免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 网络技术 网络技术文档中心 部署Control Plane Policing(CoPP)
最近访问板块 发新帖
查看: 1689 | 回复: 0
打印 上一主题 下一主题

部署Control Plane Policing(CoPP) [复制链接]

joiner

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2008-06-23 02:32 |只看该作者 |倒序浏览
路由器的控制引擎是整个设备的大脑,负责处理所有控制层面的信息。而网络黑客有可能伪装成特定类型的需要控制层面处理的数据包直接对路由设备进行攻击,因为路由器的控制引擎处理能力是有限,即使是最强大硬件架构也难以处理大量的恶意DDoS攻击流量,所以需要部署适当的反制措施,对设备控制引擎提供保护。
除rACL外,控制层面监管(CoPP)是另一种有效的保护手段,相比于rACL技术的只能对数据做通过或丢弃的简单处理,CoPP可以识别特定类型的流量并对其进行完全或一定程度的限制。在路由器上提供了可编程的监管功能,以限制目的地为控制层面处理器的流量的速度。

CoPP 和DCoPP的机制,在于可以通过对骨干路由器的控制平面访问能力的限制,使骨干路由器在遭受异常流量的攻击时,可以保证控制平面的安全性。   DCoPP机制是对CoPP机制的进一步扩展。

CRS-1平台上LPTS技术同CoPP技术的原理基本是一致的,不需要人工配置。
对于GSR或7600系列路由器则需要配置CoPP,部署CoPP需要对不同的业务流量配置限速,因此需要先做流量模型采集。

参考《Deploying Control Plane Policing》白皮书:
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.html
及配置guide:
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html

简单例子:
1、定义流量类型
!允许BGP:
access-list 100 permit tcp any any eq bgp
access-list 100 permit tcp any eq bgp any established
!允许网管的流量:
access-list 101 permit tcp x.x.0.0 0.0.31.255 219.158.0.0 0.0.31.255 eq telnet
!允许DNS:
access-list 101 permit udp host X.X.X.X eq domain X.X.0.0 0.0.31.255
!允许NTP:
access-list 101 permit udp X.X.X.0 0.0.0.63 X.X.0.0 0.0.31.255 eq ntp
!允许ICMP
access-list 101 permit icmp X.X.X.0 0.0.0.255 X.X.0.0 0.0.31.255
!允许ICMP
access-list 102 permit icmp any any ttl-exceeded
access-list 102 permit icmp any any port-unreachable
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any packet-too-big
!允许所有
access-list 103 permit ip any any
2、按流量类型分类
!
class-map match-all copp-routing
  match access-group 100
!
class-map match-all copp-management
  match access-group 101
!
class-map match-all copp-normal
  match access-group 102
  match protocol arp
!
class-map match-all copp-remaining_IP
  match access-group 103
3、定义策略,名命为D-copp
policy-map D-copp
class copp-routing
  police 100000000 5000 5000 conform transmit exceed transmit
class copp-management
  police 100000000 5000 5000 conform transmit exceed transmit
class copp-normal
  police 8000 1500 1500 conform transmit exceed transmit
class copp-remaining_ip
  police 8000 1500 1500 conform transmit exceed transmit
class class-default
  police 8000 1500 1500 conform transmit exceed transmit
4、在控制平面应用策略D-copp
control-plane slot x
service-policy input D-copp


本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/5101/showart_1008613.html
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP