コントロールプレーン保護がないため、Catalyst 3750/3560でSYN FLOOD DOSを軽減するにはどうすればよいですか?
コントロールプレーン保護がないため、Catalyst 3750/3560でSYN FLOOD DOSを軽減するにはどうすればよいですか?
回答:
3750は、輻輳時にパントすることを優先することを内部的に優先しますが、構成できません。
したがって、一般的なベストプラクティスに依存する必要があります。つまり、すべてのネットワークエッジでiACL(インフラストラクチャACL)を使用する必要があります。iACLでは、UDPハイポート、インフラストラクチャネットワークアドレスへのICMP、およびドロップレストを許可します。このようにpingとtracerouteは機能しますが、インフラストラクチャは攻撃できません。
許可されたトラフィックを許容可能な小さなレートにポリシングすることにより、iACLを補完する必要があります。
このようにして、外部のパーティが3750のアドレスを攻撃している場合、エッジのネットワーク境界によってドロップされます。
iACLは通常100%静的であるため、インフラストラクチャアドレス(ループバック、コアリンク)のみが含まれるため、メンテナンスは簡単です。
これは、LANが192.0.2.0/24で、3750に192.0.2.1がある場合のように、ルーターがお客様のLANに直接面している場合、オープンオープンのケースを依然として残します。
これらのデバイスの解決策は、適切なCoPP機能を備えたデバイスに投資するか、動的iACLを維持して、ルーターの顧客向けアドレスを常に追加することです。
リンクネットワーク(/ 30または/ 31)ソリューションを介してのみ顧客に直面する場合は、よりクリーンな方法でリンクネットワークのアドバタイズを省略し、CPE側に静的な/ 32ルートを追加します。このように、このルーターパーティの外部は攻撃できません。彼らはルートを持っていないので、ルーター。
同じ問題の代替ソリューションは、iACLで非連続ACLエントリを使用することです。CPEリンクネットワークがiACLで198.51.100.0/24の場合、「deny ip any 198.51.100.0 0.0.0.254」を実行すると、すべての偶数アドレスが許可され、奇数アドレスが拒否されるため、CPEが偶数で3750が奇数の場合、iACLを更新せずに現在および将来のすべてのリンクが保護されます。