다산 V6424 유해 트래픽 차단 설정에 대해서 알아보겠습니다.
유해 트래픽 차단 설정
1. CPU statistics-limit 설정
설정 방법
V6424(config)# cpu statistics-limit unicast 1-28 10
V6424(config)# cpu statistics-limit multicast 1-28 10
V6424(config)# cpu statistics-limit broadcast 1-28 10
=> Port에서 CPU로 인입되거나 CPU에서 port로 나가는 packet이 설정치 이상일 경우 packet 종류,
해당 port 번호 및 임계값, 현재 값에 대해 syslog가 남게 되며, 해당 packet이 차단되거나 packet 양이 조절되지는 않음
Syslog
system: Unicast packet over (1000,1166) at Port(1) in ingress
system: Multicast packet over (1000,2334) at Port(1) in ingress
system: Broadcast packet over (1000,6188) at Port(1) in ingress
2. storm control 설정 ( 상위 uplink port 제외 )
설정 방법
V6424(bridge)# storm-control broadcast 1024 1-24
V6424(bridge)# storm-control multicast
V6424(bridge)# storm-control dlf 1024
=> V6424 에서 처리하는 모든 Broadcast, multicast, dlf를 초당 1024개로 제한
3. mac-flood guard 설정 ( 상위 uplink port 제외 )
설정 방법
V6424(bridge)# mac-flood-guard 1-24 200
=> 특정 MAC Address에 초당 200개 이상의 Multicast, Broadcast Packet 유입 시 mac을 filter 함
4. TCP syn attack 방지 설정
설정 방법
V6424(config)# ip tcp ignore rst-unknown
V6424(config)# ip tcp syncookies
=> TCP control packet 중 SYN Attack 방지 기능 설정
다산 V6424 추가설정 (Rule 설정) (0) | 2017.05.12 |
---|---|
다산V6424 초기화 및 기본설정 (0) | 2017.05.12 |
다산 스위치 V6424 샘플 configuration 설정 (0) | 2017.04.28 |