L2ループ対策その2
BPDU Guard
BPDU Guard は、PortFast の設定されているポートで BPDU を受信した時に、
そのポートを shutdown させて L2 ループの発生を防ぐ機能です。
通常、PortFast の設定をしているポートは、PC やサーバを接続するために
使用されるポートですので、そのポートから BPDU が流れてきたということは
配下にスイッチが接続されたことを意味していまうす。
Cisco の Catalyst Switch に設定する場合は、
グローバルコンフィグレーションモードで行う場合と、
インタフェースコンフィグレーションモードで行う場合の2 パターンがあります。
Switch(config)# spanning-tree portfast bpduguard default
グローバルコンフィグレーションモードで行う場合、
PortFast が設定されているポートでの BPDU Guard 機能が
有効になります。
Switch(config-if)# spanning-tree bpduguard enable
インタフェースコンフィグレーションモードで行う場合
PortFast 設定がポートになくても BPDU Guard が有効になります。
Storm Control
Storm Control は、ブロードキャストやマルチキャスト、
ユニキャストのストームを抑制する機能です。
L2 ループや DoS 攻撃などで、大量のブロードキャストや
マルチキャストストームが発生した場合に、予め設定しておいた
閾値を超えたパケットを破棄します。
Storm Control の設定は、インタフェースコンフィグレーションモードで
以下の設定を投入します。
Switch(config-if)# storm-control { broadcast | multicast | unicast } level { level [level-low ] | bps bps [ bps-low ] | pps pps [ pps-low ] }
どのパケット(ブロードキャスト、マルチキャスト、ユニキャスト)を
制御するのかと、制御方式(level、bps、pps)で制御するかを
設定します。
level は帯域幅を % で指定する方法で、PPS(Packet Per Second)は
1秒あたりのパケット数単位、 bps(Bit Per Second)は
1秒あたりのビット数単位で設定し、上限閾値に達すると以降の
パケットを破棄します。
○○-low 設定はオプションで、下限の閾値の設定になります。
下限の閾値を設定すると、その閾値を下回るとパケットの受信が
再開されます。
下限の閾値を設定しない場合は、上限閾値を下回った段階で、
パケットの受信が再開されます。
Storm Control ではさらにオプションとして、閾値を超えた場合に
ポートを shutdown させるか、trap を投げるかの設定も可能です。
Switch(config-if)# storm-control action { shutdown | trap }
関連記事
検索
特集
著書
おすすめ記事