Заметил как-то в одной общей сети скачки широковещательного трафика, обнаружить удалось естественно быстро, так как заранее настроил мониторинг через графики и триггеры используя Zabbix. Посмотрел графики широковещательного трафика с портов основного коммутатора, отсюда было видно откуда он начал идти, и так по цепочке определяем до клиентского коммутатора и порта. В системе мониторинга Zabbix удобно настраивать триггеры которые срабатывают при превышении лимита широковещательно трафика и сообщают об это на экране, электронную почту администратору и т.д.
Естественно защита от петель на всех коммутаторах была включена (но флуд в моём случае был не от петли):
enable loopdetect
config loopdetect ports 1-24 state enabled
config loopdetect recover_timer 600 interval 10 mode port-based
show loopdetect
Контроль широковещательных штормов тоже был включен:
config traffic control 1-24 broadcast enable action drop threshold 64 countdown 5 time_interval 5
Посмотреть трафик на портах можно командой (на примере с 1 по 24 порт, отсюда можно увидеть с какого порта идет broadcast):
show packet port 1-24
Пример отключения и включения порта:
config ports 11 state disable
config ports 11 state enable
show ports
show ports description
Через ACL можно также полностью запретить широковещательный трафик, но в этом случае пользователи не смогут получать IP-адреса по DHCP (будут работать только прописанные вручную IP адреса):
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 7
config access_profile profile_id 7 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny
В момент широковещательного флуда у пользователей подключенных в общей сети может плохо работать или вовсе не работать интернет, на коммутаторах обычно повышенная загрузку процессора и т.д., по этому его нужно заранее ограничивать всеми возможными подходящими функциями на всех коммутаторах.
Смотрите также мои статьи:
Список SNMP OID и MIB для интерфейсов
Установка и настройка Zabbix Server