ASP

ネットが以上に遅い。。。調査開始。。。

誰かがDNS QueryをうちのDNSへ投げまくって、RTX1200ルーターがCPU振り切ってる！！！
ちなみに「iri.so」「qww1.ru」のDomain名で大量に来てる

こちらにも

使用環境「RTX1200 Rev.10.01.53」

■NAT masqueradeのセッション数を制限する

nat descriptor masquerade session limit 1 1 2000

RTX1200は20000個までいけるが、1つのNATで2000個までに制御する

■Qos制御（Dynamic Class Control）

speed lan2 1000m
queue lan2 type shaping
　
queue lan2 class property 1 bandwidth=900m,1000m
queue lan2 class property 2 bandwidth=90m,1000m
queue lan2 class property 4 bandwidth=200k
queue lan2 class property 5 bandwidth=100k
　
queue lan2 class control 4 forwarding=5 watch=destination threshold=10%,20 time=86400
　　
queue class filter 1 4 ip (DMZ内のDNS IP) * udp domain *
queue class filter 2 1 ip * * * * *
　　
pp select 1
queue pp class filter list 1 2
pp select none

注意１ なぜか？VPN用のTunnelがあるのだがここを通るパケットが勝手にclass2へ流れてしまうようだ。。。「queue tunnel class filter list 2」と設定しclass1へ流れるように指定しclass2を消してもclass2が勝手に作られてそちらに流れてしまう。。。はて？取り急ぎ、class2も作成し、class4,class5で調整する。（RTX1200の不具合か？設定ミスなのか。。。）

注意２ Config修正した際に変更が正しく反映されず、再起動が必要となる場合があった（詳しく調べていないが、なんらかのClear処理が必要かもしれない）

注意３ Yamahaの「Dynamic Class Control」と「帯域制御」は少し違うので注意が必要

■帯域制限について

説教部屋を作成

・WANからpp=LAN2に対してDMZ内のDNS Serverに対する53port(domain)のアクセスを見張りclass4へ誘導する
（その他通信はClass1へ誘導）

・「watch=destination」の設定でDNS Serverに対する過重アクセス元となるGlobalIPをターゲットにする。

・class4、200kbpsの10%を20秒以上連続したアクセス（GlobalIP）に対して24時間(time86400)はclass5へ移動させる。（様子見としてrejectしていない）

うちの環境ではこれで撃退可能となりました。

確認コマンド
show status qos all

帯域制限のみで対応可能と思われるが、念のためNATセッション数も絞ってみた。
相変わらずガンガン来てるけど、スイスイのネットワークに戻りました☆

参考サイト１
参考サイト２