Contro plane - CPU de los Huaweis s6720 y s6730

Publicado 2019-9-25 13:39:11Última respuesta Sep 28, 2019 12:55:09 76 4 0 0
  Recompensa Goldies : 0 (solución de problemas)

Buenas tardes!

Me gustaría pedirle ayuda con respecto a la protección del control plane, CPU de los Huaweis s6720 y s6730.
Sé que podemos crear límites relacionados con ftp, arp, icmp flood. 

Duda: ¿Alguna de estas opciones que mencioné está implícita en el valor predeterminado de lo router?



Gracias

  • x
  • convención:

Respuestas destacadas
Gustavo.HdezF
Moderador Publicado 2019-9-25 14:46:54 Útil(2) Útil(2)

Los switches de la serie S cuentan con diferentes mecanismos de protección para evitar que estos dejen de funcionar de forma correcta. Estos mecanismos están desarrollados para proteger a la capa 2 y a la capa 3 dentro de una red de datos.

A continuación te menciono los métodos disponibles por cada capa:

Capa 2


El núcleo de la capa 2 es la tabla de direcciones MAC la cual nos sirve para reenviar el tráfico de datos al hosts final. El reenvío de tráfico de datos debe buscar en la tabla de direcciones MAC. Por lo tanto, la tabla de direcciones MAC es propensa a los ataques. Los usuarios no autorizados pueden envíar una gran cantidad de paquetes para consumir entradas de direcciones MAC. Cuando no se encuentra una entrada MAC para un paquete, el paquete se transmite (Broadcast). Esto consume ancho de banda y puede causar tormentas de broadcast. El switch protege la tabla de direcciones MAC mediante el uso de métodos tales como: MAC address learning control, DHCP snooping, and storm suppression.


Capa 3


Por otro lado, el reenvío de datos de capa 3 depende de la tabla ARP y la tabla de enrutamiento. Las entradas en la tabla de enrutamiento son creadas por el intercambio de datos propios de los protocolos de enrutamiento, por lo que son difíciles de atacar. Las entradas ARP son generadas por el intercambio de paquetes de protocolo. Los atacantes pueden enviar una gran cantidad de paquetes de protocolo o paquetes de protocolo falsificados para atacar la tabla ARP. Por lo tanto, la tabla ARP debe protegerse adecuadamente en el reenvío de capa 3. El switch admite medidas como ARP securityDAI/EAI, and IPSG para prevenir tales ataques.


Ahora bien después de esta breve introducción, te puedo comentar que los switches de la serie S cuentan con la protección necesaria para la capa 2 y la capa 3 como se muestra en las siguientes imágenes.


Protección para la capa 2.


MAC address learning

144243u8j84o8or6l8ootj.png


DHCP Snooping

144312u1q76hmkh61kqkm5.png
 


storm suppression

144342d7jy4yzavjuyzj7x.png

Capa 3

ARP security

144410i6afagj8v48za3f6.png
 


IPSG

144433vhchs9lll0olekc0.png



Como podrás observar el switch cuenta con los mecanismos necesarios para protegerse de cualquier ataque que se pueda generar en las capas 2 y 3.

Cualquier duda adicional que pudieras tener quedo a la orden para contestarla.

Saludos.

  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
Todas las respuestas
Gustavo.HdezF
Gustavo.HdezF Moderador Publicado 2019-9-25 14:19:51 Útil(0) Útil(0)
Buenas Tardes @robert_al31 En breve te daremos una respuesta. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
Gustavo.HdezF
Gustavo.HdezF Moderador Publicado 2019-9-25 14:46:54 Útil(2) Útil(2)

Los switches de la serie S cuentan con diferentes mecanismos de protección para evitar que estos dejen de funcionar de forma correcta. Estos mecanismos están desarrollados para proteger a la capa 2 y a la capa 3 dentro de una red de datos.

A continuación te menciono los métodos disponibles por cada capa:

Capa 2


El núcleo de la capa 2 es la tabla de direcciones MAC la cual nos sirve para reenviar el tráfico de datos al hosts final. El reenvío de tráfico de datos debe buscar en la tabla de direcciones MAC. Por lo tanto, la tabla de direcciones MAC es propensa a los ataques. Los usuarios no autorizados pueden envíar una gran cantidad de paquetes para consumir entradas de direcciones MAC. Cuando no se encuentra una entrada MAC para un paquete, el paquete se transmite (Broadcast). Esto consume ancho de banda y puede causar tormentas de broadcast. El switch protege la tabla de direcciones MAC mediante el uso de métodos tales como: MAC address learning control, DHCP snooping, and storm suppression.


Capa 3


Por otro lado, el reenvío de datos de capa 3 depende de la tabla ARP y la tabla de enrutamiento. Las entradas en la tabla de enrutamiento son creadas por el intercambio de datos propios de los protocolos de enrutamiento, por lo que son difíciles de atacar. Las entradas ARP son generadas por el intercambio de paquetes de protocolo. Los atacantes pueden enviar una gran cantidad de paquetes de protocolo o paquetes de protocolo falsificados para atacar la tabla ARP. Por lo tanto, la tabla ARP debe protegerse adecuadamente en el reenvío de capa 3. El switch admite medidas como ARP securityDAI/EAI, and IPSG para prevenir tales ataques.


Ahora bien después de esta breve introducción, te puedo comentar que los switches de la serie S cuentan con la protección necesaria para la capa 2 y la capa 3 como se muestra en las siguientes imágenes.


Protección para la capa 2.


MAC address learning

144243u8j84o8or6l8ootj.png


DHCP Snooping

144312u1q76hmkh61kqkm5.png
 


storm suppression

144342d7jy4yzavjuyzj7x.png

Capa 3

ARP security

144410i6afagj8v48za3f6.png
 


IPSG

144433vhchs9lll0olekc0.png



Como podrás observar el switch cuenta con los mecanismos necesarios para protegerse de cualquier ataque que se pueda generar en las capas 2 y 3.

Cualquier duda adicional que pudieras tener quedo a la orden para contestarla.

Saludos.

  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
robert_al31
robert_al31 Publicado 2019-9-25 18:17:52 Útil(0) Útil(0)
Publicado por Gustavo.HdezF a las 2019-09-25 03:46 Los switches de la serie S cuentan con diferentes mecanismos de protección para evitar que estos ...
Muy bueno saber eso. Excelente

Gracias por el apoyo una vez más.
  • x
  • convención:

Profesional%20con%20m%C3%A1s%20de%2010%20a%C3%B1os%20de%20experiencia%20en%20soluci%C3%B3n%20de%20problemas%20%2F%20red%20de%20acceso%2C%20operadores.%0AExperiencia%20en%20configuraci%C3%B3n%20de%20equipos%20y%20resoluci%C3%B3n%20de%20problemas%20(Cisco%20-%207200%2C%20Juniper%20-%20MX%2C%20Alcatel%20%2F%20Nokia%20-%207750%20SR%2C%20Huawei%2C%20Datacom%20y%20Hewlett%20Packard).%20Protocolos%20de%20enrutamiento%3A%20OSPF%20y%20BGP.%20Redes%20MetroEthernet%2C%20Protocolo%20de%20t%C3%BAnel%20GRE%2C%20T%C3%BAnel%20y%20%C3%A1rbol%20de%20expansi%C3%B3n.%20Alta%20disponibilidad%20(HSRP%2C%20VRRP%20y%20GLBP).
robert_al31
robert_al31 Publicado 2019-9-28 12:55:09 Útil(0) Útil(0)
Publicado por Gustavo.HdezF a las 2019-09-25 03:46 Los switches de la serie S cuentan con diferentes mecanismos de protección para evitar que estos ...
Gustavo, muchas gracias!
Ueste tiene algun exemplo para compartilhar.
  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje