控制层面监管(CoPP)

实验目的：

网络黑客有可能伪装成特定类型的需要控制层面处理的数据包直接对路由设备进行攻击，因为路由器的控制引擎处理能力是有限，即使是最强大硬件架构也难以处理大量的恶意DDoS攻击流量，所以需要部署适当的反制措施，对设备控制引擎提供保护。

通过部署CoPP可以识别特定类型的流量并对其进行完全或一定程度的限制。

实验拓扑：

 

实验配置说明：

通过在R2应用COPP,限制R1对3.3.3.0/24网段的访问速率，达到缓解DOS攻击，放过对2.2.2.0/24网段的访问。

R2:

interface Loopback0
 ip address 2.2.2.2 255.255.255.0
!
interface Loopback1
 ip address 3.3.3.3 255.255.255.0
!
interface FastEthernet0/0
 ip address 192.168.12.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.12.1
!
access-list 100 deny   icmp any 2.2.2.0 0.0.0.255
access-list 100 permit icmp any any
class-map match-all icmp-class
 match access-group 100
!
policy-map icmp-contrl-in
 class icmp-class
   police 8000 conform-action transmit  exceed-action drop
!
control-plane
 service-policy input icmp-contrl-in

-------------------------------------------------------------------------------

R1:

interface FastEthernet0/0
 ip address 192.168.12.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.168.12.2

---------------------------------------------------------------------------------

验证：

 

效果：

 

因为R1到目标网络3.3.3.0/24的流量被管制为8000bit每秒，所以当数据包每个以800字节通过时，流量超出额定带宽，从而出现了超额流量被均衡地丢弃。
因为并没有对R1到目标网络2.2.2.0/24的流量进行管制，所以当数据包每个以800字节通过时，一切正常，并且速度正常