Manualsbrain.com
  1. 매뉴얼
  2. 브랜드
  3. Cisco
  4. Cisco Catalyst 6500 Cisco 7600 Router Anomaly Guard Module
  5. 디자인 가이드

Cisco Cisco Catalyst 6500 Cisco 7600 Router Anomaly Guard Module 디자인 가이드

다운로드
페이지 12
 
 
© 2005 Cisco Systems, Inc. All rights reserved. 
Important notices, privacy statements, and trademarks of Cisco Systems, Inc. can be found on cisco.com. 
Page 7 of 12 
 
 
with a higher weight (lower cost) than the other module, so that this first module acts as the Active Guard while the second module acts as the 
Standby Guard. In the event of an Active Guard failure, RHI will withdraw the static route entry for the first module, leaving the Standby Guard 
as the new Active Guard. 
3. ENTERPRISE DEPLOYMENT 
Anomaly Guard and Traffic Anomaly Detector modules can be deployed in an enterprise network to protect Internet-facing servers and network 
infrastructures from the debilitating effects of a DDoS attack. 
A typical enterprise deployment has an Anomaly Guard Module and Traffic Anomaly Detector Module installed on a Cisco Catalyst 6500 Series 
switch that is the first point of entry for inbound Internet traffic. During nonattack periods, inbound traffic from the Internet flows through line cards 
and the supervisor engine without any involvement of the Anomaly Guard Module, while a copy of this inbound traffic (via SPAN or virtual access 
control lists [VACLs]) is sent to the Traffic Anomaly Detector Module for analysis. 
If anomalous traffic behavior is detected by the Traffic Anomaly Detector Module, the module will signal the Anomaly Guard Module to start its 
mitigation process. This mitigation process consists of: 
1. 
Diverting (“hijacking”) the affected traffic (all traffic destined for a targeted IP address that is under attack) from the normal path to the 
Anomaly Guard. 
2. 
Subjecting that traffic to multiple layers of analysis and countermeasures to distinguish legitimate sources from attack sources (“cleaning” 
the traffic). 
3. 
Dropping the attack traffic and forwarding the legitimate traffic (“injection”) back into the normal traffic path for forwarding to the target 
(zone). 
Internet Link Bandwidth 
A first point to consider in an enterprise deployment is whether there is enough link bandwidth from the ISP to the enterprise premises to allow an 
effective deployment of an Anomaly Guard Module downstream from that ISP link. In order to effectively counter high-bandwidth DDoS attacks, 
the Anomaly Guard mitigation device must be deployed far enough upstream to drop the attack traffic before it can saturate the ISP link. 
Given the size of high-bandwidth DDoS attacks that have been observed on the Internet, it is recommended that if an enterprise has Internet 
bandwidth of greater than 100 Mbps, the Anomaly Guard Module should be deployed downstream of its Internet link in an “on-premises” 
deployment. If the link bandwidth is less than 500 Mbps, the Anomaly Guard Module should be deployed upstream of the ISP link in a colocation 
or a managed service arrangement. 
On-Premises, Colocation, or Managed Service 
The primary consideration for on-premises or off-premises deployment is Internet link bandwidth. 
For on-premises deployment, the Anomaly Guard and Traffic Anomaly Detector modules will typically be installed in the same Cisco Catalyst 
6500 Series switch, although this is not mandatory (Anomaly Guard and Traffic Anomaly Detector modules can reside in different switches, as 
long as the Anomaly Guard is logically upstream of the Traffic Anomaly Detector). Figure 4 shows a network diagram of an on-premises enterprise 
deployment.