Storm control = Contrôle des tempêtes
Tempête = Trames circulant indéfiniment sur le réseau = DoS (Deny of Service)
Pour qu’il y ai une tempête, il faut qu’il y ait une boucle sur notre réseau et que celle-ci soit active (Spanning-tree désactivé ou mal configuré).
Le but de cet article est de se protéger de ces tempêtes
Fonctionnement
Type de trafic
Il existe 3 types de tempête :
Broadcast
Adresse MAC de destination : FF:FF:FF:FF:FF:FF
Exemple : ARP, DHCP, NetBIOS,…
Multicast
– Adresse MAC de destination : de 01-00-5E-00-00-00 à 01-00-5E-7F-FF-FF
– Uniquement valable sur les ports GigabitEthernet et 10-GigabitEthernet
Exemple : Paquets Hello, CDP, Flux vidéo en multicast, …
Unknown Unicast
– Adresse MAC de destination absente de la table CAM du Switch.
– Uniquement valable sur les ports GigabitEthernet et 10-GigabitEthernet
Exemple : Un PC ajoute dans sa table ARP une adresse MAC aléatoire avec une adresse IP non utilisée sur son LAN et décide de pinger cette adresse. Cette trame va être diffusée sur tous les ports présents dans son VLAN vu que personne ne connaît cette adresse MAC…
Taux de tolérance
Afin de nous protéger de ses tempêtes, nous allons fixer un taux de tolérance. Pour ce faire, 3 possibilités s’offrent à nous :
– Pourcentage (%) | de 0% à 100%
– Bits par secondes (bps) | de 0,0 à 10 000 000 000,0 (10Gbps)
– Paquets par secondes (pps) | de 0,0 à 10 000 000 000,0 (10Gbps)
Réaction du Storm control
En cas de dépassement de quota, deux choix s’offrent à nous :
Shutdown
Le port est mis en mode ERR-DISABLE si les seuils fixés ont été dépassés.
Trap
Envoie une alerte à notre manager SNMP préalablement configuré.
Configuration
Type de trafic
Le Storm-control se configure sur une interface physique.
Switch(config)# interface FastEthernet 0/1 Switch(config-if)# storm-control [ broadcast | multicast | unicast | action ]
Taux de tolérance
Pourcentage
Switch(config-if)# storm-control broadcast [seuil-haut] [seuil-bas]
Bits par seconde
Switch(config-if)# storm-control broadcast bps [seuil-haut] [seuil-bas]
Paquets par secondes
Switch(config-if)# storm-control broadcast pps [seuil-haut] [seuil-bas]
Réaction du Storm control
Switch(config-if)# storm-control action [ shutdown | Trap ]
Exemple
Switch(config-if)# storm-control broadcast 50 20 Switch(config-if)# storm-control multicast bps 50k 20k Switch(config-if)# storm-control unicast pps 50k 20k Switch(config-if)# storm-control action drop
Conclusion
Le Storm Control est une bonne protection.
Afin de mettre cette solution en place, il faut dans un premier temps avoir pleinement conscience du trafic qui circule sur votre réseau.
Mal configuré, cela peut virer au drame !!
En espérant que cet article vous a été utile ! N’hésitez pas à me la faire savoir !!
FingerInTheNet.com
Comments (1)
Félicitations !
Ça ne semble pas être clair s’il faut faire un shu/no shu manuel si l’interface tombe en mode ERR-DISABLE oubien, c’est storm-control action shutdown qui s,en charge ?
Il y a une petite confusion dans la définition des options de “storm-control action”. La section “Réaction du Storm control” indique “storm-control action [ shutdown | Trap ]” alors que la section Exemple montre la possibilité d’utiliser l’option “Drop”.
Est-ce que le “Unknown Unicast” n’a pas également besoin de faire un “Broadcast” pour trouver l’adresse de destion (Adresse MAC : FF:FF:FF:FF:FF:FF) ?
Si j’ai bien compris, une façon simple de tester Storm Control serait de désactiver Spanning Tree ou de configurer BPDUFliter.