配置思科IOS杜绝局域网广播风暴

ZDNet安全频道原创翻译 转载请注明作者以及出处

对于公司企业的局域网来说，怎样避免受到广播风暴类型的攻击导致网络变慢这种情况的出现，是非常重要的。在本文中，戴维•戴维斯将告诉你，如何利用思科交换机配置风暴控制功能方便快速地保护网络的安全。
--------------------------------------------------------------------------------------------

（本文最初发表于2007年3月的TechRepublic网站。）

网络广播可以为公司的网络带来巨大的流量。当一个设备发出了一个单独的广播的时间，子网的所有设备甚至虚拟局域网都可以收到广播的内容。

怎么对广播进行管理，以保证网络的安全有效性？一种方法是采用思科提供的Catalyst广播抑制，也叫做风暴控制技术。

广播是传输控制协议/网间协议应用程序套件中的一个组成部分。一个广播就是发送到所有主机或子网内所有主机的一个数据包。

一个数据包如果要发送到所有主机的话，选择的网络地址是255.255.255.255。而一个发送到子网内所有主机的数据包是一个直接广播，它采用的是类似10.1.1.255之类的特殊网络地址。

象地址解析协议（ARP）和动态主机配置协议（DHCP）之类的协议要利用到广播功能，所以你不能在网络中完全禁止广播的使用。你能做的是利用风暴控制功能管理网络上的广播情况，以防止广播风暴的出现。

配置风暴控制功能

对于公司企业的局域网来说，怎样避免受到广播风暴类型的攻击导致网络变慢这种情况的出现，是非常重要的。在思科网络操作系统的帮助下，你可以利用单独的命令对所有的交换机进行控制，轻松和快速地保护网络安全。

在大部分的思科Catalyst平台上，都可以配置风暴控制功能。（在旧平台，思科公司将其称为广播抑制。）在默认状态下，思科网络操作系统关闭了广播功能。

风暴控制功能可以对端口广播的接受条件进行设置。你可以对广播的时间和频率进行控制，直到广播的传播情况处于限制要求之内。

在默认情况下，交换机只能降低广播数据包的传输。此外，你也可以选择关闭端口或发送简单网络管理协议（SNMP）的自陷（trap）到网络管理工作站。

下面的操作演示的就是如何对Catalyst 2950交换机的风暴控制功能进行配置：

Switch(config)# int fa0/19Switch(config-if)# storm-control broadcast level 50

Switch(config-if)# storm-control action trap

第一个命令—storm-control broadcast（风暴控制广播）—唯一需要的命令。storm-control的命令是可选的，如果需要关闭端口，就需要运行shutdown的命令。

在这个例子中，没有对单播（Unicast）或组播流量进行任何处理。但如果需要进行这样处理的话，你也可以利用风暴控制功能通过代播或组播广播的命令对单播和组播流量进行控制。

一旦完成了风暴控制功能的配置，就可以利用风暴控制广播命令中的显示参数检查配置的具体状况。下面是一个例子，显示了输出的状况：

Switch# show storm-control broadcastInterface Filter State Trap State  Upper    Lower  Current  Traps Sent

--------- ------------  ---------  -----    -----  -------  ---------

Fa0/1     inactive    inactive     100.00%  100.00%    N/A     0

Fa0/2     inactive    inactive     100.00%  100.00%    N/A     0

Fa0/3     inactive    inactive     100.00%  100.00%    N/A     0

Fa0/4     inactive    inactive     100.00%  100.00%    N/A     0

Fa0/5     inactive    inactive     100.00%  100.00%    N/A     0

Fa0/6     inactive    inactive     100.00%  100.00%    N/A     0

Fa0/7     inactive    inactive     100.00%  100.00%    N/A     0

Fa0/8     inactive    inactive     100.00%  100.00%    N/A     0

Fa0/9     inactive    inactive     100.00%  100.00%    N/A     0

Fa0/10    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/11    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/12    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/13    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/14    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/15    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/16    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/17    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/18    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/19    Forwarding  Below rising 50.00%   50.00%     0.00%   0

Fa0/20    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/21    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/22    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/23    inactive    inactive     100.00%  100.00%    N/A     0

Fa0/24    inactive    inactive     100.00%  100.00%    N/A     0

Switch#

如果想了解思科Catalyst风暴控制功能的更多资料，可以访问思科公司的“风暴控制配置”的官方文档（英文）。

你熟悉风暴控制功能么？在网络中是否使用过？为了保护局域网的安全，你还采取过什么其它措施？