Storm Control, Port Blocking和Protected Port介绍

　　拒绝服务 (DoS)攻击最难阻止和防范的攻击之一，它的普遍以及难以驾驭在于它的本质是正常的网络流量。想想，当我们访问因特网时，我们浏览网页，收发邮件，听歌，上微博……其中我们创建了大量网络流量，想一想如果是50台机器，产生的流量是多么大。

　　DoS攻击就是这类正常的流量，攻击者能通过制造大量这种流量让网络和管理设备过载，缺乏处理和回应的资源，从而当接受到正常服务请求时无法对其作出正确回应。在这篇文章中，挨踢小茶将会介绍3种2层的技术来减少这种攻击所带来的影响，他们是Storm Control, Port Blocking和Protected Port。

Storm Control

　　首先介绍一下Storm Control，这种机制能减少广播所带来的不利影响，可以通过控制单播、多播和广播报文来管制网络。一共有3种方法控制流量：

• 全网的带宽百分比
• 每秒传输的比特数，用"bps"关键词定义
• 每秒传输的报文数，用"pps"关键词定义

　　同时，我们能对超过阀值做出相应动作：关闭端口或者发送一个SNMP trap报文。

　　其中的阀值被分为上限和下限，当流量超过阀值上限的时候，定义的相应动作将被执行。而只有流量恢复到达到阀值下限的时候，端口才会恢复到正常的状态。

(config-if)#storm-control {unicast | multicast | broadcast} level {HIGH_PERC [LOW_PERC] | bps HIGH_BPS [LOW_BPS] | pps HIGH_PPS [LOW_PPS]}

定义监控的网络流量阀值

(config-if)#storm-control action {shutdown | trap}

定义达到阀值上限后执行的动作

Protected Port

　　Protected Port和VlAN的定义是类似的，区别在于前者只分为non-protected port和protected port。Protected Port的特点在于同一个交换机上两个保护端口（这个特性只是本地有效）是不能相互通信的。但是non-protected port和protected port通信却是正常的。任何类型的端口都可以定义为保护端口，不管是access口还是trunk口。

　　现在，你一定想知道这个特性是如何减缓DoS的了。通过把可疑的端口和接关键业务（服务器群）的端口设置为protected port，他们之间就不能互相传输数据，只有控制信息会被传输。

注意：Protected Port不能和PVLAN一起使用

(config-if)#switchport protected

把端口配置为protected port

Port Blocking

　　首先需要注意的是Port blocking不是真正地阻止端口和它的通信，只有那些未知的流量会被阻止。也就是说，这种机制只会阻止那些交换机不知道目的地的流量（Unknown Unicast）。

　　Port blocking会直接丢弃这些封包，防止攻击者利用这个弱点进行攻击。

注意：这个特性只适用于那些固定设备，也就是说，如果一个网络设备不可用了（关机或者故障），它的ARP cach会超时老化，这个设备就不能在网络中使用，除非手动把该ARP记录添加到所有交换机上（当然你也可以配置ARP永不老化）。

(config-if)#switchport block {unicast | multicast}

配置未知目的地的单播或者多播

译自：http://blog.centilin.com/everything_it/storm-control-port-blocking-and-protected-port/