Ich habe mich gefragt, ob es auf HP-Switches (z. B. 2920) so etwas wie Storm Control gibt, aber für Unicasts? Nehmen wir an, wir haben einen Host in unserem Netzwerk, der zufällige IP-Adressen mit Bruteforce erzwingt. Wie kann ich diese Schnittstelle/MAC-Adresse abschalten? HP Switch bietet nur Stormcontrol für Broadcast und Multicast, aber keines davon ist eine Lösung für 300pps für zufällige IPs. Wie gehe ich damit um? Ich weiß, wir könnten „etwas“ an der FireWall machen, aber wie gehe ich damit auf L2 um, damit der Verkehr unsere FireWall nicht einmal stört.
Grüße.
Antwort1
Gibt es so etwas wie Sturmkontrolle, aber für Unicasts?
Unicasts können keineübertragenSturm. Wenn es eine Schleife gibt, kreisen sie einfach. Aber das ist nicht wirklich Ihr Problem.
Nehmen wir an, wir haben einen Host in unserem Netzwerk, der mit Bruteforce einige zufällige IP-Adressen erbeutet.
Schalten Sie einfach den Switch-Port ( interface xy disable) ab. Wenn es IP-Adressen fälschen kann, kann es auch MAC-Adressen fälschen.
Alternativ können Sie eine ACL auf dem Switch-Port verwenden, um nur die eine „richtige“ Adresse zuzulassen, die ihm zugewiesen wurde. Lassen Sie beispielsweise nur die Quelladresse 192.168.100.100 von Port 10 zu:
ip access list extended "port_10_single_IP"
100 permit ip 192.168.100.100/32 any
exit
interface 10 ip access group "port_10_single_IP" in
Natürlich können Sie auch DHCP-Snooping verwenden, um nur die einzige (dynamische) IP-Adresse zuzulassen, die Ihnen Ihr DHCP-Server zuweist. Aber das ist ein fortgeschritteneres Thema.