Storm control = Contrôle des tempêtes
Tempête = Trames circulant indéfiniment sur le réseau = DoS (Deny of Service)
Pour qu’il y ai une tempête, il faut qu’il y ait une boucle sur notre réseau et que celle-ci soit active (Spanning-tree désactivé ou mal configuré).
Le but de cet article est de se protéger de ces tempêtes
Les différents types de tempête
Il existe 3 types de tempête de broadcast :
- Broadcast
- Multicast
- Unknow Unicast
L’adresse MAC de destination d’une tempête de broadcast a une Adresse MAC de destination : FF:FF:FF:FF:FF:FF (Exemple : ARP, DHCP, NetBIOS,…)
L’adresse MAC de destination d’une tempête multicast a une Adresse MAC de destination compris entre 01-00-5E-00-00-00 et 01-00-5E-7F-FF-FF. Elle est uniquement valable sur les ports GigabitEthernet et 10-GigabitEthernet. (Exemple : Paquets Hello, CDP, Flux vidéo en multicast, …)
L’adresse MAC de destination d’une tempête Unknow Unicast a une Adresse MAC absente de la table CAM du Switch. Elle est uniquement valable sur les ports GigabitEthernet et 10-GigabitEthernet
Exemple : Un PC ajoute dans sa table ARP une adresse MAC aléatoire avec une adresse IP non utilisée sur son LAN et décide de pinger cette adresse. Cette trame va être diffusée sur tous les ports présents dans son VLAN vu que personne ne connaît cette adresse MAC…
taux de tolérance
Afin de nous protéger de ses tempêtes, nous allons fixer un taux de tolérance. Pour ce faire, 3 possibilités s’offrent à nous :
- Pourcentage (%) | de 0% à 100%
- Bits par secondes (bps) | de 0,0 à 10 000 000 000,0 (10Gbps)
- Paquets par secondes (pps) | de 0,0 à 10 000 000 000,0 (10Gbps)
Réaction du Storm control
En cas de dépassement de quota, deux choix s’offrent à nous :
- Shutdown
- Trap
Shutdown : Le port est mis en mode ERR-DISABLE si les seuils fixés ont été dépassés.
Trap : Envoie une alerte à notre manager SNMP préalablement configuré.
Configuration
Type de trafic
Le Storm-control se configure sur une interface physique.
Sw(config)# interface FastEthernet 0/1 Sw(config-if)# storm-control [ broadcast | multicast | unicast | action ]
Taux de tolérance
Pourcentage
Sw(config-if)# storm-control broadcast [seuil-haut] [seuil-bas]
Bits par seconde
Sw(config-if)# storm-control broadcast bps [seuil-haut] [seuil-bas]
Paquets par secondes
Sw(config-if)# storm-control broadcast pps [seuil-haut] [seuil-bas]
Réaction du Storm control
Switch(config-if)# storm-control action [ shutdown | Trap ]
Exemple
Switch(config-if)# storm-control broadcast 50 20
Switch(config-if)# storm-control multicast bps 50k 20k
Switch(config-if)# storm-control unicast pps 50k 20k
Switch(config-if)# storm-control action drop
Conclusion
Le Storm Control est une bonne protection.
Afin de mettre cette solution en place, il faut dans un premier temps avoir pleinement conscience du trafic qui circule sur votre réseau.
Mal configuré, cela peut virer au drame !!
Sur le même thème
Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !
Comments (1)
Félicitations !
Ça ne semble pas être clair s’il faut faire un shu/no shu manuel si l’interface tombe en mode ERR-DISABLE oubien, c’est storm-control action shutdown qui s,en charge ?
Il y a une petite confusion dans la définition des options de “storm-control action”. La section “Réaction du Storm control” indique “storm-control action [ shutdown | Trap ]” alors que la section Exemple montre la possibilité d’utiliser l’option “Drop”.
Est-ce que le “Unknown Unicast” n’a pas également besoin de faire un “Broadcast” pour trouver l’adresse de destion (Adresse MAC : FF:FF:FF:FF:FF:FF) ?
Si j’ai bien compris, une façon simple de tester Storm Control serait de désactiver Spanning Tree ou de configurer BPDUFliter.