Всем привет!
Коллеги, поделитесь кто как защищает control-plane. Интересует защита SVI железки. Есть 76 циска, соответственно, почитав документацию сделал политики, где описал разного вида трафик.
Например:
class-map match-any ICMP
match access-group name ICMP
class-map match-any SSH
match access-group name SSH
class ICMP
police cir 5000000
conform-action transmit
exceed-action drop
violate-action drop
ip access-list extended ICMP
permit icmp any any
Также есть отдельная политика куда попадает все остальное:
class ALLOTHERIP
police cir 500000
conform-action transmit
exceed-action drop
violate-action drop
Потестировав на определенных видах трафика все работает как надо, но есть нюанс. Например, если послать на SVI железки просто флаги FIN и заставить ее отвечать RST ACK, тем же hping3,
то CoPP кладется легко. Подскажите, плиз кто сталкивался, как можно от такого рода атак защитить control-plane.
Спасибо.
