato in una interfaccia si puÚ utilizzare il comando show storm-control e specificare eventualmente l'interfaccia e il tipo di traffico.
show storm-control interface Gi1/0/1 broadcast
Gli switch inoltrano il traffico basandosi sulla tabella dei MAC Address. Quando lo switch riceve una frame su una porta, inserire il MAC Address sorgente della frame con la relativa porta in una tabella chiama MAC Address Table. Quando una frame viene trasmessa, viene consultata tale tabella per conoscere la porta di destinazione e la frame viene spediata solo su quella porta.
Nel caso l'indirizzo MAC di destinazione non sia presente la frame viene spedita su tutte le porte: in tal caso si parla di unknown unicast.
Tuttavia le frame broadcast vengono trasmesse su tutte le porte. Anche le frame multicast vengono trasmesse su tutte le porte se il protocollo IGMP snooping o CGMP non Ë attivo.
In alcuni casi il traffico broadcast o in generale semplicemente quello unicast puÚ essere eccessivo e degradare le prestazioni della rete. Un caso comune Ë quello di un attacco DoS (Denial of Service).
Un metodo semplice per ridurre tale rischio Ë abilitare la feature Storm Control sugli switch. Tale feature permette di limitare il numero di pacchetti o il rate dei pacchetti broadcast, multicast o unicast ricevuti su una porta.
Il comando storm-control si applica a livello di interfaccia e permette di specificare il traffico da limitare: broadcast, multicast o unicast.
Bisogna inoltre indicare la soglia superata la quale il trafficco viene filtrato. Il traffico inizia a essere trasmesso di nuovo quando scende sotto una soglia, che se non settata Ë pari alla precedente.
La soglia puÚ essere settata in pacchetti per secondo o per rate bandwidth se il tipo di switch lo permette.
Supponiamo che vogliamo bloccare il traffico broadcast quando supera il 20% della banda disponibile (20 Mbit/s per una interfaccia 100 Mbps e 200 Mbits per una interfaccia 1Gbps) e venga trasmesso quando si abbassa sotto il 10%. Il comando Ë il seguente
interface GigabitEthernet1/0/1
storm-control broadcast level 20 10
In alcuni casi a seconda dello switch e dell'IOS Ë possibile indicare il numero di pacchetti. Nel seguente caso il numero di pacchetti multicast viene bloccato se supera i 1000 pacchetti al secondo e riattivato se scende sotto i 500.
interface GigabitEthernet1/0/1
storm-control broadcast level pps 1000 500
E' possibile sostituire la keyword broadcast con multicast o unicast per indicare tale tipo di traffico.
Di default il traffico viene esclusivamente filtrato. E' possibile filtrarlo e inviare una trap SNMP di notifica ad una stazione di management o mettere in error-disable la porta. Per scegliere tali opzioni dare il comando
storm-control action trap
o
storm-control action shutdown.
Per verificare lo stato in una interfaccia si puÚ utilizzare il comando show storm-control e specificare eventualmente l'interfaccia e il tipo di traffico.
show storm-control interface Gi1/0/1 broadcast
Chiamaci con Skype!
- Corsi e Certificazioni Linux - scopri il nuovo catalogo(13-07-11)
- Corsi di Alta Formazione Finanziati - Consegna domande entro le ore 13:00 del 4 Agosto 2011(04-07-11)
- Iscriviti al canale CNAPONLINE su YouTube(03-07-11)
- CNAPONLINE WebEx Enterprise Site(01-07-11)
- Certificazione Cisco CCENT superata brillantemente(22-06-11)
Segui cnaponline.com nei social:
