Как защитится от броадкаст шторма L2 в корп. сети?

Question

[StaDen777]

Всем привет, прошу помощи в решении следующего вопроса:
Как защитить управляемый L3 коммутатор (роутер) от броадкаст шторма L2 в одной из подсетей?
Допустим в одной из подсетей подключают устройство которое бешено генерит ARP трафик, возникает огромное количество ARP запросов и в результате центральный узел L3 - коммутатор начинает подтормаживать, т.е фактически на него происходит DDOS атака.

Answer 1

[Mors Clamor]

Вообще, начинать с корня - PortSecurity на портах, чтобы не подключали таких устройств. А если легитимное устройство начинает буйствовать то разбираться почему оно это делает.

Потому что защититься от хорошего наплыва L2 шторма (в моем случае был Gratitude ARP от 300+камер) не получится. У коммутаторов есть встроенные средства типа "Ограничения Broadcast или даже конкретно ARP на порту", но проблема в том, что вы не сможете разграничить полезный трафик и вредный на уровне коммутатора. А из профилактики - уменьшение размера Broadcast домена настолько, насколько это возможно. Ну и Port Security, еще раз.

Answer 2

[StaDen777]

К сожалению в нашем случае это может быть легитимное устройство - ПЛК или виртуальный контроллер на ВМ, которое было подключено программистом-разработчиком в процессе настройки\тестирования.

Пока на текущий момент как вариант быстрого решения - отделить эту подсеть отдельным роутером и в случае проблемы упадет этот роутер а не центральный...

Comments

[Mors Clamor]

Ну, если возникновение таких ситуаций неизбежно, то, наверное, лучше и не придумать