Вообще термин flood буквально переводится, как наводнение. В данном контексте, говоря flood, я буду иметь в виду очень большое количество широковещательных или иных пакетов в секунду, приходящих на данный порт. Это похоже на сетевой шторм и существенно понижает пропускную способность порта. В свитчах Catalyst предусмотренны средства для контроля таких штормов. Эти средства так и называются: "Storm control". Вызываются они выбором пункта меню Port - Flooding control. Для конкретного порта эти средства можно вызвать также пункт всплывающего меню flooding control. Внешний вид flooding control:
Он состоит из 4-х закладок. Первые три показывают состояние для портов по признаку фильтрации broadcast, multicast и unicast пакетов. Broadcast - широковещательные пакеты, передаются всем машинам в данной подсети. Multicast пакеты передаются всем машинам в данной multicast группе. Unicast пакеты - верхний уровень пакетов, передаются всем машинам в сети, в них могут быть упакованы другие типы пакетов. На странице flooding control показывается состояние фильтров для каждого порта. Выделите порт, или группу портов и нажмите modify для изменения параметров фильтров порта. Допустимые параметры:
Filter state
Состояние фильтра. Допустимые значения: Disable - выключен Enable - включен
Trap state
Посылать ли сообщения SNMP серверу при фильтрации штормового трафика
Rising threshold
Пороговое значение широковещательных пакетов в секунду до начала фильтрации
Falling threshold
Нижний порог фильтра. При достижении этого значения фильтрация отключается
Кроме этого в окне статуса можно увидеть количество пакетов в секунду данного типа, приходящих на порт и число посланных сообщений о начале и конце фильтрации. Для портов можно также установить, будет ли он принимать Multicast и Unicast пакеты с неизвестными mac адресами. Если установлено значение Enable, то такой трафик разрешён, иначе он блокируется. Для каждого порта можно посмотреть это значение, а затем выделив его, нажать кнопку Modify для изменения этих параметров.
CLI: Включение flood фильтров:
Шаг 1
configure terminal
Вход в режим настройки.
Шаг 2
interface interface
Вход в режим настройки порта.
Шаг 3
port storm-control broadcast [threshold { rising rising-number falling falling-number }]
Введите верхний и нижний пороги фильтра широковещательных пакетов соответственно.
Верхний порог должен быть больше нижнего(что не должно вызывать сомнений).
Шаг 4
port storm-control trap
Посылать SNMP серверу сообщения о включении/выключении фильтра.
Шаг 5
end
Выход из режима конфигурации.
Шаг 6
show port storm-control [ interface ]
Проверка сделанных изменений.
Выключение flood фильтров:
Шаг 1
configure terminal
Вход в режим настройки.
Шаг 2
interface interface
Вход в режим настройки порта.
Шаг 3
no port storm-control broadcast
Выключение фильтра широковещательных пакетов
Шаг 4
end
Выход из режима конфигурации.
Шаг 5
show port storm-control [ interface ]
Проверка сделанных изменений.
Отключение неизвестных multicast/unicast пакетов
Шаг 1
configure terminal
Вход в режим конфигурации.
Шаг 2
interface interface
Вход в режим настройки порта.
Шаг 3
port block multicast
Блокировка multicast пакетов.
Шаг 4
port block unicast
Блокировка unicast пакетов.
Шаг 5
end
Выход из режима конфигурации.
Шаг 6
show port block { multicast | unicast } interface
Проверка изменений для соответственно multicast и unicast пакетов(по-отдельности).
Нормальный режим передачи пакетов
Шаг 1
configure terminal
Вход в режим конфигурации.
Шаг 2
interface interface
Вход в режим настройки порта.
Шаг 3
no port block multicast
Отключение блокировки multicast пакетов.
Шаг 4
no port block unicast
Отключение блокировки unicast пакетов.
Шаг 5
end
Выход из режима конфигурации.
Шаг 6
show port block { multicast | unicast } interface
Проверка изменений для соответственно multicast и unicast пакетов(по-отдельности).
Безопасность портов
В свитчах серии Catalyst 2900XL возможен вариант ограничения доступа к порту по mac адресам. Для вывода на экран диалога конфигурации безопасности порта, выберите из всплывающего меню порта пункт Port Security. Отобразится окно примерно следующего содержания:
Объяснение полей:
Status
Текущее состояние безопасности порта. Enable - включено, Disable - выключено.
Send trap
Определяет, будет ли свитч посылать сообщение SNMP серверу при нарушении установки допустимого количества mac адресов.
Shutdown Port
Определяет, будет ли свитч автоматически отключать порт при нарушении установки допустимого количества mac адресов.
Maximum Adress Count
Максимальное количество mac адресов(1-132), которые могут быть подключены к свитчу(учтите другой свитч или хаб могут иметь столько mac адресов, сколько рабочих станций или других сетевых коммутаторов подключено к ним). Для порта, подключённого к рабочей станции можно поставить значение 1, для обеспечения своего рода тунеля между свитчом и PC. Для хабов или свитчей можно ставить любое значение допустимых mac адресов в диапазоне 1-132. Значение N/A высвечивается при отключённом режиме безопасности, что означает сколько угодно mac адресов.
CLI: Включение безопасности для порта
Шаг 1
configure terminal
Вход в режим конфигурации.
Шаг 2
interface interface
Режим настройки порта.
Шаг 3
port security max-mac-count 1
Максимальное количество mac адресов для порта + включение безопасности.
Шаг 4
port security action shutdown
При нарушении безопасности порт будет выключаться.
Шаг 5
end
Выход из режима конфиурации.
Шаг 6
show port security
Проверка изменений.
Выключение безопасности для порта
Команда
Назначение
Шаг 1
configure terminal
Вход в режим конфигурации.
Шаг 2
interface interface
Режим настройки порта.
Шаг 3
no port security
Отключение безопасности для порта.
Шаг 4
port security action shutdown
При нарушении безопасности порт будет выключаться.