CCNA 200-301 · Switching

Le Storm Control

Se protéger des tempêtes de trames (broadcast, multicast, unknown unicast) en fixant un seuil de tolérance par port.

Storm control = contrôle des tempêtes.
Tempête = trames circulant indéfiniment sur le réseau = DoS (Deny of Service).

Pour qu’il y ait une tempête, il faut qu’il y ait une boucle sur notre réseau et que celle-ci soit active (Spanning-tree désactivé ou mal configuré).

Le but de cet article est de se protéger de ces tempêtes.

Les différents types de tempête

Il existe 3 types de tempête de broadcast :

  • Broadcast
  • Multicast
  • Unknow Unicast

L’adresse MAC de destination d’une tempête de broadcast est : FF:FF:FF:FF:FF:FF (exemple : ARP, DHCP, NetBIOS, …).

L’adresse MAC de destination d’une tempête multicast est comprise entre 01-00-5E-00-00-00 et 01-00-5E-7F-FF-FF. Elle est uniquement valable sur les ports GigabitEthernet et 10-GigabitEthernet (exemple : paquets Hello, CDP, flux vidéo en multicast, …).

L’adresse MAC de destination d’une tempête Unknow Unicast est absente de la table CAM du switch. Elle est uniquement valable sur les ports GigabitEthernet et 10-GigabitEthernet.
Exemple : un PC ajoute dans sa table ARP une adresse MAC aléatoire avec une adresse IP non utilisée sur son LAN et décide de pinger cette adresse. Cette trame va être diffusée sur tous les ports présents dans son VLAN vu que personne ne connaît cette adresse MAC…

Taux de tolérance

Afin de nous protéger de ces tempêtes, nous allons fixer un taux de tolérance. Pour ce faire, 3 possibilités s’offrent à nous :

  • Pourcentage (%) | de 0 % à 100 %
  • Bits par seconde (bps) | de 0,0 à 10 000 000 000,0 (10 Gbps)
  • Paquets par seconde (pps) | de 0,0 à 10 000 000 000,0 (10 Gbps)

Réaction du Storm control

En cas de dépassement de quota, deux choix s’offrent à nous :

  • Shutdown
  • Trap

Shutdown : le port est mis en mode ERR-DISABLE si les seuils fixés ont été dépassés.

Trap : envoie une alerte à notre manager SNMP préalablement configuré.

Configuration

Type de trafic

Le Storm-control se configure sur une interface physique.

Sw(config)# interface FastEthernet 0/1 Sw(config-if)# storm-control [ broadcast | multicast | unicast | action ]

Taux de tolérance

Pourcentage

Sw(config-if)# storm-control broadcast [seuil-haut] [seuil-bas]

Bits par seconde

Sw(config-if)# storm-control broadcast bps [seuil-haut] [seuil-bas]

Paquets par seconde

Sw(config-if)# storm-control broadcast pps [seuil-haut] [seuil-bas]

Réaction du Storm control

Switch(config-if)# storm-control action [ shutdown | Trap ]

Exemple

Switch(config-if)# storm-control broadcast 50 20 Switch(config-if)# storm-control multicast bps 50k 20k Switch(config-if)# storm-control unicast pps 50k 20k Switch(config-if)# storm-control action drop

Conclusion

Le Storm Control est une bonne protection.
Afin de mettre cette solution en place, il faut dans un premier temps avoir pleinement conscience du trafic qui circule sur votre réseau.
Mal configuré, cela peut virer au drame !

Portrait d'Eric Jouffrion, contributeur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.

Photo en noir et blanc de Noël Nicolas

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Formation CCNA 200-301Formation CCNA

Devenez certifié CCNA 200-301

La formation complète Cisco, à votre rythme et accès à vie.

Voir la formation →