| Автор |
Сообщение |
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
|
Здравствуйте.
Есть некое недопонимание по соотв. технологии контроля трафика на портах доступа.
Механизм storm-control broadcast, multicast. Хотелось бы некий best practice по значениям и режиму срабатывания.
выставленные значения в:
Switch(config-if)#storm-control broadcast level 10.00
Switch(config-if)#storm-control multicast level 10.00
Switch(config-if)#storm-control action shutdown
насколько корректны?
Спасибо.
|
| 30 сен 2019, 21:38 |
|
|
|
Praporwik
Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 103
|
От свича зависит.
На гигабитном порту аксессного 4510 делал так
interface GigabitEthernet1/1
switchport access vlan 168
switchport mode access
switchport nonegotiate
switchport voice vlan 167
storm-control broadcast level 3.00
storm-control action shutdown
storm-control action trap
Если порт 100, то
storm-control broadcast level 30.00
В данном случае, порт будет выключен. А дальше - либо включать руками, либо автоматом через определенное время.
|
| 01 окт 2019, 17:58 |
|
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
|
Только учитывайте следующее.
1. ARP не подпадают под storm-control.
2. Опция Unicast - весь юникаст, а не только unknown.
|
| 02 окт 2019, 10:45 |
|
|
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
|
Для юникаста применять storm control не стоит.
И да, пороговые значения в % и в pps очень отличаются. То есть, что лучше использовать % значения, или высчитывать каким-то образом pps. Вопрос
Если %, то видимо да, выставлять нужно от 1.5 до 3
|
| 02 окт 2019, 12:05 |
|
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
|
Если шторм-контроль используете для защиты оборудования, то в pps, потому что процессор расходуется количеством пакетов, а не их размером.
|
| 03 окт 2019, 12:06 |
|
|
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
|
Тогда вопрос, как правильно вычислить pps?
|
| 08 окт 2019, 10:03 |
|
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
|
Опытным путём. Всё зависит от конкретной железки (её возможностей по обработке трафика) и baseline в вашей сети.
Кстати, для ARP/DHCP/IGMP может подойти фича, которая называется PSP - Protocol Storm Protection. Но есть она не на всех железках.
|
| 08 окт 2019, 12:58 |
|
|
|
Michail_M
Зарегистрирован: 09 июл 2012, 15:22
Сообщения: 27
|
Я опытным путем подбирал. Есть одно подключение к сторонней сети, где пакеты гуляют сами по себе.
Настройка можно сказать параноидальная. Срабатывает в один-два раза. Зато после срабатывания и возврата порта все успокаивается.
interface GigabitEthernet0/6
switchport access vlan 17
switchport mode access
switchport block multicast
switchport block unicast
speed 100
duplex full
udld port disable
storm-control broadcast level 2.00 1.00
storm-control multicast level pps 100k 20k
storm-control unicast level pps 100k 20k
storm-control action shutdown
storm-control action trap
spanning-tree portfast
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
|
| 09 окт 2019, 19:01 |
|
|
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
|
А у тебя событие shutdown и trap стоит. То есть по достижении порога в 2.00 порт в shut, а в 1.00 порт в trap?
|
| 14 окт 2019, 09:30 |
|
|
|
Praporwik
Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 103
|
dezhnevo писал(а): А у тебя событие shutdown и trap стоит. То есть по достижении порога в 2.00 порт в shut, а в 1.00 порт в trap? Нет. Первое значение - это верхний порог 2.00, когда порты выключается, а 1.00 нижний порог, когда порт включается. А трап тут - просто "ловушка", событие должно быть отослано в мониторинг.
|
| 14 окт 2019, 12:42 |
|
|
|
Michail_M
Зарегистрирован: 09 июл 2012, 15:22
Сообщения: 27
|
Praporwik писал(а): Первое значение - это верхний порог 2.00, когда порты выключается, а 1.00 нижний порог, когда порт включается.
А трап тут - просто "ловушка", событие должно быть отослано в мониторинг. Абсолютно верно. Трап идет на мониторинг.
|
| 14 окт 2019, 16:58 |
|
|
