История страницы

На коммутаторах mes реализован функционал security-suite. Используя security-suite можно настроить порог syn-запросов на определенный ip-адрес/подсеть с целью защиты от syn-атак.

Пример настройки:

Глобально включить security-suite:

...

console(config)

...

# security-suite enable

Настроить на порту порог:

...

console(config)

...

# interface gig0/1

...

console(config-if)

...

# security-suite dos syn-attack

...

200 192.168.11.0 /24

...

Число подключений в секунду от 127 до 1000. В примере рассматривается 200

Посмотреть security-suite можно командой show security-suite configuration.

...

console# show security-suite configuration

Security suite is enabled (Per interface rules are enabled).
Denial Of Service Protect:
Denial Of Service SYN-FIN Attack is enabled
Denial Of Service SYN Attack

Interface IP Address SYN Rate (pps)
-------------- -------------------- -----------------------
gi1/0/1 192.168.11.0/24

...

200

Martian addresses filtering
Reserved addresses: disabled
Configured addresses:

SYN filtering

Interface IP Address TCP port
-------------- ---------------------- --------------------

ICMP filtering

Interface IP Address
-------------- ----------------------

Fragmented packets filtering

Interface IP Address
-------------- ----------------------

2324B#