我想知道在 HP 交換器(例如 2920)上是否有類似風暴控制但針對單播的功能?假設我們的網路中有一台主機,它會暴力破解一些隨機 IP 位址。如何關閉該介面/MAC位址? HP Switch 只提供廣播和組播的風暴控制,但它們都不是針對隨機 IP 的 300pps 的解決方案。怎麼處理呢?我知道我們可以在防火牆上做“某事”,但如何在 L2 上處理它,這樣流量就不會打擾我們的防火牆。
問候。
答案1
除了單播之外還有風暴控制之類的東西嗎?
單播不能導致pod送風暴。如果有循環,它們就只是繞圈圈。但這並不是你真正的問題。
假設我們的網路中有一台主機,它會暴力破解一些隨機 IP 位址。
只需關閉其交換器連接埠(interface xy disable)即可。如果它可以欺騙 IP 位址,那麼它也可以欺騙 MAC 位址。
或者,您可以在交換器連接埠上使用 ACL,僅允許指定的單一「正確」位址。例如,僅允許來自連接埠 10 的來源位址 192.168.100.100:
ip access list extended "port_10_single_IP"
100 permit ip 192.168.100.100/32 any
exit
interface 10 ip access group "port_10_single_IP" in
當然,您也可以使用 DHCP 監聽來僅允許 DHCP 伺服器提供的單一(動態)IP 位址。但這是一個更高階的話題。