Oprócz optymalizacji firewall sugeruje odpalić UBRL. Policy-map zapiąć od strony internetu i użyć maski SRC. W ACL pod class-map oznaczyć pakiety syn. Przyciąć w oparciu o flow do niskiej przepustowości (UBRL nie obsługuje przycinania w pps)
Generalnie będzie następujący efekt - 6500 będzie dynamicznie tworzył niezależną kolejke dla każdego klienta łączącego do serwera określonego w ACL. Czyli jak ci jeden delikwent da flood pakietami syn to wytnie go do przepustowości jaką ustawisz. Musisz oczywiście ustawić taką aby zaufanym klientom nie pogorszyć obsługi (możesz np. ustawić większy burst - Bc).
Zaleta jest taka, że wszystko masz robione sprzętowo więc mogą sobie walić w usługe. Wadą to możliwość przeciążenia tablicy netflow jak masz setki tysięcy adresów łączących się do sieci (najwazniejsze abyś dał flow mask jako interface-source). No i jak DDos masz z botnetu to i tak sporo tych SYN dojdzie. W końcu jak używasz aktualnie netflow w 6500 to pamiętaj o konfliktach z flow mask przy UBRL i NDE.
Tutaj prosty przykład:
Kod: Zaznacz cały
mls flow ip interface-source
mls qos
!
ip access-list extended ubrl
permit tcp any host 192.168.0.100 syn
!
!
class-map match-all ubrl
match access-group name ubrl
!
!
policy-map ubrl
class ubrl
police flow mask src-only 32000 64000 conform-action transmit exceed-action drop
Pozdr.