В качестве примера использования функции Safeguard Engine рассмотрим ситуацию, когда одна из рабочих станций, подключенных к коммутатору, постоянно рассылает ARP- пакеты с очень высокой скоростью. Загрузка ЦПУ коммутатора при этом меняется от нормальной до 90%. При устранении причины, вызвавшей лавинную генерацию ARP- пакетов на рабочей станции, загрузка ЦПУ снизится до нормы.
Для защиты ЦПУ от подобных ситуаций и снижения его загрузки, на коммутаторе можно настроить функцию Safeguard Engine.
Настройка коммутатора
· Активизировать функцию Safeguard Engine.
config safeguard_engine state enable
· Задать нижнее и верхнее пороговые значения (указываются значения в процентах от загрузки ЦПУ), при которых будет происходить переключение между нормальным режимом работы и режимом Exhausted, и указать режим работы функции.
config safeguard_engine utilization rising 40 falling 25 mode strict
Функция CPU Interface Filtering
Стандартные списки управления доступом выполняют фильтрацию трафика входящего/исходящего через порты на аппаратном уровне и не могут фильтровать потоки данных, предназначенные для обработки на ЦПУ, например, запросы ICMP, отправляемые на IP-адрес управления коммутатором. В случае возникновения большого количества таких пакетов, производительность коммутатора может сильно снизиться из-за высокой загрузки ЦПУ.
|
|
Функция CPU Interface Filtering, поддерживаемая на старших моделях коммутаторов D-Link, является еще одним решением, позволяющим ограничивать пакеты, поступающие для обработки на ЦПУ путем фильтрации нежелательного трафика на программном уровне. Функция CPU Interface Filtering представляет собой списки управления доступом к интерфейсу ЦПУ и обладает аналогичными стандартным ACL принципами работы и конфигурации.
Несмотря на то, что функция CPU Interface Filtering позволяет контролировать и фильтровать нежелательный трафик, для своей работы она использует центральный процессор. В случае сильной атаки, центральный процессор будет использовать все свои ресурсы для фильтрации вредоносного трафика, что приведет к снижению производительность коммутатора. Поэтому для уменьшения влияния сетевых атак на ЦПУ коммутатора рекомендуется настраивать обе функции - Safeguard Engine и CPU Interface Filtering.