控制层面监管(CoPP)

路由器的控制引擎是整个设备的大脑,负责处理所有控制层面的信息。而网络***有可能伪装成特定类型的需要控制层面处理的数据包直接对路由设备进行***,因为路由器的控制引擎处理能力是有限,即使是最强大硬件架构也难以处理大量的恶意DDoS***流量,所以需要部署适当的反制措施,对设备控制引擎提供保护。
除rACL外,控制层面监管(CoPP)是另一种有效的保护手段,相比于rACL技术的只能对数据做通过或丢弃的简单处理,CoPP可以识别特定类型的流量并对其进行完全或一定程度的限制。在路由器上提供了可编程的监管功能,以限制目的地为控制层面处理器的流量的速度。
 
CoPP 和DCoPP的机制,在于可以通过对骨干路由器的控制平面访问能力的限制,使骨干路由器在遭受异常流量的***时,可以保证控制平面的安全性。   DCoPP机制是对CoPP机制的进一步扩展。
 
CRS-1平台上LPTS技术同CoPP技术的原理基本是一致的,不需要人工配置。

对于GSR或7600系列路由器则需要配置CoPP,部署CoPP需要对不同的业务流量配置限速,因此需要先做流量模型采集。
 
参考《Deploying Control Plane Policing》白皮书:
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.html
及配置guide:
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html
 
简单例子:
1、定义流量类型
!允许BGP:
access-list 100 permit tcp any any eq bgp
access-list 100 permit tcp any eq bgp any established
!允许网管的流量:
access-list 101 permit tcp x.x.0.0 0.0.31.255 219.158.0.0 0.0.31.255 eq telnet
!允许DNS:
access-list 101 permit udp host X.X.X.X eq domain X.X.0.0 0.0.31.255
!允许NTP:
access-list 101 permit udp X.X.X.0 0.0.0.63 X.X.0.0 0.0.31.255 eq ntp
!允许ICMP
access-list 101 permit icmp X.X.X.0 0.0.0.255 X.X.0.0 0.0.31.255
!允许ICMP
access-list 102 permit icmp any any ttl-exceeded
access-list 102 permit icmp any any port-unreachable
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any packet-too-big
!允许所有
access-list 103 permit ip any any
2、按流量类型分类
!
class-map match-all copp-routing
  match access-group 100
!
class-map match-all copp-management
  match access-group 101
!
class-map match-all copp-normal
  match access-group 102
  match protocol arp
!
class-map match-all copp-remaining_IP
  match access-group 103
3、定义策略,名命为D-copp
policy-map D-copp
 class copp-routing
  police 100000000 5000 5000 conform transmit exceed transmit
 class copp-management
  police 100000000 5000 5000 conform transmit exceed transmit
 class copp-normal
  police 8000 1500 1500 conform transmit exceed transmit
 class copp-remaining_ip
  police 8000 1500 1500 conform transmit exceed transmit
 class class-default
  police 8000 1500 1500 conform transmit exceed transmit
4、在控制平面应用策略D-copp
control-plane slot x
 service-policy input D-copp

 

转载于:https://blog.51cto.com/linweijie/1030806

Published by

风君子

独自遨游何稽首 揭天掀地慰生平