局域网安全13 控制平面的监管
控制平面监管(Control Plane Policing,CoPP):对流向控制平面的流量进行检测,控制准入什么流量及流量大小,也能控制外出方向的信息
1、控制平面的服务
1)二层处理
· STP
· PVST
· LACP
· PAgP
· 802.1X
· CDP
· DTP
· UDLD
· VTP
· keepalive包
2)IGMP
3)ICMP
· ping
· 不可达
· 重定向
· 超时
4)三层处理
· 路由选择
· 路由更新
· IP可选项
· TTL=1的数据包
5)管理流量
管理平面的数据包流经控制平面
2、保护控制平面
1)基于硬件的CoPP
(1)利用底层ASIC特性,流量丢弃或限速
(2)灵活性弱,只能处理已设计的流量类型
2)基于软件的CoPP
(1)使用CPU进行丢弃或限速
(2)控制所有类型的流量,但要使用CPU资源
3)同时使用
先硬件控制,再软件控制
3、实施基于硬件的CoPP
1)在Catalyst6500配置
(1)硬件速率限速器
用于无法使用ACL的场合实施流量控制。如:IP选项、TTL、MTU等
Switch(config)#mls rate-limit all ttl-failure 10 //限制TTL
(2)基于硬件的CoPP
Switch(config)#mls qos //启用mls qos,中央策略特性卡及分布式转发线卡启用硬件CoPP,默认使用以软件方式
2)在cisco ME3400配置
(1)UNI(user-network-interface)端口:网络协议流量、目标为交换机MAC的流量、其他控制流量被限制或丢弃
(2)NNI(network node interface)端口:无限制
(3)默认上行链路为NNI,其他端口为UNI
Switch#show platform policer cpu interface f0/1
Switch#show policer cpu unicast rate
Switch(config)#policer cpu unicast 8000
4、实施基于软件的CoPP
1)使用模块化QoS CLI(MQC)定义CoPP策略
Switch(config)#control-plane
Switch(config-cp)#service-policy input mypolicy
2)配置
(1)流量等级
· 关键流量:critical,路由协议
· 重要流量:important,网管流量,telnet、snmp
· 正常流量:normal,预期但非必须的网络操作流量,ttl超时
· 不必要流量:undesirable,恶意流量
· 默认流量:default,未分类,应实行限速
(2)配置:
access-list 120 remark CoPP for critical
access-list 120 permit tcp host 12.1.1.1 host 12.1.1.2 eq bgp
access-list 120 permit tcp host 12.1.1.1 eq bgp host 12.1.1.2
class-map match-all mymap
match access-group 120
policy-map mypolicy
class mymap
police 64000 8000 exceed-action drop
control-plane
service-policy input mypolicy
Switch#show policy-map control-plane
5、使用CoPP遏制攻击
1)默认CoPP禁用
2)配置CoPP
(1)启用mls qos
Switch(config)#mls qos
(2)MQC进行配置
(3)查看
Switch#show processes cpu
CPU utilization for five seconds: 5%/0%; one minute: 5%; five minutes: 5%
Switch#show mls statistics
Switch#show int f0/24
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec