Устроили нам обидившейся бывший админ "udp наводнение" в сети. После включения опции в Traffic control все нормально заработало. Но возникает вопрос: как расчитать/определить оптимальное значение Threshold (pps) для своей сети. Я поставил 64000 и шторм был заблокирован, но всё же хочется узнать систему определения этого значения. Или только с помощью метода проб и ошибок?
Кроме того, во время шторма в логах коммутатора появилась надпись вида:

где хх-хх-хх-хх-хх-хх это МАС-адрес самого коммутатора. Что это означает? Broadcast storm был с компа подключенного на 3 порт.
И вообще можно как-то определить своевременно этот компьютер - с которого ведется атака?

ЗЫ:Прошивка последняя

_________________
DIR-620

Посмотрите значение при нормальной работе сети, прибавьте и получите искомое, в целом, Вы правы - это число индивидуально для каждой сети и подбирается.

_________________
С уважением,
Бигаров Руслан.

А где и с помощью чего это просмотреть?

ЗЫ: Мог ли broadcast storm быть вызван подвисшим/испорченным неуправляемым коммутатором 1-го уровня?

_________________
DIR-620

Например, при помощи команды "show packet ports <portlist>".

_________________
С уважением,
Бигаров Руслан.

Спасибо. С pps стало более понятно. Но всё же вы не могли бы объяснить запись в логе которую я упомянул в первом посте. И кроме того, ещё в логах появляются не совсем мне понятные записи вида

где xx-xx-xx-xx-xx-xx - MAC-адрес
С МАС-адрессом понятно, а вот как понять IP: 0.0.0.0?
Могут ли это быть какие-то происки злоумышленников?

_________________
DIR-620

Могут быть. Но скорее всего это означает что у клиента выставлено получение адреса по DHCP. У Вас такая схема используется?

Фактически, свитч увидел свой мак на уходящем порту. Скорее всего, не включена функция loopdetect и имело место быть физическое кольцо.

Если хотите смоделировать на стенде - пишите pm, кратко объясню, как можно положить сеть с большим количеством неуправляемого оборудования за одну минуту =)