Мне было интересно, есть ли на коммутаторах HP (например, 2920) что-то вроде управления штормом, но для одноадресной рассылки? Предположим, у нас есть хост в нашей сети, который перебирает несколько случайных IP-адресов. Как отключить этот интерфейс/MAC-адрес? Коммутатор HP обеспечивает только управление штормом для широковещательной и многоадресной рассылки, но ни один из них не является решением для 300 пакетов в секунду для случайных IP-адресов. Как с этим справиться? Я знаю, что мы могли бы сделать «что-то» на FireWall, но как справиться с этим на L2, чтобы трафик даже не беспокоил наш FireWall.
С уважением.
решение1
есть что-то вроде управления штормом, но для одноадресной передачи?
Одноадресные рассылки не могут вызватьтранслироватьшторм. Если есть петля, они просто кружатся. Но это не совсем твоя проблема.
Предположим, в нашей сети есть хост, который перебирает несколько случайных IP-адресов.
Просто отключите его порт коммутатора ( interface xy disable). Если он может подделывать IP-адреса, он может подделывать и MAC-адреса.
В качестве альтернативы вы можете использовать ACL на порту коммутатора, чтобы разрешить только один «правильный» адрес, который ему был дан. Например, разрешить только исходный адрес 192.168.100.100 с порта 10:
ip access list extended "port_10_single_IP"
100 permit ip 192.168.100.100/32 any
exit
interface 10 ip access group "port_10_single_IP" in
Конечно, вы также можете использовать DHCP snooping, чтобы разрешить только один (динамический) IP-адрес, предоставленный вашим DHCP-сервером. Но это более сложная тема.