Created by potrace 1.10, written by Peter Selinger 2001-2011
Finger in the net
Blog d'administration réseau
Created by potrace 1.10, written by Peter Selinger 2001-2011

Storm Control (CISCO)

Finger In The Net
"Storm control = Contrôle des tempêtes Tempête = Trames circulant indéfiniment sur le réseau = DoS (Deny of Service) pour qu'il y ait une tempête, il faut qu'il y ait une boucle sur notre réseau et que celle-ci soit active (Spanning-tree désactivé ou mal configuré). Le but de cet article est de se protéger de ces tempêtes."

Storm controlContrôle des tempêtes
Tempête = Trames circulant indéfiniment sur le réseau = DoS (Deny of Service)

Pour qu’il y ai une tempête, il faut qu’il y ait une boucle sur notre réseau et que celle-ci soit active (Spanning-tree désactivé ou mal configuré).

Le but de cet article est de se protéger de ces tempêtes

Chapitre 1

Les différents types de tempête

Il existe 3 types de tempête de broadcast :

  • Broadcast
  • Multicast
  • Unknow Unicast

L’adresse MAC de destination d’une tempête de broadcast a une Adresse MAC de destination : FF:FF:FF:FF:FF:FF (Exemple : ARP, DHCP, NetBIOS,…)

L’adresse MAC de destination d’une tempête multicast a une Adresse MAC de destination compris entre 01-00-5E-00-00-00 et 01-00-5E-7F-FF-FF. Elle est uniquement valable sur les ports GigabitEthernet et 10-GigabitEthernet. (Exemple : Paquets Hello, CDP, Flux vidéo en multicast, …)

L’adresse MAC de destination d’une tempête Unknow Unicast a une Adresse MAC absente de la table CAM du Switch. Elle est uniquement valable sur les ports GigabitEthernet et 10-GigabitEthernet
Exemple : Un PC ajoute dans sa table ARP une adresse MAC aléatoire avec une adresse IP non utilisée sur son LAN et décide de pinger cette adresse. Cette trame va être diffusée sur tous les ports présents dans son VLAN vu que personne ne connaît cette adresse MAC… 

taux de tolérance

Afin de nous protéger de ses tempêtes, nous allons fixer un taux de tolérance. Pour ce faire, 3 possibilités s’offrent à nous :

  • Pourcentage (%)  | de 0% à 100%
  • Bits par secondes (bps) | de 0,0 à 10 000 000 000,0 (10Gbps)
  • Paquets par secondes (pps) | de 0,0 à 10 000 000 000,0 (10Gbps)

Réaction du Storm control

En cas de dépassement de quota, deux choix s’offrent à nous :

  • Shutdown
  • Trap

Shutdown : Le port est mis en mode ERR-DISABLE si les seuils fixés ont été dépassés.

Trap : Envoie une alerte à notre manager SNMP préalablement configuré.

Chapitre 2

Configuration

Type de trafic

Le Storm-control se configure sur une interface physique.

Sw(config)# interface FastEthernet 0/1
Sw(config-if)# storm-control [ broadcast | multicast | unicast | action ]

Taux de tolérance

Pourcentage

Sw(config-if)# storm-control broadcast [seuil-haut] [seuil-bas]

Bits par seconde

Sw(config-if)# storm-control broadcast bps [seuil-haut] [seuil-bas]

Paquets par secondes

Sw(config-if)# storm-control broadcast pps [seuil-haut] [seuil-bas]

Réaction du Storm control

Switch(config-if)# storm-control action [ shutdown | Trap ] 

Exemple

Switch(config-if)# storm-control broadcast 50 20 
Switch(config-if)# storm-control multicast bps 50k 20k
Switch(config-if)# storm-control unicast pps 50k 20k
Switch(config-if)# storm-control action drop
Chapitre 3

Conclusion

Le Storm Control est une bonne protection.
Afin de mettre cette solution en place, il faut dans un premier temps avoir pleinement conscience du trafic qui circule sur votre réseau.
Mal configuré, cela peut virer au drame !!

Merci de votre attention

Sur le même thème

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Created by potrace 1.10, written by Peter Selinger 2001-2011

Débloque l'intégralité des cours !

Abonnement