Шторм пакетов (Broadcast/Multicast Storm) — это одна из самых частых и коварных проблем в локальных сетях. Выход из строя сетевого оборудования, петля уровня L2, вирусная активность или некорректная настройка сервера могут за считанные секунды положить весь сегмент сети, загрузив каналы бесполезным трафиком на 100%. Справиться с этой проблемой помогает функция Storm Control (контроль штормов).
В этой статье разберем, как работает эта функция, и рассмотрим пошаговую настройку защиты от штормов на портах коммутатора D-Link DGS-1250-28X/RU.
Что такое шторм пакетов и какие типы трафика контролируются
Шторм возникает, когда количество пакетов определенного типа превышает пропускную способность порта или возможности коммутатора по обработке этого типа трафика. D-Link DGS-1250-28X/RU позволяет мониторить и ограничивать три основных типа трафика:
- Broadcast (Широковещательный трафик): Пакеты, адресованные всем устройствам в VLAN (например, ARP-запросы, DHCP). Избыток broadcast-трафика заставляет процессор каждого ПК в сети обрабатывать прерывания, что ведет к торможению системы.
- Multicast (Мультикаст трафик): Пакеты, адресованные группе устройств (например, IPTV, видеоконференции, маршрутизирующие протоколы). Без контроля IGMP Snooping или Storm Control мультикаст может вести себя как широковещательный. Здесь можно выбрать, какой мультикаст-трафик контролировать: только незарегистрированный или весь. При выборе значения "только незарегистрированный" ограничения будут действовать для multicast-трафика, MAC-адрес назначения которого не был занесен в multicast-таблицу коммутатора. А при выборе значения "весь" ограничения будут действовать на весь multicast-трафик, поступающий на порт.
- Unicast (Уникаст): пакеты, адресованные конкретному устройству. Здесь можно выбрать, какой уникаст-трафик контролировать: только незарегистрированный или весь. При выборе значения "только незарегистрированный" ограничения будут действовать для unicast-трафика, MAC-адрес назначения которого не был занесен в таблицу коммутации коммутатора. А если "весь" – ограничения будут действовать на весь unicast-трафик, поступающий на порт коммутатора.
Принцип работы Storm Control: Коммутатор измеряет скорость входящего трафика на порту. Если она превышает заданный порог (threshold), коммутатор начинает применять к избыточным пакетам заданное действие:
- Отбросить (drop) – в этом случае входящие пакеты отбрасываются при превышении порогового значения.
- Отключить порт (shutdown) –в этом случае пакеты отбрасываются при превышении порогового значения. Порт аварийно отключается, если шторм не прекращается через период времени, равный интервалу между проверками, умноженному на количество проверок.
Где интервал между проверками – это значение, заданное командой storm-control polling interval, а количество проверок – это значение, заданное командой storm-control polling retries.
Чтобы порт автоматически восстанавливался после сбоя, нужно отдельно настроить автоматическое восстановление порта после того, как он был отключен функцией Storm Control,
- Пропустить (none) – при выборе этого значения пакеты, распознанные как шторм, не блокируются, при этом соответствующие уведомления об их появлении отображаются в журнале событий, а также системному администратору могут отправляться SNMP-уведомления (SNMP traps).
Прежде чем настраивать защиту, важно помнить архитектуру данного коммутатора:
- Порты 1–24: Медные гигабитные порты (10/100/1000Base-T). Обычно используются для подключения конечных устройств (ПК, IP-телефоны, точки доступа). Именно здесь Storm Control необходим в первую очередь.
- Порты 25–28: Оптические 10-гигабитные порты (10G SFP+). Используются как аплинки (uplinks) к ядру сети или для стекирования/агрегации. На аплинках Storm Control включать не рекомендуется, чтобы не обрезать легитимный мультикаст или пиковый трафик.
Подсчитывать входящий трафик коммутатор может или в пакетах в секунду, или килобитах в секунду. Измерение штормов в пакетах в секунду (pps — packets per second) — это более грамотный и точный подход, чем использование в килобитах в секунду (kbps).
Так же на порту можно ограничить скорость приема ARP-запросов, сообщений BPDU, а также пакетов DHCP и IGMP. Диапазон возможных значений для этого ограничения: от 0 до 511 пакетов в секунду.
Абсолютных рекомендаций о том, какое значение надо указывать, не существует. Могу привести только примерные.
- BPDU (Spanning Tree Protocol)
Для портов доступа (ПК, телефоны): 5 - 10 pps.
Для портов с точками доступа Wi-Fi: 10 - 20 pps
Для аплинков и портов с коммутаторами: НЕ НАСТРАИВАТЬ (или поставить максимум 511)
Обоснование: Конечные устройства (ПК, телефоны) не должны генерировать BPDU вообще. Если BPDU приходит на порт доступа — это либо пользователь подключил свой свитч петлей, либо атака. Лимит в 10 pps срежет это, но не помешает легитимному STP на аплинках.
- DHCP (Dynamic Host Configuration Protocol)
Для портов доступа (один ПК): 20 - 30 pps
Для портов с точками доступа Wi-Fi (много клиентов): 100 - 200 pps
Для аплинков: НЕ НАСТРАИВАТЬ
Обоснование: Один ПК отправляет DHCP Discover только при загрузке. Но точка доступа может транзитом пропускать DHCP-запросы от 50+ беспроводных клиентов одновременно. Лимит должен учитывать это.
- ARP (Address Resolution Protocol)
Для портов доступа (офисные ПК): 50 - 100 pps
Для портов с IP-камерами или серверами: 150 - 300 pps
Для аплинков: НЕ НАСТРАИВАТЬ
Обоснование: ARP может быть довольно активным. Сетевые сканеры, антивирусы, опрос принтеров генерируют десятки ARP-запросов. Слишком низкий лимит приведет к "отвалам" связи. Но помните: в Storm Control дропаются ВСЕ ARP-пакеты на порту, даже транзитные!
- IGMP (Multicast signaling)
Для портов без IPTV: 20 - 30 pps
Для портов с IPTV/видеоконференциями: 100 - 200 pps
Для аплинков: НЕ НАСТРАИВАТЬ
Обоснование: IGMP Join/Leave генерируются при подключении к мультикаст-потокам. Если у вас IPTV на каждом столе, нужен больший лимит.
Пример настройки Storm control на порту 10 коммутатора
DGS-1250-28X# configure terminal
DGS-1250-28X(config)# storm-control polling interval 10
DGS-1250-28X(config)# storm-control polling retries 4
DGS-1250-28X(config)# interface ethernet 1/0/10
DGS-1250-28X(config-if)# storm-control broadcast level pps 2000
DGS-1250-28X(config-if)# storm-control multicast level pps 2000
DGS-1250-28X(config-if)# storm-control unicast level pps 500
DGS-1250-28X(config-if)# storm-control protostorm arp level pps 200
DGS-1250-28X(config-if)# storm-control protostorm bpdu level pps 10
DGS-1250-28X(config-if)# storm-control protostorm igmp level pps 100
DGS-1250-28X(config-if)# storm-control protostorm dhcp level pps 20
DGS-1250-28X(config-if)# end
DGS-1250-28X#
Для оперативного отслеживания возникновения в сети пакетного шторма рекомендуется настроить отправку SNMP-сообщений о его возникновении (SNMP trap).
DGS-1250-28X(config)# snmp-server
DGS-1250-28X(config)# snmp-server community 'public' access-mode read-only trap-destination 10.90.90.100
DGS-1250-28X(config)# snmp-server community 'private' access-mode read-only trap-destination 10.90.90.100
DGS-1250-28X(config)# snmp-server traps storm-control enable
10.90.90.100 - в этом примере это IP-адреса SNMP-сервера