Un "traffic storm", che possiamo riportare in italiano come "tempesta di traffico", è una situazione durante la quale il traffico che attraversa una LAN è talmente elevato da degradarne le prestazioni, con conseguente disservizio. Ovviamente, si tratta di un evento che è bene limitare per quanto possibile, utilizzando meccanismi di Storm Control da configurare sugli switch cui sono connessi host (possibili sorgenti di traffico anomalo). In questo tutorial vedremo come realizzare uno Storm Control su Catalyst Cisco della serie 2960, equipaggiati con IOS 12.2(35).
Lo Storm Control, così come implementato nello IOS Cisco, permette il controllo del traffico di tipo:
- broadcast;
- unicast;
- multicast.
Il funzionamento si basa sul conteggio dei pacchetti che vengono ricevuti su una determinata porta nell'intervallo di 1 secondo, utilizzando una delle seguenti metriche, per ciascuna delle tipologie di traffico:
- Larghezza di banda (bandwidth) utilizzata in percentuale rispetto al totale teorico disponibile (100%);
- Numero di pacchetti al secondo;
- Numero di bit al secondo.
Qualunque sia la metrica utilizzata, la porta viene bloccata quando il traffico raggiunge il limite superiore. La porta rimane in stato di blocco fino a che il traffico non scende al di sotto del limite inferiore, se definito. Se non è impostato alcun limite inferiore, il traffico viene bloccato finché non scende al di sotto del limite superiore. In generale, come è ovvio, più alto è il limite superiore e meno efficace sarà il meccanismo di Storm Control (un limite superiore del 20% consente meno traffico "storm" di un livello del 50%). Il grafico seguente mostra uno schema di traffico entrante in una porta su cui è configurato lo Storm Control.
Fonte: www.cisco.com |
Come è evidente, il traffico broadcast eccede il limite massimo impostato durante l'intervallo (durata = 1s) T1-T2 e T4-T5: ciò provoca l'azione dello Storm Control che blocca il traffico nei successivi intervalli temporali, rispettivamente T2-T3 e T5-T6.
Nei casi estremi, un limite superiore del 100% comporta che tutto il traffico è consentito, mente un valore dello 0% implica che tutto il traffico sarà bloccato. Per default, lo Storm Control è disabilitato e quindi tutto il traffico è consentito, ovvero è come se fosse impostato un limite superiore del 100%.
Lo Storm Control deve essere abilitato sullo interfaccie fisiche dello switch (anche EtherChannel); nell'esempio seguente si riporta la configurazione applicata su un range di porte di un Catalyst 2960, dove è stato necessario limitare il traffico di broadcast al 20% della larghezza di banda totale disponibile:
Switch(config)#interface range GigabitEthernet 0/1 - 20
Switch(config-if-range)#storm-control broadcast level 20
Switch(config-if-range)#storm-control action trap
L'ultimo comando specifica l'azione che deve essere intrapresa dallo switch quando viene raggiunto il limite superiore, scegliendo tra
- shutdown, che spegne la porta mettendola in error-disable;
- trap, che invia un trap SNMP.
Switch# show storm-control [interface-id] [broadcast | multicast | unicast]
Nel caso del Catalyst 2960 configurato nell'esempio questo è l'output prodotto dal comando:
Switch#show storm-control GigabitEthernet 0/5
Interface Filter State Upper Lower Current
--------- ------------- ----------- ----------- ----------
Gi0/5 Forwarding 20.00% 20.00% 0.00%
Per analizzare più approfonditamente il controllo del traffico sui Catalyst Cisco della serie 2960 si rimanda alla pagina ufficiale della documentazione.
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.