Черновик: Настройка Storm-Suppression
Черновик - проверка ограничений и дописать завершающие парагрфы и описание действий
В данной главе описывается назначение функции Storm-Suppression и область ее применения.
Требования и ограничения
Настройка выполняется в режиме конфигурирования на L2/L3 физичеких порта
Настройка не поддерживается
- на SVI (Switch Virtual Interface) типа Interface Vlan
- на агрегированных L2/L3 портах
Назначение и область применения
Storm-Suppression предназначена для фунционального ограничения L2 flooding-трафика и предотвращения ситуаций, при которых избыточный трафик приводит к перегрузке интерфейсов или коммутационной матрицы. В отличие от Storm-Control, Storm-Suppression работает в детерминированном режиме и может выполнять активные, например, перевод интерфейса в состояние error-down или другие действия.
В данной статье настраивается одновременная защита по типам трафика: - broadcast - multicast - BUM (Destination Lookup Failure, DLF)
А также, использование действия error-down auto-recovery с автоматическим восстановлением интерфейса.
2. Основная информация о функции Storm-Suppression
В данной главе фиксируются поддерживаемые возможности Storm-Suppression.
Storm-Suppression позволяет:
- задать минимальный и максимальный порог трафика (min-rate / max-rate);
- определить интервал проверки;
- выбрать действие при превышении допустимого уровня трафика;
- интегрироваться с системой журналирования и механизмом error-down auto-recovery.
3. Предварительная проверка настройки интерфейса
Глава предназначена для фиксации исходного состояния интерфейса перед настройкой Storm-Suppression.
SW1(config-10ge1/0/23)# show
!
interface 10gigaethernet 1/0/23
work-mode router
ip binding vpn-instance MGMT
ip address 192.168.100.251/24
4. Настройка Storm-Suppression на интерфейсе
В данной главе выполняется базовая настройка Storm-Suppression по типам трафика.
4.1 Проверка доступных команд
SW1(config-10ge1/0/23)# storm-suppression ?
action Storm suppression action
broadcast Broadcast packet
dlf Destination lookup failure
interval Storm suppression interval
multicast Multicast packet
Настройка ограничений для broadcast-трафика
SW1(config-10ge1/0/23)# storm-suppression broadcast ?
min-rate Min rate
SW1(config-10ge1/0/23)# storm-suppression broadcast min-rate
gbps Min rate(in gbps)
kbps Min rate(in kbps)
mbps Min rate(in mbps)
percent Percent
SW1(config-10ge1/0/23)# storm-suppression broadcast min-rate kbps 512 max-rate mbps 1
%Warning.the input bandwidth is not a multiple of 10 and this may lead to inaccurate limits
Настройка ограничений по скорости для всех типов трафика
SW1(config-10ge1/0/23)# storm-suppression broadcast min-rate mbps 1 max-rate mbps 10
SW1(config-10ge1/0/23)# storm-suppression multicast min-rate mbps 20 max-rate mbps 30
SW1(config-10ge1/0/23)# storm-suppression dlf min-rate percent 1 max-rate percent 10
Настройка интервала проверки
Глава описывает настройку периода, с которым система Storm-Suppression анализирует уровень трафика.
SW1(config-10ge1/0/23)# storm-suppression interval
<1-180> Interval value
default Default interval value:5s
SW1(config-10ge1/0/23)# storm-suppression interval 4
Настройка действия при превышении порогов
В данной главе задается реакция системы Storm-Suppression при обнаружении избыточного трафика.
SW1(config-10ge1/0/23)#storm-suppression action ?
block Block packet
error-down Shutdown interface
none None action
SW1(config-10ge1/0/23)# storm-suppression action error-down
SW1(config-10ge1/0/23)# exit
SW1(config)# end
Настройка автоматического восстановления интерфейса (auto-recovery)
В данной главе выполняется настройка автоматического восстановления интерфейсов, переведенных в состояние error-down службой Storm-Suppression.
SW1(config)# error-down auto-recovery cause ?
auto-defend
bpdu-protection
crc-error
link-flap
mac-address-flapping
nqa
port-security
storm-suppression
transceiver-power-low
SW1(config)# error-down auto-recovery cause storm-suppression interval
<30-86400> Value of the automatic recovery timer(unit: second)
SW1(config)# error-down auto-recovery cause storm-suppression interval 60
Включение журналирования Storm-Suppression
Глава описывает включение логирования и trap-уведомлений Storm-Suppression.
Проверка состояния журналирования Storm-Suppression
Глава предназначена для проверки активности системы журналирования Storm-Suppression.
SW1# show logging source storm-suppression
Source name :storm-suppression
Statistic
Log total number :4
Log lost number :0
Debug total number :0
Debug lost number :0
Trap total number :0
Trap lost number :0
Source Action Log Level Debug Level Trap Level
storm-suppression console enable warning enable debugging enable debugging
storm-suppression monitor enable warning enable debugging enable debugging
storm-suppression logfile enable debugging disable debugging enable debugging
storm-suppression logbuffer enable debugging disable debugging enable debugging
storm-suppression trap disable debugging disable debugging disable debugging
storm-suppression trapbuffer disable information disable debugging enable debugging
storm-suppression syslog enable information disable debugging enable debugging
storm-suppression smtp disable warning disable warning disable warning
Активация журналирования Storm-suppression
SW1(config)# storm-suppression ?
log Storm suppression log
trap Storm suppression trap
Включите журналирование и отправку сообщений SNMP
SW1(config)# storm-suppression log enable
SW1(config)# storm-suppression trap enable
Настройка отображения сообщений в консоли
В данной главе настраивается вывод сообщений Storm-Suppression в консоль для удобства анализа.
SW1(config)# line console 1
SW1(config-line)# monitor
SW1(config-line)# end
SW1#
Проверка настройки Storm-Suppression
Проверка конфигурации
SW1# show storm-suppression config
Version: STORMSUPPR_VB3.00.00.00
!
storm-suppression trap enable
storm-suppression log enable
error-down auto-recovery cause storm-suppression interval 60
!
interface 10gigaethernet 1/0/23
storm-suppression action error-down
storm-suppression interval 4
storm-suppression multicast min-rate mbps 20 max-rate mbps 30
storm-suppression broadcast min-rate mbps 1 max-rate mbps 10
storm-suppression dlf min-rate percent 1 max-rate percent 10
SW1#
Проверка настройки Storm-Suppression
SW1# show storm-suppression interface
Version :STORMSUPPR_VB3.00.00.00
Trap :enable
Log :enable
Interface Type mode Status Min-rate Max-rate Action Current-action Interval
10ge1/0/23 multicast bps enable 20M 30M error-down up 4
10ge1/0/23 broadcast bps enable 1M 10M error-down up 4
10ge1/0/23 dlf percent enable 1 10 error-down up 4
SW1#
Проверка срабатывания Storm-Suppression
Фиксация перевода интерфейса в error-down
2025/01/06 12:17:08.714 SW1 %01-2-IFM-LINKDOWN(l):The interface status changes. (ifName=[10GigaEthernet1/0/23], AdminStatus=[up], OperStatus=[down], Reason=[storm-suppresson])
2025/01/06 12:17:08.723 SW1 %01-5-IFM-LINKDOWN(t):OID:1.3.6.1.4.1.3087.1.8012.2.20.2, Interface 10gigaethernet1/0/23 link down Reason=[storm-suppresson]
Проверка интерфейсов в состоянии error-down
SW1# show interface error-down
Interface Change-time Down-reason
10ge1/0/23 2025-01-06 12:15:47 storm-suppresson
Детальная проверка состояния интерфейса
SW1# show interface 10gi 1/0/23
Interface 10gigaethernet1/0/23 admin state : up
Line protocol current state : down
The reason for down is storm-suppresson
...
Last 300 seconds input rate: 114192 Bps, 1783 pps, 913536 bps
Last 300 seconds output rate: 6 Bps, 0 pps, 48 bps
Input peak rate 0/10070768 Bps, Record time: 2025-01-06 12:06:01
Output peak rate 0/49 Bps, Record time: 2025-01-01 08:00:42
Input: 76337453 packets, 4902305480 bytes
Unicast : 0/23 , Multicast : 0/238907
Broadcast : 0/76098522 , Jumbo : 0/0
...
Output: 14495 packets, 3349302 bytes
...
Input bandwidth utilization : 0.12%
Output bandwidth utilization : 0.00%
Автоматическое восстановление интерфейса
2025/01/06 12:17:44.466 SW1 %01-2-IFM-LINKUP(l):The interface status changes. (ifName=[10GigaEthernet1/0/23], AdminStatus=[up], OperStatus=[up], Reason=[link-up])
2025/01/06 12:17:44.478 SW1 %01-5-IFM-LINKUP(t):OID:1.3.6.1.4.1.3087.1.8012.2.20.1, Interface 10gigaethernet1/0/23 link up.
13. Полная конфигурация
configure
!
storm-suppression trap enable
storm-suppression log enable
error-down auto-recovery cause storm-suppression interval 60
!
interface 10gigaethernet 1/0/23
storm-suppression action error-down
storm-suppression interval 4
storm-suppression multicast min-rate mbps 20 max-rate mbps 30
storm-suppression broadcast min-rate mbps 1 max-rate mbps 10
storm-suppression dlf min-rate percent 1 max-rate percent 10
!
line console 1
monitor
!
end
14. Итог
В результате выполненной конфигурации:
- Storm-Suppression включена для всех типов BUM-трафика;
- заданы минимальные и максимальные пороги;
- настроено активное действие error-down;
- включено журналирование и trap-уведомления;
- реализовано автоматическое восстановление интерфейса.
Данная конфигурация обеспечивает защиту порта от избыточного L2 flooding-трафика.