流量抑制及風暴控制簡介
介紹流量抑制及風暴控制的定義和作用。
定義
流量抑制和風暴控制是兩種用於控制廣播、未知組播以及未知單播報文,防止這三類報文引起廣播風暴的安全技術。其中,未知單播報文是指目的MAC地址未被設備學習到的單播報文。
流量抑制主要通過配置閾值來限制流量,而風暴控制則主要通過關閉端口來阻斷流量。
目的
當設備某個二層以太接口收到廣播、未知組播或未知單播報文時,如果根據報文的目的MAC地址設備不能明確報文的出接口,設備會向同一VLAN內的其他二層以太接口轉發這些報文,這樣可能導致廣播風暴,降低設備轉發性能。
引入流量抑制和風暴控制特性,可以控制這三類報文流量,防範廣播風暴。
流量抑制原理描述
流量抑制特性按以下三種形式來限制廣播、未知組播以及未知單播報文產生的廣播風暴。
- 在接口視圖下,入方向上,設備支持分別對三類報文按百分比、包速率和比特速率進行流量抑制。
- 設備監控接口下的三類報文速率並和配置的閾值相比較,當入口流量超過配置的閾值時,設備會丟棄超額的流量。
- 在接口視圖下,出方向上,設備支持對三類報文的阻塞(Block)。
- 在VLAN視圖下,設備支持分別對三類報文按比特速率進行流量抑制。
- 設備監控同一VLAN內三類報文的速率並和配置的閾值相比較,當VLAN內流量超過配置的閾值時,設備會丟棄超額的流量。
缺省情況下,設備支持MAC漂移觸發流量抑制功能。在設備開啟MAC漂移檢測功能時,若檢測到MAC地址發生漂移,將觸發對漂移端口的流量抑制功能,表現為對未知單播以50%的百分比進行流量抑制。
風暴控制原理描述
風暴控制可以用來防止廣播、未知組播以及未知單播報文產生廣播風暴。
設備支持對接口下的這三類報文分別按包速率進行風暴控制。
在一個檢測時間間隔內,設備監控接口下接收的三類報文的平均速率並和配置的最大閾值相比較,當報文速率大於配置的最大閾值時,設備會對該接口進行風暴控制,執行配置好的風暴控制動作。
風暴控制動作包括阻塞報文和關閉接口。
- 如果對報文進行阻塞,當接口上接收報文的平均速率小於指定的最小閾值時,風暴控制會放開在接口上對該報文的阻塞。
- 如果動作為關閉接口,則需要手動執行命令來開啟接口,或者使能接口狀態自動恢復為UP功能。
分享到:
閱讀更多 IT信息技術隨筆 的文章
