Как ловить широковещательный флуд на коммутаторах D-Link

Заметил как-то в одной общей сети скачки широковещательного трафика, обнаружить удалось естественно быстро, так как заранее настроил мониторинг через графики и триггеры используя Zabbix. Посмотрел графики широковещательного трафика с портов основного коммутатора, отсюда было видно откуда он начал идти, и так по цепочке определяем до клиентского коммутатора и порта. В системе мониторинга Zabbix удобно настраивать триггеры которые срабатывают при превышении лимита широковещательно трафика и сообщают об это на экране, электронную почту администратору и т.д.

Естественно защита от петель на всех коммутаторах была включена (но флуд в моём случае был не от петли):

enable loopdetect
config loopdetect ports 1-24 state enabled
config loopdetect recover_timer 600 interval 10 mode port-based
show loopdetect

Контроль широковещательных штормов тоже был включен:

config traffic control 1-24 broadcast enable action drop threshold 64 countdown 5 time_interval 5

Посмотреть трафик на портах можно командой (на примере с 1 по 24 порт, отсюда можно увидеть с какого порта идет broadcast):

show packet port 1-24

Пример отключения и включения порта:

config ports 11 state disable
config ports 11 state enable
show ports
show ports description

Через ACL можно также полностью запретить широковещательный трафик, но в этом случае пользователи не смогут получать по DHCP IP-адреса (будут работать только прописанные вручную IP):

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 7
config access_profile profile_id 7 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny

В момент широковещательного флуда у пользователей подключенных в общей сети может плохо работать или вовсе не работать интернет, на коммутаторах обычно повышенная загрузку процессора и т.д., по этому его нужно заранее ограничивать всеми возможными подходящими функциями на всех коммутаторах.

Добавить комментарий