다산 V6424 유해 트래픽 차단 설정

 

 

다산 V6424 유해 트래픽 차단 설정에 대해서 알아보겠습니다.

 

유해 트래픽 차단 설정

 

1. CPU statistics-limit 설정

 

설정 방법

V6424(config)# cpu statistics-limit unicast 1-28 10     

V6424(config)# cpu statistics-limit multicast 1-28 10      

V6424(config)# cpu statistics-limit broadcast 1-28 10

=> Port에서 CPU로 인입되거나 CPU에서 port로 나가는 packet이 설정치 이상일 경우 packet 종류,

 해당 port 번호 및 임계값, 현재 값에 대해 syslog가 남게 되며, 해당 packet이 차단되거나 packet 양이 조절되지는 않음

 Syslog

system: Unicast packet over (1000,1166) at Port(1) in ingress

system: Multicast packet over (1000,2334) at Port(1) in ingress

system: Broadcast packet over (1000,6188) at Port(1) in ingress

 

2. storm control 설정 ( 상위 uplink port 제외 )

 

설정 방법

V6424(bridge)# storm-control broadcast 1024 1-24

V6424(bridge)# storm-control multicast

V6424(bridge)# storm-control dlf 1024

=> V6424 에서 처리하는 모든 Broadcast, multicast, dlf를 초당 1024개로 제한

 

3. mac-flood guard 설정 ( 상위 uplink port 제외 )

 

설정 방법

V6424(bridge)# mac-flood-guard 1-24 200

=> 특정 MAC Address에 초당 200개 이상의 Multicast, Broadcast Packet 유입 시 mac을 filter 함

 

4. TCP syn attack 방지 설정

 

설정 방법

V6424(config)# ip tcp ignore rst-unknown

V6424(config)# ip tcp syncookies

=> TCP control packet 중 SYN Attack 방지 기능 설정