在企業(yè)網(wǎng)絡(luò)中，廣播數(shù)據(jù)包是一把雙刃劍。一方面其是進行正常網(wǎng)絡(luò)連接所必須的一種數(shù)據(jù)包，如在自動獲得IP地址方案中需要利用廣播數(shù)據(jù)報來尋找可用的DHCP服務(wù)器。另一方面其又很容易被病毒或者黑客所利用，如通過DOS攻擊等手段導(dǎo)致網(wǎng)絡(luò)擁塞。為此在網(wǎng)絡(luò)設(shè)計中，必須要對廣播數(shù)據(jù)包進行合理的控制。

一、廣播數(shù)據(jù)包的危害

廣播數(shù)據(jù)包有一個很重要的特征，就是廣播域中每臺網(wǎng)絡(luò)設(shè)備，包括PC或者交換機都需要處理廣播數(shù)據(jù)包?？梢?，如果某個廣播域中存在比較多的廣播流量，那么所有的相關(guān)設(shè)備都會受到影響，因為他們必須抽出一定的資源來處理這些廣播數(shù)據(jù)包。同時，這些廣播數(shù)據(jù)包還會占用寶貴的帶寬資源，如果網(wǎng)絡(luò)中存在過多的廣播數(shù)據(jù)包，則可能會導(dǎo)致網(wǎng)絡(luò)擁塞，大大降低網(wǎng)絡(luò)的性能與安全等級。所以，在網(wǎng)絡(luò)設(shè)計中應(yīng)當(dāng)防止過量的廣播流量所導(dǎo)致的非正常功能故障，同時需要注意由此可能帶來的安全隱患?？傊?，在網(wǎng)絡(luò)中如果發(fā)生意外情況，那么異常的設(shè)備就會發(fā)送大量的廣播數(shù)據(jù)包流量。如果在每秒之內(nèi)發(fā)生的廣播數(shù)據(jù)報流量過多，那么就會直接導(dǎo)致交換機等網(wǎng)絡(luò)設(shè)備的CPU利用率高，設(shè)置利用率會達到100%從而導(dǎo)致網(wǎng)絡(luò)中斷。為此一個安全的網(wǎng)絡(luò)設(shè)計，都會采用各種各樣的措施來抑制廣播數(shù)據(jù)包的流量。

在傳統(tǒng)的網(wǎng)絡(luò)設(shè)計中，也有不少的措施可以用來減少網(wǎng)絡(luò)中不必要的廣播數(shù)據(jù)包。如可以將網(wǎng)絡(luò)設(shè)計成多個網(wǎng)段，以減少廣播域內(nèi)設(shè)備的數(shù)量，從而實現(xiàn)減少廣播包的目的。不過這些傳統(tǒng)的方案，都需要增加一些額外的設(shè)備，而且實施起來也不是很方便。在思科系列的交換機中，本身就提供了廣播抑制的方案?；蛟S網(wǎng)絡(luò)管理員可以換一種思路來解決這個問題。 #p#

二、思科交換機廣播數(shù)據(jù)包抑制方案分析

為了緩解過量的廣播數(shù)據(jù)報對網(wǎng)絡(luò)帶來的不利影響，思科系列的交換機特別設(shè)計了廣播抑制特性。簡單的說，交換機操作系統(tǒng)會自動監(jiān)測經(jīng)過其設(shè)備的網(wǎng)絡(luò)流量。如果發(fā)現(xiàn)廣播數(shù)據(jù)包比較多的話，這交換機會采取兩個措施：要么是丟棄過量的廣播數(shù)據(jù)包;要么就是禁用接收過量的流量端口。

q如上圖所示，假設(shè)現(xiàn)在主機A受到了攻擊，中了某種病毒。此時其就會不斷的向外面發(fā)送廣播數(shù)據(jù)包，直到主機癱瘓為止。其發(fā)送的廣播數(shù)據(jù)包都需要經(jīng)過交換機來轉(zhuǎn)發(fā)。此時交換機會監(jiān)測到來自主機A的大量的廣播數(shù)據(jù)包流量。監(jiān)測到這種情況之后，交換機會采取哪種措施呢?交換機可能會將主機A發(fā)送過來的廣播數(shù)據(jù)包流量丟棄掉，其他的數(shù)據(jù)流量正常轉(zhuǎn)發(fā)，從而杜絕A主機發(fā)出的廣播數(shù)據(jù)包對廣播域內(nèi)其他設(shè)備的影響。交換機也有可能關(guān)閉主機A連接的交換機端口，即來自主機A的所有數(shù)據(jù)流量都將無法通過交換機來轉(zhuǎn)發(fā)，就好像是將A的網(wǎng)絡(luò)斷開了，從而防止主機A繼續(xù)危害網(wǎng)絡(luò)。交換機具體采用哪種措施，這主要看網(wǎng)絡(luò)管理員的配置。

交換機在監(jiān)測廣播數(shù)據(jù)流量的時候，檢測的頻率還是很高的。通常情況下，其回監(jiān)測1秒周期內(nèi)進入端口的數(shù)據(jù)流量。如果廣播數(shù)據(jù)包超過了所設(shè)置的最大值，那么交換機就會采用網(wǎng)絡(luò)管理員預(yù)先配置的違規(guī)措施。所以采用交換機的廣播數(shù)據(jù)包抑制方案，可以在最短時間內(nèi)發(fā)現(xiàn)非正常的廣播數(shù)據(jù)包，從而采取有效的措施來減少其對企業(yè)網(wǎng)絡(luò)的危害。 #p#

三、CatOS軟件與IOS軟件配置的異同

在思科系列的交換機中，主要采用CatOS與IOS操作系統(tǒng)軟件。這兩種操作系統(tǒng)在配置廣播數(shù)據(jù)包抑制上還是有一定的差異。如在基于CatOS操作系統(tǒng)的交換機上，主要是通過如下命令來啟用廣播數(shù)據(jù)包抑制特性。

Set port broadcast thresho1d% violation drop-packets/err-disable enable/disable

在這個命令中，主要注意兩個參數(shù)。第一個參數(shù)就是thresho1d%，也就是允許通過的廣播數(shù)據(jù)包流量的最大值。利用專業(yè)術(shù)語來說就是閥值。如果將這個參數(shù)設(shè)置為100%，那么交換機將不會限制任何的流量。也就是說不會限制任何的廣播數(shù)據(jù)流量。如果將這個參數(shù)設(shè)置為0%，那么交換機將會抑制所有的數(shù)據(jù)流量。通常情況下，我們都不會采用這兩個極端的值。那么這個參數(shù)到底設(shè)置為多少合適呢?通常情況下在選擇這個參數(shù)大小的時候，需要根據(jù)企業(yè)現(xiàn)有的網(wǎng)絡(luò)流量模式來定義。這里需要強調(diào)的是，不要一開始就將這個參數(shù)設(shè)置的比較低，因為其可能會錯誤的丟棄交換機的正常流量。我們在平時管理的時候，往往會先設(shè)置一個比較大的值，然后再慢慢的根據(jù)企業(yè)的網(wǎng)絡(luò)流量來降低這個閥值，最終調(diào)整到最優(yōu)的階段。另外筆者建議各位網(wǎng)絡(luò)管理員，不要在任何交換機上都啟用這個特性。通常情況下只需要在接入層的用戶端口上啟用廣播抑制特性即可。因為大部分情況下，我們只要限制特定的主機端口所能夠發(fā)送到網(wǎng)絡(luò)中的廣播數(shù)據(jù)流量即可。在太多的交換機上啟用這個特性，有時候會起到適得其反的效果，會影響網(wǎng)絡(luò)的性能與穩(wěn)定性。

第二個參數(shù)是violation，即當(dāng)交換機發(fā)現(xiàn)廣播數(shù)據(jù)流量超過規(guī)定的最大值時，該采用何種措施來處理?在思科系列的交換機中，主要有兩種方式，分別為丟棄數(shù)據(jù)包或者將某個端口禁用掉(設(shè)置為err-disable狀態(tài))。具體采取哪種措施主要要看企業(yè)的網(wǎng)絡(luò)需求。不過筆者的意見是，盡量少用“err-disable”狀態(tài)。因為如果交換機的某個端口進入到這個狀態(tài)的時候，交換機將會顯示錯誤信息，并且立即產(chǎn)生相關(guān)的信息通過管理員預(yù)先定義的方式來同志管理員這種情況。此時可能會影響到正常數(shù)據(jù)流量的轉(zhuǎn)發(fā)。所以一般情況下筆者建議采用丟棄數(shù)據(jù)包的方式來處理。從而將廣播數(shù)據(jù)包對網(wǎng)絡(luò)的影響降低到最低。

如果網(wǎng)絡(luò)管理員采用的是基于IOS操作系統(tǒng)軟件的交換機，那么配置的靈活性要降低一點。在使用IOS的交換機中，廣播數(shù)據(jù)包抑制又叫做風(fēng)暴控制。在使用這個特性的時候，閥值的設(shè)置跟CatOS軟件類似，主要是要看違規(guī)操作的設(shè)置。因為在IOS軟件版本中，不同的版本的交換機其支持的違規(guī)操作方式是不同的。如在6500系列的基于IOS軟件的交換機中，其支持的違規(guī)操作只有一項就是“丟棄數(shù)據(jù)包”。而在基于IOS軟件的4500系列交換機中，其支持的違規(guī)操作就有兩項，分別為”“丟棄數(shù)據(jù)包”與“關(guān)閉選項”。關(guān)閉選項同上面說到的設(shè)置為err-disable狀態(tài)效果類似，只是稱呼不同而已。所以如果網(wǎng)絡(luò)管理員采用的是基于IOS的交換機，那么就需要注意這個不同的系列所支持的違規(guī)操作方式的不同。

另外需要提醒的是，如果企業(yè)采用的是6500系列的交換機，還有一個問題要引起大家的重視。網(wǎng)絡(luò)管理員可以在6500系列交換機的吉比特以太網(wǎng)端口上配置多播或者單播抑制特性。這個特性跟上面所講的廣播抑制特性非常的相似。這個特性可以同時抑制廣播流量、多播流量、單播流量等等。在比較復(fù)雜的網(wǎng)絡(luò)設(shè)計中，可以直接啟用這個特性來代替前面講到的廣播抑制方案。

【編輯推薦】

1. 從交換機原理看網(wǎng)絡(luò)廣播風(fēng)暴的幾種原因
2. 論廣播風(fēng)暴的成因、預(yù)防及排障