Velho, pra poder te ajudar seria legal vc comentar um pokinhu da topologia adotada na sua empresa e tbm, que tipos de protocolos vc estah utilizando no router, encapsulamento, modelo do router e o seu IOS.
O router tem como um recurso o access-list, que nada mais é do que um firewall imbutido no seu router cisco. Não chega a ser um PIX ou Check-Point, mas é excelente para determinados casos. Como o seu router jah está pedindo pra "parar", seria recomendado utilizar o minimo de recurso possível. Não trabalhe com access-list entao.
É bom saber tbm, que tipo de rede é utilizado na nuvem da sua concessionária. Com a Embratel vc pode trabalhar com BGP, é execelente para determinados casos. Uma rede inteligente e rápida, sem necessidade de configuração de sub-interfaces nos routers locais a cada instalação de uma nova filial. A GVT vc pode optar por Rotas estáticas ou trabalhar com RIP2. A mesma coisa com a Brasil Telecom e a Telemar (Rota Estática e RIP2). O OSPF roda na GVT, Brasil Telecom e se nao me engano na Telemar, e é exelente para determinados casos tbm, mas é preciso saber estruturá-lo. Trabalhar em ranges para diminuir tráfego e tabela de roteamento. No RIP2 é interessante trabalhar com distribute-list pra limitar uma range especifica e diminuir a tabela de roteamento tbm.
Velho, não sei como te ajudar sem conhecer a sua rede. A Sabesp tem uma puta infraestrutura, com uma centena de filiais interligadas e atualmente trabalha com OSPF, dividida por ranges.
Se sua rede está tão vulnerável a ataques é aconselhável um firewall. Se estão sobrecarreganado sua rede, tem algo de errado na montagem e implementação da sua rede. Ou em último caso, o seu router tá pedindo aposentadoria por invalidez.
Tem quem opte pela redundancia, trabalhar com dois routers e dois links. Para alguns isso se torna inviável, para outros uma solução de estabilidade. Vírus derruba muitas redes, derruba firewall, routers, etc. É sempre bom ver se o ataque é externo mesmo, muitas vezes são virus que estão na rede, causados por usuários da SUA REDE mesmo, outras vezes são ataques externos de negação de serviço, ou exploits. Sinceramente, o PIX barra ataques de DoS/DDoS, além de ser um puta firewall. Reveja a sua rede, estude cada ponto, tente descobrir de onde surgem os maiores ataques. A idéia é pegar o caso e estudar.
Obs. Se o seu problema é processamento do router, instale um firewall. Eu aconselho o PIX da Cisco, ele pega tudo que chega e analisa. Vc cria politicas e regras para tratar os pacotes que chegam até ele. Além de o PIX ser inteligente o bastante para diferenciar um ping de um DoS, descartando qualquer processamento do router. Dependendo de como estiver, identifica e bloqueia ações viróticas. Quanto a força do firewall pense assim: ele nao eh imbativel, mas foi criado pra isso. A força dele comparado com um filtrozinhu de router dá de 10 x 0.
Velho é isso, pra vc soh desejo boa sorte!
Abraços,
Renato Kenji.
iNetFuria S.A.