ストーム制御

ストーム制御

1. 機能概要

本製品は、L2ループやDoS攻撃への対策の一つとして、 ストーム制御 機能を提供します。
LANポートごとにブロードキャスト、マルチキャスト、宛先不明ユニキャスト(dlf) 宛てフレームを監視し、あらかじめ設定しておいた閾値を超えるとフレームを破棄します。
これにより、LANポートにおいて上記フレームによる帯域占有を防ぎます。

2. 用語の定義

ブロードキャストストーム/マルチキャストストーム

ブロードキャストやマルチキャスト宛てフレームが転送され続けてしまうこと。
スイッチは、ブロードキャストやマルチキャストを受信ポート以外の全ポートにフラッディングします。
それを受信したスイッチは、同様に受信したポート以外の全ポートにフラッディングします。
この動作が繰り返されることで、以下のような症状に陥ります。

  • ブロードキャスト/マルチキャストフレームで帯域が占有される

  • スイッチのCPU負荷が上昇し、正常動作が困難になる

  • スイッチに接続されている端末が通信不能に陥る

ユニキャストストーム

宛先不明ユニキャスト(dlf: Destination Lookup Failure) 宛てフレームが転送され続けてしまうこと。
ARPテーブルに受信デバイスのMACアドレスが登録されていない場合、スイッチは、受信ポート以外の全ポートにフラッディングします。
これにより、ブロードキャスト/マルチキャストストームと同様の症状に陥ります。

3. 機能詳細

ストーム制御の動作仕様について、以下に示します。

  1. LANポートに対してストーム制御機能を有効にすることができます。
    初期状態では、 全ポート 無効 になっています。

  2. 本製品におけるストーム制御は、ブロードキャストフレーム、マルチキャストフレーム、宛先不明ユニキャストフレームの受信をLANポートの帯域に対しどの程度許容するかを百分率で指定します。
    (百分率は、小数点以下第2位まで指定可能とし、100%指定は、ストーム機能を無効にしたことと同じになります。)
    帯域許容率はフレームに共通となり、どのフレームに適用させるかを選択することができます。
    本設定は、 storm-control コマンドで行います。

  3. 許可した帯域を上回るフレームを受信した場合、超過分のフレームは破棄されます。

  4. LANポートに設定したストーム制御の情報は、 show storm-control コマンドで確認することができます。

4. 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照してください。

操作項目 操作コマンド

ストーム制御の設定

storm-control

ストーム制御 受信上限値の表示

show storm-control

5. コマンド実行例

LANポート1で受信可能なL2ブロードキャストパケットをポート帯域の30%までに制限します。

image

Yamaha(config)#interface port1.1
Yamaha(config-if)#storm-control broadcast level 30 (1)
Yamaha(config-if)#end
Yamaha#
Yamaha#show storm-control
Port        BcastLevel    McastLevel    UcastLevel
port1.1       30.00%       100.00%       100.00%
port1.2      100.00%       100.00%       100.00%
port1.3      100.00%       100.00%       100.00%
port1.4      100.00%       100.00%       100.00%
port1.5      100.00%       100.00%       100.00%
port1.6      100.00%       100.00%       100.00%
port1.7      100.00%       100.00%       100.00%
port1.8      100.00%       100.00%       100.00%
port1.9      100.00%       100.00%       100.00%
port1.10     100.00%       100.00%       100.00%
1 broadcastを帯域の30%までに制限

6. 注意事項

特になし