ストーム制御
ストーム制御
1. 機能概要
本製品は、L2ループやDoS攻撃への対策の一つとして、 ストーム制御 機能を提供します。
LANポートごとにブロードキャスト、マルチキャスト、宛先不明ユニキャスト(dlf) 宛てフレームを監視し、あらかじめ設定しておいた閾値を超えるとフレームを破棄します。
これにより、LANポートにおいて上記フレームによる帯域占有を防ぎます。
2. 用語の定義
ブロードキャストストーム/マルチキャストストーム
ブロードキャストやマルチキャスト宛てフレームが転送され続けてしまうこと。
スイッチは、ブロードキャストやマルチキャストを受信ポート以外の全ポートにフラッディングします。
それを受信したスイッチは、同様に受信したポート以外の全ポートにフラッディングします。
この動作が繰り返されることで、以下のような症状に陥ります。
-
ブロードキャスト/マルチキャストフレームで帯域が占有される
-
スイッチのCPU負荷が上昇し、正常動作が困難になる
-
スイッチに接続されている端末が通信不能に陥る
ユニキャストストーム
宛先不明ユニキャスト(dlf: Destination Lookup Failure) 宛てフレームが転送され続けてしまうこと。
ARPテーブルに受信デバイスのMACアドレスが登録されていない場合、スイッチは、受信ポート以外の全ポートにフラッディングします。
これにより、ブロードキャスト/マルチキャストストームと同様の症状に陥ります。
3. 機能詳細
ストーム制御の動作仕様について、以下に示します。
-
LANポートに対してストーム制御機能を有効にすることができます。
初期状態では、 全ポート 無効 になっています。 -
本製品におけるストーム制御は、ブロードキャストフレーム、マルチキャストフレーム、宛先不明ユニキャストフレームの受信をLANポートの帯域に対しどの程度許容するかを百分率で指定します。
(百分率は、小数点以下第2位まで指定可能とし、100%指定は、ストーム機能を無効にしたことと同じになります。)
帯域許容率はフレームに共通となり、どのフレームに適用させるかを選択することができます。
本設定は、 storm-control コマンドで行います。 -
許可した帯域を上回るフレームを受信した場合、超過分のフレームは破棄されます。
-
LANポートに設定したストーム制御の情報は、 show storm-control コマンドで確認することができます。
4. 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照してください。
操作項目 | 操作コマンド |
---|---|
ストーム制御の設定 |
storm-control |
ストーム制御 受信上限値の表示 |
show storm-control |
5. コマンド実行例
LANポート1で受信可能なL2ブロードキャストパケットをポート帯域の30%までに制限します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#storm-control broadcast level 30 (1) Yamaha(config-if)#end Yamaha# Yamaha#show storm-control Port BcastLevel McastLevel UcastLevel port1.1 30.00% 100.00% 100.00% port1.2 100.00% 100.00% 100.00% port1.3 100.00% 100.00% 100.00% port1.4 100.00% 100.00% 100.00% port1.5 100.00% 100.00% 100.00% port1.6 100.00% 100.00% 100.00% port1.7 100.00% 100.00% 100.00% port1.8 100.00% 100.00% 100.00% port1.9 100.00% 100.00% 100.00% port1.10 100.00% 100.00% 100.00%
1 | broadcastを帯域の30%までに制限 |
6. 注意事項
特になし