Storm Control (CISCO)
Storm control = Contrôle des tempêtes
Tempête = Trames circulant indéfiniment sur le réseau = DoS (Deny of Service)
Pour qu’il y ai une tempête, il faut qu’il y ait une boucle sur notre réseau et que celle-ci soit active (Spanning-tree désactivé ou mal configuré).
Le but de cet article est de se protéger de ces tempêtes
Il existe 3 types de tempête de broadcast :
L’adresse MAC de destination d’une tempête de broadcast a une Adresse MAC de destination : FF:FF:FF:FF:FF:FF (Exemple : ARP, DHCP, NetBIOS,…)
L’adresse MAC de destination d’une tempête multicast a une Adresse MAC de destination compris entre 01-00-5E-00-00-00 et 01-00-5E-7F-FF-FF. Elle est uniquement valable sur les ports GigabitEthernet et 10-GigabitEthernet. (Exemple : Paquets Hello, CDP, Flux vidéo en multicast, …)
L’adresse MAC de destination d’une tempête Unknow Unicast a une Adresse MAC absente de la table CAM du Switch. Elle est uniquement valable sur les ports GigabitEthernet et 10-GigabitEthernet
Exemple : Un PC ajoute dans sa table ARP une adresse MAC aléatoire avec une adresse IP non utilisée sur son LAN et décide de pinger cette adresse. Cette trame va être diffusée sur tous les ports présents dans son VLAN vu que personne ne connaît cette adresse MAC…
Afin de nous protéger de ses tempêtes, nous allons fixer un taux de tolérance. Pour ce faire, 3 possibilités s’offrent à nous :
En cas de dépassement de quota, deux choix s’offrent à nous :
Shutdown : Le port est mis en mode ERR-DISABLE si les seuils fixés ont été dépassés.
Trap : Envoie une alerte à notre manager SNMP préalablement configuré.
Le Storm-control se configure sur une interface physique.
Sw(config)# interface FastEthernet 0/1 Sw(config-if)# storm-control [ broadcast | multicast | unicast | action ]
Pourcentage
Sw(config-if)# storm-control broadcast [seuil-haut] [seuil-bas]
Bits par seconde
Sw(config-if)# storm-control broadcast bps [seuil-haut] [seuil-bas]
Paquets par secondes
Sw(config-if)# storm-control broadcast pps [seuil-haut] [seuil-bas]
Switch(config-if)# storm-control action [ shutdown | Trap ]
Switch(config-if)# storm-control broadcast 50 20
Switch(config-if)# storm-control multicast bps 50k 20k
Switch(config-if)# storm-control unicast pps 50k 20k
Switch(config-if)# storm-control action drop
Le Storm Control est une bonne protection.
Afin de mettre cette solution en place, il faut dans un premier temps avoir pleinement conscience du trafic qui circule sur votre réseau.
Mal configuré, cela peut virer au drame !!
Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !
Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet
Comments (1)
Félicitations !
Ça ne semble pas être clair s’il faut faire un shu/no shu manuel si l’interface tombe en mode ERR-DISABLE oubien, c’est storm-control action shutdown qui s,en charge ?
Il y a une petite confusion dans la définition des options de “storm-control action”. La section “Réaction du Storm control” indique “storm-control action [ shutdown | Trap ]” alors que la section Exemple montre la possibilité d’utiliser l’option “Drop”.
Est-ce que le “Unknown Unicast” n’a pas également besoin de faire un “Broadcast” pour trouver l’adresse de destion (Adresse MAC : FF:FF:FF:FF:FF:FF) ?
Si j’ai bien compris, une façon simple de tester Storm Control serait de désactiver Spanning Tree ou de configurer BPDUFliter.