%Aug 5 06:30:23:486 2025 CoreSW IFMON/4/IFMON_INPUT_BC_RAPID_CHANGE: -Chassis=2-Slot=1; The incoming broadcast traffic of GigabitEthernet2/1/0/1 suddenly exceeds the threshold. Threshold=20000, current value=20002.
这种情况怎么处理,这个阈值能设置大点吗
(0)
最佳答案
告警内容:The incoming broadcast traffic of GigabitEthernet2/1/0/1 suddenly exceeds the threshold
核心问题:
端口 GE2/1/0/1 的广播流量瞬间超过阈值(20,000 pps),当前值为20,002 pps,说明:
存在 广播风暴(如物理环路、病毒攻击)
或该端口连接的 设备异常(如摄像头、IP电话大量发包)
display interface GigabitEthernet2/1/0/1
重点关注:
Input: 20002 packets/sec # 输入包速率
Broadcast: 19998 packets # 广播包计数
Errors: [CRC/Overruns] # 错误包统计(风暴特征)
interface GigabitEthernet2/1/0/1
storm-suppression broadcast pps 0 # 立即阻断所有广播流量
shutdown # 直接关闭端口(最彻底)
决策建议:
- •
核心业务端口 → 启用
storm-suppression
临时限速- •
非关键端口 → 直接
shutdown
排查
interface GigabitEthernet2/1/0/1
storm-suppression broadcast pps 50000 # 提升至50000包/秒
storm-constrain enable # 启用风暴约束(高级保护)
storm-suppression broadcast ratio 15 # 允许15%带宽的广播流量
设备类型 | 推荐阈值 | 配置命令示例 |
---|---|---|
服务器端口 | 100,000 pps |
|
普通PC终端 | 30,000 pps |
|
摄像头/IP电话 | 50,000 pps |
|
高风险区域 | 0 pps (完全阻断) |
|
参数说明:
- •
pps
(包/秒)比ratio
(百分比)更精确- •
千兆端口理论极限:1,488,000 pps(64字节小包)
# 开启MAC地址跟踪
<Switch> debugging mac-address tracking GigabitEthernet2/1/0/1
# 查看日志定位源MAC
<Switch> display diagnostic-information
典型风暴特征:
单一源MAC重复出现(病毒攻击)
MAC地址漂移(环路标志)
# 启用Loopback-Detection
loopback-detection enable
loopback-detection interval-time 3
# 检查LBD日志
display loopback-detection
若发现环路,立即执行:
loopback-detection action shutdown # 自动关闭环路端口
# 全局配置
storm-constrain enable
mac-address max-mac-count 16 # 单端口最多学习16个MAC
# 所有接入端口配置
interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/48
storm-suppression broadcast pps 20000
loopback-detection enable
port-security enable # 启用端口安全
stp edged-port enable # 启用STP边缘端口
display storm-suppression GigabitEthernet2/1/0/1
输出示例:
Broadcast: PPS limit 50000
Current: 152 pps # 恢复正常值
# 配置Trap告警阈值
trapsnmp storm-constrain
broadcast rising-threshold 45000 # 预警值(低于限速值)
broadcast falling-threshold 30000 # 恢复值
分时阈值策略(夜间自动收紧)
scheduler job NIGHT_STORM
storm-suppression broadcast pps 10000
scheduler schedule DAILY_22:00
time 22:00 daily
job NIGHT_STORM
联动安全设备
配置端口与防火墙联动(如security-policy from-trust
)
对频繁发送广播包的MAC自动隔离
故障定位流程图:
端口流量突增 → 检查错误包 → 启风暴抑制 → 查MAC地址 → 检测环路 → 封堵源
↳ 业务正常 → 调高阈值
通过以上方案,既能消除当前告警,又能建立长效防御机制,确保网络稳定运行。
(0)
检查下组网详情和组网规划细节吧
这个没有固定值或推荐值,具体要看组网和业务本身而定
目前看多半是广播域过大或流量异常,划分vlan等看看有没有改善吧
(0)
暂无评论
【命令】
broadcast-suppression { ratio | bandwidth bandwidth }
undo broadcast-suppression
【视图】
以太网端口视图
【参数】
ratio:指定以太网端口最大广播流量的线速度百分比,取值范围为1~100,缺省值为50。百分比越小,则允许通过的广播流量也越小。
bandwidth:端口广播抑制带宽值,取值范围在1到端口最大带宽值之间,单位为Mbps。
【描述】
broadcast-suppression命令用来设定端口的广播抑制比例值或者广播抑制带宽值。undo broadcast-suppression命令用来恢复缺省情况。
缺省情况下,广播抑制比例是50%。
允许多次使用broadcast-suppression命令,广播抑制率值以最后一次更新为准。
注意:
l 用户不能在同一单板上同时设置组播抑制功能和广播抑制功能,即一旦某单板有端口设置了广播抑制,该单板其他端口也不能设置组播抑制,反之亦然。
l 在组播抑制的时候也会同时抑制广播报文,而广播抑制的时候不会同时抑制组播报文。
l 组播报文抑制不区分是未知组播报文还是已知组播报文。
表1-1 相关参考命令
命令 | 描述 |
该命令用来设定端口的组播抑制率或者组播抑制带宽值 |
【举例】
# 设定广播抑制比例为40。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] interface ethernet 2/1/1
[H3C-Ethernet2/1/1] broadcast-suppression 40
# 设定广播抑制带宽值为40Mbps。
[H3C-Ethernet2/1/1] broadcast-suppression bandwidth 40
# 取消广播抑制功能。
[H3C-Ethernet2/1/1] undo broadcast-suppression
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论