L2ループ対策その2

BPDU Guard

BPDU Guard は、PortFast の設定されているポートで BPDU を受信した時に、
そのポートを shutdown させて L2 ループの発生を防ぐ機能です。

通常、PortFast の設定をしているポートは、PC やサーバを接続するために
使用されるポートですので、そのポートから BPDU が流れてきたということは
配下にスイッチが接続されたことを意味していまうす。

Cisco の Catalyst Switch に設定する場合は、
グローバルコンフィグレーションモードで行う場合と、
インタフェースコンフィグレーションモードで行う場合の2 パターンがあります。

Switch(config)# spanning-tree portfast bpduguard default
グローバルコンフィグレーションモードで行う場合、
PortFast が設定されているポートでの BPDU Guard 機能が
有効になります。

Switch(config-if)# spanning-tree bpduguard enable
インタフェースコンフィグレーションモードで行う場合
PortFast 設定がポートになくても BPDU Guard が有効になります。

Storm Control は、ブロードキャストやマルチキャスト、
ユニキャストのストームを抑制する機能です。

L2 ループや DoS 攻撃などで、大量のブロードキャストや
マルチキャストストームが発生した場合に、予め設定しておいた
閾値を超えたパケットを破棄します。

Storm Control の設定は、インタフェースコンフィグレーションモードで
以下の設定を投入します。

Switch(config-if)# storm-control { broadcast | multicast | unicast } level { level [level-low ] | bps bps [ bps-low ] | pps pps [ pps-low ] }

どのパケット（ブロードキャスト、マルチキャスト、ユニキャスト）を
制御するのかと、制御方式（level、bps、pps）で制御するかを
設定します。

level は帯域幅を % で指定する方法で、PPS（Packet Per Second）は
1秒あたりのパケット数単位、 bps（Bit Per Second）は
1秒あたりのビット数単位で設定し、上限閾値に達すると以降の
パケットを破棄します。

○○-low 設定はオプションで、下限の閾値の設定になります。
下限の閾値を設定すると、その閾値を下回るとパケットの受信が
再開されます。
下限の閾値を設定しない場合は、上限閾値を下回った段階で、
パケットの受信が再開されます。

Storm Control ではさらにオプションとして、閾値を超えた場合に
ポートを shutdown させるか、trap を投げるかの設定も可能です。

Switch(config-if)# storm-control action { shutdown | trap }

ネットワ－ク初心者のみなさま。
ネットワークの基礎知識を疎かにすることは
大変危険です！！

これを読めばネットワークの基礎が分かる！！
ネットワーク関連の仕事に就きたいとお考えの学生の方や、ネットワークに興味があって転職を考えている社会人の方、まずは登録してみてください。

もちろん無料です！！

↓メールマガジン購読はこちら↓