Me preguntaba si en los conmutadores HP (2920, por ejemplo) hay algo así como control de tormentas, pero para unidifusión. Supongamos que tenemos un host en nuestra red que aplica fuerza bruta a algunas direcciones IP aleatorias. ¿Cómo cerrar esta interfaz/dirección MAC? HP Switch solo proporciona control de tormentas para transmisión y multidifusión, pero ninguno de ellos es una solución para 300 pps para IP aleatorias. ¿Cómo manejarlo? Sé que podríamos hacer "algo" en FireWall, pero cómo manejarlo en L2, para que el tráfico ni siquiera moleste nuestro FireWall.
Saludos.
Respuesta1
¿Existe algo así como control de tormentas pero para unicasts?
Las unidifusiones no pueden causar unatransmisióntormenta. Si hay un bucle, simplemente circulan. Pero ese no es realmente tu problema.
Supongamos que tenemos un host en nuestra red que aplica fuerza bruta a algunas direcciones IP aleatorias.
Simplemente cierre el puerto del conmutador ( interface xy disable). Si puede falsificar direcciones IP, también puede falsificar direcciones MAC.
Alternativamente, puede usar una ACL en el puerto del conmutador para permitir solo la dirección única "adecuada" que se le ha asignado. Por ejemplo, permita solo la dirección de origen 192.168.100.100 desde el puerto 10:
ip access list extended "port_10_single_IP"
100 permit ip 192.168.100.100/32 any
exit
interface 10 ip access group "port_10_single_IP" in
Por supuesto, también puede utilizar la vigilancia DHCP para permitir solo la dirección IP única (dinámica) proporcionada por su servidor DHCP. Pero ese es un tema más avanzado.