Как ловить широковещательный флуд на коммутаторах D-Link

Заметил как-то в одной общей сети скачки широковещательного трафика, обнаружить удалось естественно быстро, так как заранее настроил мониторинг через графики и триггеры используя Zabbix. Посмотрел графики широковещательного трафика с портов основного коммутатора, отсюда было видно откуда он начал идти, и так по цепочке определяем до клиентского коммутатора и порта. В системе мониторинга Zabbix удобно настраивать триггеры которые срабатывают при превышении лимита широковещательно трафика и сообщают об это на экране, электронную почту администратору и т.д.

Естественно защита от петель на всех коммутаторах была включена (но флуд в моём случае был не от петли):

enable loopdetect
config loopdetect ports 1-24 state enabled
config loopdetect recover_timer 600 interval 10 mode port-based
show loopdetect

Контроль широковещательных штормов тоже был включен:

config traffic control 1-24 broadcast enable action drop threshold 64 countdown 5 time_interval 5

Посмотреть трафик на портах можно командой (на примере с 1 по 24 порт, отсюда можно увидеть с какого порта идет broadcast):

show packet port 1-24

Пример отключения и включения порта:

config ports 11 state disable
config ports 11 state enable
show ports
show ports description

Через ACL можно также полностью запретить широковещательный трафик, но в этом случае пользователи не смогут получать по DHCP IP-адреса (будут работать только прописанные вручную IP):

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 7
config access_profile profile_id 7 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny

В момент широковещательного флуда у пользователей подключенных в общей сети может плохо работать или вовсе не работать интернет, на коммутаторах обычно повышенная загрузку процессора и т.д., по этому его нужно заранее ограничивать всеми возможными подходящими функциями на всех коммутаторах.

Подписаться на IT Blog (RU) по Email
Subscribe to IT Blog (EN) by Email

Did my article help you? How about buying me a cup of coffee as an encouragement? Buy me a coffe.

Добавить комментарий