Как ловить широковещательный флуд на MikroTik устройствах

Понадобилось как-то в одной сети определить откуда идут скачки широковещательного трафика, из-за которых на устройствах повышалась загрузка процессора и появлялись перебои с интернетом.
Сетевое оборудование использовалось от MikroTik.

Подключившись к MikroTik указанной ниже командой посмотрим статистику трафика на портах, а именно приходящий на порт широковещательный трафик «Rx Broadcast«, так как это счетчик пакетов, то цифра должна расти если приходит флуд, если не меняется, то все хорошо:

interface ethernet print stats interval=1

Вот пример просмотра статистики конкретного порта (где ether2 — имя интерфейса, оно может быль разным, зависит от того как его назвали при настройке):

interface ethernet print stats from ether2 interval=1

Посмотреть список портов/интерфейсов можно командой:

interface print

Таким способом по цепочке дойдем до конечного порта от которого идет broadcast флуд и если нужно отключим его командой (где NUMBER — номер порта по порядку в таблице которую можно посмотреть командой выше):

interface disable NUMBER

Для включения порта:

interface enable NUMBER

Через WEB или Winbox можно посмотреть статистику открыв слева меню Interfaces и во вкладке Interface посмотрим каждый интерфейс.

Пример обнуления статистики портов:

interface ethernet reset-counters ether2
interface ethernet reset-counters ether2,ether3,ether4,ether5

На CRS моделях MikroTik, можно включить контроль broadcast трафика, к примеру 100 пакетов в секунду на порт ether3 (аналогично для других портов):

interface ethernet switch ingress-port-policer add port=ether3 rate=100 meter-unit=packet packet-types=broadcast

В дальнейшем можно наблюдать за сетью например через систему Zabbix, в которой настроить отображение графиков широковещательных пакетов и если счетчик пакетов начинает расти, то система уведомит об этом.