汇聚交换机作为网关的一些防环防攻击的办法

发布时间:  2016-12-22 浏览次数:  144 下载次数:  0
问题描述

某客户网络两台S97堆叠作为内网的网关,因网络承载单位多而杂经常出现环路及网络攻击等问题,造成网络不可用。

告警信息
处理过程
为解决以上问题,提供部分解决办法。
根因

1.各种原因造成的环路。

2.用户部分设备携带病毒对网络造成的攻击。

解决方案

为解决以上问题,提出以下几种方案,可同时部署,也可按照实际情况部署。

1、根据网络用户数量、业务量,arp表项,适当调整接口板arp报文cpcar值,参考命令如下:

cpu-defend policy xxx
car packet-type arp-reply cir 96
car packet-type arp-request cir 96
cpu-defend-policy xxx global

2、对于arp-miss报文丢包,建议配置arp-miss消息限速,基于全局部署,参考命令如下:

arp-miss anti-attack rate-limit enable  (默认1s内最多处理100个arp miss消息)

3、针对未知的IP攻击溯源,针对具体IP地址配置黑名单过滤,参考命令如下:

acl 3000
Rule permit ip source x.x.x.x .x.x.x.x
cpu-defend policy xxx
blacklist 1 acl 3000
cpu-defend-policy xxx  global                
      
4、在靠近业务侧设备上基于端口配置环路检测loopback-detection,配置处理动作为shutdown,当
环路消失后,手动执行shutdown和undo shutdown恢复端口,参考命令如下:

loopback-detect enable
loopback-detect untagged mac-address ffff-ffff-ffff
interface gigabitethernet x/x/x
loopback-detect action shutdown

建议与总结
实际应用中会经常遇到类似问题,可根据实际情况,部署对应的措施。

END