Fiquei me perguntando se nos switches HP (2920 por exemplo) existe algo como controle de tempestade, mas para unicasts? Vamos supor que temos um host em nossa rede que faz força bruta em alguns endereços IP aleatórios. Como desligar esta interface/endereço MAC? O HP Switch fornece apenas controle de tempestade para broadcast e multicast, mas nenhum deles é uma solução para 300pps para IPs aleatórios. Como lidar com isso? Eu sei que poderíamos fazer 'alguma coisa' no FireWall, mas como lidar com isso no L2, para que o tráfego nem incomode nosso FireWall.
Cumprimentos.
Responder1
existe algo como controle de tempestade, mas para unicasts?
Unicasts não podem causar umtransmissãotempestade. Se houver um loop, eles apenas circulam. Mas esse não é realmente o seu problema.
suponha que temos um host em nossa rede que aplica força bruta em alguns endereços IP aleatórios.
Basta desligar a porta do switch ( interface xy disable). Se puder falsificar endereços IP, também poderá falsificar endereços MAC.
Alternativamente, você pode usar uma ACL na porta do switch para permitir apenas o único endereço 'adequado' que lhe foi fornecido. Por exemplo, permita apenas o endereço de origem 192.168.100.100 da porta 10:
ip access list extended "port_10_single_IP"
100 permit ip 192.168.100.100/32 any
exit
interface 10 ip access group "port_10_single_IP" in
Claro, você também pode usar a espionagem DHCP para permitir apenas o endereço IP único (dinâmico) fornecido pelo seu servidor DHCP. Mas esse é um tópico mais avançado.