端口阈值可以防止局域网上来自物理界面广播、多播或单播风暴的干扰。在精简版的交换机上不具有端口阈值。

当创建极多的传输和指向网络执行，局域网数据包泛滥时，局域网风暴就会发生。协议堆栈（Protocol Stack）有效实施的差错、网络组态的错误或用户发送的否认服务，这些攻击都能引起风暴。

（1）Incoming（风暴控制）

端口阈值（或传输抑制）监视数据包从一个界面通过到交换机总线，并测定数据包是单播、多播或广播。交换机计算1s时间内所接收的指定类型的数据包数目，并和预定义的抑制级别阈值的测量值进行比较。

端口阈值测量传输活动用下列方法之一：

●带宽与用于广播、多播或单播的端口总量活动带宽的百分比。

●被接收的广播、多播或单播数据包每秒钟数据包传输速率。

●被接收的广播、多播或单播数据包每秒钟位的传输速率。

每一种方式，都会在上升达到阈值时，端口阻塞传输。端口保留阻塞，直到传输速率降到阈值以下，然后恢复正常发送，一般来说，越高的阈值，对广播风暴防护的效果越小。

注意，当多播传输的端口阈值到达时，除了网络管理传输，所有的多播传输，如桥协议数据单元（BDPU）和思科Discovery协议（CDP）结构都会变得阻塞。(www.daowen.com)

图4-5所示的是在周期间隔时间界面的广播传输样板，这个例子也可应用于多播和单播传输。在这个例子中，在时间间隔T₁和T₂之间以及T₄和T₅之间，被发送的广播传输超过组态的阈值。当指定的传输总量超过了阈值，那一类所有的传输影响到了下一个周期。因而，广播传输在T₂和T₅时间间隔的期间仍然还是被阻塞的。在下一个时间间隔（例如T₃），如果广播传输没有超过阈值，则会再次发送传输。

这个是风暴控制抑制级别和1s时间间隔端口阈值算法的工作控制方式的组合，较高的阈值总是让更多的数据包通过。100%的阈值意味着在传输上没有限度空间。0%的阈值意味着所有的广播、多播或单播传输在端口都是被阻塞的。

注意，由于数据包不能在恒定的时间间隔达到，被测量的传输活动期间的1s时间间隔能够影响端口阈值的行为。

图4-5 端口阈值例子

（2）Outgoing（速率限制）

Outgoing端口阈值限制与客户端设备（如线速度百分比）通信的交换机的速率（比率总量限制按总量的百分比），限制指定用户的带宽，且端口帮助控制网络拥塞，保证获得高性能，创建高效能的网络，并阻止垄断网络带宽的少量设备。对终端设备限制最大带宽非常有益于保证传输可靠，终端设备也许没有能力处理大量的传输。从设备管理Web界面或RSLogix 5000的AOP能够使能或禁止每个端口基础上的速率限制。

默认的端口阈值组态，Incoming单播、广播和多播端口阈值是禁止的，Outgoing端口阈值也是禁止的。