Storm Control

Storm controlContrôle des tempêtes
Tempête = Trames circulant indéfiniment sur le réseau = DoS (Deny of Service)

Pour qu’il y ai une tempête, il faut qu’il y ai une boucle sur notre réseau et que celle-ci soit active (Spanning-tree désactivé ou mal configuré).

Le but de cet article est de se protéger de ces tempêtes

 

Fonctionnement


Type de trafic


Il existe 3 types de tempête :

Broadcast

Adresse MAC de destination : FF:FF:FF:FF:FF:FF
Exemple : ARP, DHCP, NetBIOS,…

Multicast

– Adresse MAC de destination : de 01-00-5E-00-00-00 à 01-00-5E-7F-FF-FF
– Uniquement valable sur les ports GigabitEthernet et 10-GigabitEthernet
Exemple : Paquets Hello, CDP, Flux vidéo en multicast, …

Unknown Unicast

– Adresse MAC de destination absente de la table CAM du Switch.
– Uniquement valable sur les ports GigabitEthernet et 10-GigabitEthernet
Exemple : Un PC ajoute dans sa table ARP une adresse MAC aléatoire avec une adresse IP non utilisé sur son LAN et décide de pinger cette adresse. Cette trame va être diffusée sur tous les ports présents dans son VLAN vu que personne connais cette adresse MAC… 

 

Taux de tolérance


Afin de se protéger de ses tempêtes, nous allons fixer un taux de tolérance. Pour ce faire, 3 possibilités s’offre à nous :

Pourcentage (%)  | de 0% à 100%
Bits par secondes (bps) | de 0,0 à 10 000 000 000,0 (10Gbps)
Paquets par secondes (pps) | de 0,0 à 10 000 000 000,0 (10Gbps)

 

Réaction du Storm control


En cas de dépassement de quota, deux choix s’offre à nous :

Shutdown

Le port est mis en mode ERR-DISABLE si les seuils fixés ont été dépassé.

Trap

Envoi une alerte à notre manager SNMP préalablement configuré.

 

Configuration


Type de trafic


Le Storm-control se configure sur une interface physique.

Switch(config)# interface FastEthernet 0/1
Switch(config-if)# storm-control [ broadcast | multicast | unicast | action ]

Taux de tolérance


Pourcentage

Switch(config-if)# storm-control broadcast [seuil-haut] [seuil-bas]

Bits par seconde

Switch(config-if)# storm-control broadcast bps [seuil-haut] [seuil-bas]

Paquets par secondes

Switch(config-if)# storm-control broadcast pps [seuil-haut] [seuil-bas]

 

Réaction du Storm control


Switch(config-if)# storm-control action [ shutdown | Trap ]

 

Exemple 


Switch(config-if)# storm-control broadcast 50 20
Switch(config-if)# storm-control multicast bps 50k 20k
Switch(config-if)# storm-control unicast pps 50k 20k
Switch(config-if)# storm-control action drop

 

Conclusion


Le Storm Control est une bonne protection.
Afin de mettre cette solution en place, il faut dans un premier temps avoir pleinement conscience du trafic qui circule sur votre réseau.
Mal configuré, cela peut virer au drame !!

 

En espérant que cet article vous as été utile ! Hésitez pas à me la faire savoir !!

FingerInTheNet.com

Noël NICOLAS

Expert Réseau
10 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Poster un Commentaire

Soyez le premier à commenter !

Laisser un commentaire

  Subscribe  
Me notifier des