Control Plane Policing (CoPP)思科控制面板策略

Control Plane Policing (CoPP)被称为控制面板策略，控制面板策略这个特性让用户通过配置QOS过滤来管理控制面板中的数据包，从而保护路由器和交换机免受DOS的攻击，控制面板可以无论在流量多大的情况下都能管理数据包交换和协议的状态情况。在控制面板中，只能通过MQC配置常规的QOS，并且out方向的QOS并不是所有IOS都支持，请自行检查，其中配置的QOS策略中，只有drop和policy两个动作可以使用。而且NBAR功能也不能很好的支持。当在控制面板中配置QOS后，不用在接口下应用该策略，因为控制面板下的策略对所有接口生效。

一、Drop策略

1.测试R2到 
　　R1的数据流量 
　　r2#ping 12.1.1.1 
　　Type escape sequence to abort. 
　　Sending 5, 100-byte ICMP Echos to 12.1.1.1, timeout is 2 seconds: 
　　!!!!! 
　　Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms 
　　r2# 
　　说明：R1在没有使用任何QOS的情况下，通信正常 
2.配置QOS 
　　说明：这里配置QOS丢弃所有的包，以作测试用。 
　　（1）配置匹配源自R2的数据 
　　r1(config)#access-list 2 permit 12.1.1.2 
　　r1(config)#class-map r2 
　　r1(config-cmap)#match access-group 2 
　　r1(config-cmap)#exit 
　　（2）配置丢弃源自R2的数据 
　　r1(config)#policy-map copp 
　　r1(config-pmap)#class r2 
　　r1(config-pmap-c)#drop 
3.将QOS应用于COPP 
　　r1(config)#control-plane 
　　r1(config-cp)#service-policy input copp 
4.测试到R1的通信 
　　r2#ping 12.1.1.1 
　　Type escape sequence to abort. 
　　Sending 5, 100-byte ICMP Echos to 12.1.1.1, timeout is 2 seconds: 
　　..... 
　　Success rate is 0 percent (0/5) 
　　r2# 
说明：可以看到，并没有将所配置的QOS用于接口，只用在了控制面板下，所有接口都执行控制面板下的QOS策略，从而数据包被丢弃了，网络不通。

 

二、Policy策略

思科路由器的控制引擎是整个设备的大脑，负责处理所有控制层面的信息。而网络黑客有可能伪装成特定类型的需要控制层面处理的数据包直接对路由设备进行攻击，因为路由器的控制引擎处理能力是有限，即使是最强大硬件架构也难以处理大量的恶意DDoS攻击流量，所以需要部署适当的反制措施，对设备控制引擎提供保护。
除rACL外，控制层面监管(CoPP)是另一种有效的保护手段，相比于rACL技术的只能对数据做通过或丢弃的简单处理，CoPP可以识别特定类型的流量并对其进行完全或一定程度的限制。在路由器上提供了可编程的监管功能，以限制目的地为控制层面处理器的流量的速度。

CoPP 和DCoPP的机制，在于可以通过对骨干路由器的控制平面访问能力的限制，使骨干路由器在遭受异常流量的攻击时，可以保证控制平面的安全性。 DCoPP机制是对CoPP机制的进一步扩展。

CRS-1平台上LPTS技术同CoPP技术的原理基本是一致的，不需要人工配置。
对于GSR或7600系列路由器则需要配置CoPP，部署CoPP需要对不同的业务流量配置限速，因此需要先做流量模型采集。

简单例子：
1、定义流量类型
!允许BGP：
access-list 100 permit tcp any any eq bgp
access-list 100 permit tcp any eq bgp any established
!允许网管的流量:
access-list 101 permit tcp x.x.0.0 0.0.31.255 219.158.0.0 0.0.31.255 eq telnet
!允许DNS:
access-list 101 permit udp host X.X.X.X eq domain X.X.0.0 0.0.31.255
!允许NTP：
access-list 101 permit udp X.X.X.0 0.0.0.63 X.X.0.0 0.0.31.255 eq ntp
!允许ICMP
access-list 101 permit icmp X.X.X.0 0.0.0.255 X.X.0.0 0.0.31.255
!允许ICMP
access-list 102 permit icmp any any ttl-exceeded
access-list 102 permit icmp any any port-unreachable
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any packet-too-big
!允许所有
access-list 103 permit ip any any
2、按流量类型分类
!
class-map match-all copp-routing
   match access-group 100
!
class-map match-all copp-management
   match access-group 101
!
class-map match-all copp-normal
   match access-group 102
   match protocol arp
!
class-map match-all copp-remaining_IP
   match access-group 103
3、定义策略，名命为D-copp
policy-map D-copp
class copp-routing
   police 100000000 5000 5000 conform transmit exceed transmit
class copp-management
   police 100000000 5000 5000 conform transmit exceed transmit
class copp-normal
   police 8000 1500 1500 conform transmit exceed transmit
class copp-remaining_ip
   police 8000 1500 1500 conform transmit exceed transmit
class class-default
   police 8000 1500 1500 conform transmit exceed transmit
4、在控制平面应用策略D-copp
control-plane slot x
service-policy input D-copp