Cisco Catalyst 3750/3560 SYN FLOOD保护

#1 楼

3750确实在拥塞时会优先选择哪些内容，但是它是不可配置的。

因此，您应该依靠通用的最佳实践，即在您的所有网络边缘上都应该拥有iACL（基础架构） ACL）。在iACL中，您将允许UDP高端口，ICMP到基础结构网络地址并删除其余部分。这样可以ping和traceroute，但不能攻击基础结构。
iACL应该通过将允许的流量限制在可接受的较小速率来进行补充。

这样，当外部方攻击3750上的地址时，它将被边缘的网络边界丢弃。

iACL通常是100％静态的，因此维护成本低，因为它仅包含基础结构地址（环回，核心链接）。

这仍然会在路由器直接面对客户LAN的情况下留下广阔的空间，例如当LAN为192.0.2.0/24而3750具有192.0.2.1时，iACL通常不会覆盖192.0.2.1。
这些设备的解决方案是要么投资具有适当CoPP功能的设备，要么维持动态iACL，始终在该设备上添加路由器的面向客户的地址。

如果仅通过链接网络（/ 30或/ 31）解决方案更加简洁，您只需省略广告链接网络，并为CPE端添加静态/ 32路由，这种方式在此路由器外部就无法攻击路由器，因为它们不会
相同问题的替代解决方案是在iACL中使用非连续ACL条目，如果iACL中的CPE链接网络为198.51.100.0/24，则可以“拒绝ip任何198.51.100.0 0.0”。 0.254'，则所有偶数地址均被允许，奇数地址被拒绝，因此，如果CPE为偶数且3750为奇数，则所有当前和将来的链接均为受保护，无需更新iACL。