Tweet
hi, hiện trên switch mình sau khi bắt log thì thấy có cảnh báo rất nhiều : báo là unicast storm detected trên 1 interface. Ko biết lỗi này là như thế nào, cụ thể là con switch bị gì vậy các bác, em tạm thời xử lý bằng cách chặn bằng cách khai storm unicast control.
-
-
unicast storm ở đây được hiểu là unknow-unicast storm, đây là lỗi khi switch bị tràn bảng CAM (MAC Address table), bạn kiểm tra xem port nào trên switch bị tấn công "học" quá nhiều MAC AddressOriginally posted by muadohieu View Post
#show mac-address-table dynamic
sau đó bạn dùng tính năng port-security để giới hạn số lượng MAC tối đa cho phép trên port đó
config t
(config)# interface f0/10
(config-if)# switchport port-security
(config-if)# switchport port-security maximum 100 !ví dụ: giới hạn 100 MAC trên port này
!
end
wr -
Mình sho ra trên switch thì chỉ thấy 126 dynacmic mac address.
Cụ thể port nào bị thì trên log cũng thấy rồi. Theo quan sat thi chỉ có tầm 114 dynamic mac trên port này.
switchport port-security maximum 100 thì có khác gì so với storm-control không bạn.
Switch cisco 3750 có thể hỗ trợ được maximum bao nhiêu dynamic mac trên 1 port vậy bạn, vì trên port này có khá nhiều vlan đi qua và switch làm root cho hâu hết vlan
HIện tại vẫn bó tay.Last edited by muadohieu; 08-08-2008, 09:45 AM.Comment
-
switchport port-security maximum 100 là giới hạn số địa chỉ MAC trên 1 port là 100 MACOriginally posted by muadohieu View Post
storm-control là giới hạn băng thông cho unicast, multicast hoặc broadcast trên 1 port
MAC Address support trên SW3750 là 12.000 địa chỉ MAC
Nếu chỉ có 126 dynamic MAC thì con số đó là bình thường và nếu SW3750 là core switch thì bạn không nên bật tính năng port-security (trừ khi hiểu rõ mình đang làm gì :) ).
Bạn show kết quả lên đây giúp mình nhé:
show interface "Interface bị storm"
show run interface "Interface bị storm"Comment
-
Sho storm-control unicast thi current chỉ có 1% mà sao logging vẫn báo unicast storm
Sho int :
SW_SEC1#sho int g2/0/1
GigabitEthernet2/0/1 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is 001b.0df1.1c8a (bia 001b.0df1.1c8a)
Description: TO_SW_SEC2
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 3/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, media type is 10/100/1000BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 1476000 bits/sec, 296 packets/sec
5 minute output rate 463000 bits/sec, 218 packets/sec
2963050396 packets input, 3140578327 bytes, 0 no buffer
Received 30498891 broadcasts (0 multicast)
10 runts, 0 giants, 0 throttles
24 input errors, 13 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 4378386 multicast, 0 pause input
0 input packets with dribble condition detected
680759939 packets output, 4290909348 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out
SHO RUN INT
interface GigabitEthernet2/0/1
description TO_SW_SEC2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,13,19,21
switchport mode trunk
storm-control broadcast level 30.00
storm-control unicast level 60.00
endComment
-
Nhìn vào cấu hình và traffic thì không có gì bất thường.Originally posted by muadohieu View Post
Việc log thông báo unicast-storm có thường xuyên hay không? Nếu được bạn dùng chương trình giám sát broadcast (có thể dùng PRTG, link: http://www.paessler.com/prtg/) trên port g2/0/1 của Switch xem broadcast như thế nào, và tương ứng với tỷ lệ broadcast cao nhất thì có kèm theo log hay không?Comment
-
Từ khi khai unicast control lên 60 thì tình hình khả quan hơn, log chỉ xuất hiện 1 lần.
Thanks bạn nhéComment
Comment