Cisco交换机抑制广播风暴的分析

在企业网络中，广播数据包是一把双刃剑，一方面它是正常网络连接所必需的数据包。例如，在自动获取IP地址方案时，我们需要使用广播数据报来查找可用的DHCP服务器，另一方面，由于DoS攻击，容易被病毒或黑客利用，例如网络拥塞，因此，在网络设计中，必须合理地控制广播数据包。
一、广播包的危害
一个对广播包的最重要的特征是，在广播领域的每一个网络设备，包括PC或开关，需要处理广播包。可以看出，如果在一个广播域广播流量，所有相关设备都将受到影响，因为他们必须吸取一些资源来处理这些广播包。同时，这些广播包，也会占用宝贵的带宽资源。如果在网络中有太多的广播包，这可能会导致网络拥塞，大大降低了网络的性能和安全水平。因此，在网络设计中，我们应该防止过度的广播流量功能异常故障引起的，并注意潜在的安全隐患。一句话，如果在网络事故，大量广播包流量将由异常装置发送。如果有太多的广播报文的流量每秒，这将直接导致网络设备如交换机的CPU使用率较高，和网络的利用率将达到100%，造成网络中断。为此，一个安全的网络设计将采用多种措施抑制广播数据包的流量。
在传统的网络设计，也可用于减少网络中不必要的广播包，许多措施。如果网络可以设计成多个网络段减少广播域的设备数量，降低了广播报文的目的。然而，这些传统的方案需要添加一些额外的设备，它是不很方便地实现。在Cisco系列交换机，提供广播抑制方案。也许网络管理员可以改变他们的思维方式来解决这个问题。
二、Cisco交换机广播包抑制方案的分析
为了减轻对网络的过度广播数据的不利影响，Cisco系列交换机特别设计的广播抑制功能。总之，开关操作系统自动监视网络流量通过其设备。如果有更多的广播包，有两种方式来交流的机会：丢弃多余的广播包，或禁止接收多余的交通港口。


如上图所示，假定主机现在攻击，与某种病毒。在这一点上，它发出的广播数据包到外面直到主机瘫痪。广播包发送需要由交换机转发，交换机会监测大量的广播流量包从主机此时。后监测的情况，交流的机会，采取什么样的措施可以开关发送广播数据从主机的数据包丢弃和其他正常的数据流量的转发，从而消除从广播域内主机包影响其他设备的广播数据。开关也可以关闭主机连接的交换机端口，这T是，主机A的所有数据流都不会通过交换机转发，就像网络断开了一样，以防止主机A继续损坏网络。交换机使用什么样的措施，这主要取决于网络管理员的配置。
当开关监测广播数据流量，检测的频率仍然很高。通常，它监视数据到端口的流量在一秒的周期。如果广播包超过最大设定值，则开关将利用网络管理员预先配置的侵害。因此，通过利用交换机的广播包抑制方案，我们可以在短时间内找到异常的广播数据包，并采取有效措施，减少对企业网络的危害。
三、差异之处，CatOS软件和IOS软件配置
在Cisco系列交换机、CatOS和iOS操作系统软件的主要应用。还是有一些差异的两个操作系统之间配置广播包抑制。例如，基于CatOS操作系统的开关，主要通过以下命令启用广播报文抑制功能。
设置端口广播阈值下降%违反包/禁用/启用/禁用错误
在这两个参数的命令，注意，第一个参数是阈值%，这是广播包流量允许通过的最大值。在专业术语，门槛门槛。如果这个参数设置为100%，那么开关不会限制任何流量。也就是说，它不会限制任何广播数据流量。如果这个参数设置为0%，那么交换机将抑制所有的数据流量。通常情况下，我们不使用这两个极端值。该参数设置是多少通常，当选择此参数的大小，我们需要定义它根据企业现有的网络流量模式，它强调的是这个参数没有设置之初的重要，因为它可能会错误的丢弃开关的正常交通。当我们通常的管理，我们通常设置一个相对大值，然后缓慢降低门槛，根据企业的网络流量，并调整到最佳阶段。另外，我建议所有的网络管理员不启用该功能在任何开关。正常情况下，只有广播抑制功能的接入层用户端口启用。因为大多数情况下，我们只限制特定主机端口的能力要发送到网络中的广播数据流量。在太多的交换机上启用此功能有时会适得其反，影响网络的性能和稳定性。
第二个参数是违法行为，即当广播数据流量超过最大值的开关，所采取的处理措施在一系列的思科交换机，主要有两种方式，分别为丢包或端口禁用（设置错误禁用）。什么样的应对措施主要是看的企业网络的需求。但笔者认为，用小；错误disable状态。因为如果一个端口的开关，进入这种状态，开关会显示错误信息并立即产生相关的信息，这是通过预先定义的方式，管理员的同性恋者的情况。这可能会影响正常的数据流量的转发。所以总的来说，我的亲使用丢弃数据包的方式，从而使广播包对网络的影响降到最低。
如果网络管理员使用开关基于iOS操作系统软件，配置的灵活性会降低一点。在IOS开关，广播包抑制也叫风暴控制。使用此功能时，阈值的设置是类似的CatOS软件，主要是看其违法行为的设置。因为在iOS的软件版本，不同版本的交换机支持侵害方式的不同。例如，在一个6500系列的基于iOS的开关，只有一个非法操作支持丢弃数据包；在基于IOS软件的4500系列交换机，有违规操作，，，，，，关闭选项类似于日如上所述，e禁用状态效果，只有不同的地址。因此，如果网络管理员使用基于IOS的交换机，则需要注意不同系列支持违规的方式的不同之处。
此外，需要提醒的是，如果企业采用的是6500系列的开关，还有一个要注意的问题。千兆以太网端口的网络管理员可以配置开关在6500系列组播或单播抑制。这个功能是上述广播抑制特性非常相似。这个功能可以同时抑制广播，组播，单播流量，等等。在一个更复杂的网络设计，这个功能可以直接使用代替广播抑制方案提到。