部署Control Plane Policing(CoPP)

最新推荐文章于 2022-08-27 22:25:22 发布
最新推荐文章于 2022-08-27 22:25:22 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: Cisco文档 文章标签: 路由器 引擎 tcp domain input 编程
路由器的控制引擎是整个设备的大脑,负责处理所有控制层面的信息。而网络黑客有可能伪装成特定类型的需要控制层面处理的数据包直接对路由设备进行攻击,因为路由器的控制引擎处理能力是有限,即使是最强大硬件架构也难以处理大量的恶意DDoS攻击流量,所以需要部署适当的反制措施,对设备控制引擎提供保护。
除rACL外,控制层面监管(CoPP)是另一种有效的保护手段,相比于rACL技术的只能对数据做通过或丢弃的简单处理,CoPP可以识别特定类型的流量并对其进行完全或一定程度的限制。在路由器上提供了可编程的监管功能,以限制目的地为控制层面处理器的流量的速度。
 
CoPP 和DCoPP的机制,在于可以通过对骨干路由器的控制平面访问能力的限制,使骨干路由器在遭受异常流量的攻击时,可以保证控制平面的安全性。   DCoPP机制是对CoPP机制的进一步扩展。
 
CRS-1平台上LPTS技术同CoPP技术的原理基本是一致的,不需要人工配置。
对于GSR或7600系列路由器则需要配置CoPP,部署CoPP需要对不同的业务流量配置限速,因此需要先做流量模型采集。
 
 
简单例子:
1、定义流量类型
!允许BGP:
access-list 100 permit tcp any any eq bgp
access-list 100 permit tcp any eq bgp any established
!允许网管的流量:
access-list 101 permit tcp x.x.0.0 0.0.31.255 219.158.0.0 0.0.31.255 eq telnet
!允许DNS:
access-list 101 permit udp host X.X.X.X eq domain X.X.0.0 0.0.31.255
!允许NTP:
access-list 101 permit udp X.X.X.0 0.0.0.63 X.X.0.0 0.0.31.255 eq ntp
!允许ICMP
access-list 101 permit icmp X.X.X.0 0.0.0.255 X.X.0.0 0.0.31.255
!允许ICMP
access-list 102 permit icmp any any ttl-exceeded
access-list 102 permit icmp any any port-unreachable
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any packet-too-big
!允许所有
access-list 103 permit ip any any
2、按流量类型分类
!
class-map match-all copp-routing
  match access-group 100
!
class-map match-all copp-management
  match access-group 101
!
class-map match-all copp-normal
  match access-group 102
  match protocol arp
!
class-map match-all copp-remaining_IP
  match access-group 103
3、定义策略,名命为D-copp
policy-map D-copp
 class copp-routing
  police 100000000 5000 5000 conform transmit exceed transmit
 class copp-management
  police 100000000 5000 5000 conform transmit exceed transmit
 class copp-normal
  police 8000 1500 1500 conform transmit exceed transmit
 class copp-remaining_ip
  police 8000 1500 1500 conform transmit exceed transmit
 class class-default
  police 8000 1500 1500 conform transmit exceed transmit
4、在控制平面应用策略D-copp
control-plane slot x
 service-policy input D-copp
achejq
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Deploying Control Plane Policing
weixin_34295316的博客
07-03 93
Deploying Control Plane Policing http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.html  
Control Plane Policing (CoPP)思科控制面板策略学习
qq_37200978的博客
12-10 1034
Control Plane Policing (CoPP)被称为控制面板策略,控制面板策略这个特性让用户通过配置 QOS过滤来管理控制面板中的数据包,从而保护 路由器和 交换机免受DOS的攻击,控制面板可以无论在流量多大的情况下都能管理数据包交换和协议的状态情况。说明:可以看到,并没有将所配置的QOS用于接口,只用在了控制面板下,所有接口都执行控制面板下的QOS策略,从而数据包被丢弃了,网络不通。说明:R1在没有使用任何QOS的情况下,通信正常。说明:这里配置QOS丢弃所有的包,以作测试用。
CPU保护机制 —— COPP技术 (案列+配置) |||| SDN——转控分离
qq_62311779的博客
08-27 2476
一、一机双平面(转控分离): (1) SDN——详细: 二、copp技术简介: (1)DDOS攻击(分布式拒绝服务攻击): (2)DOS攻击(拒绝服务式攻击): 三、相关配置: (1)控制层端口: (2)基于传输层端口进行过滤(去往CPU的传输层流量执行过滤) (3)利用ACL 四、实验案例:......
SDN——转控分离、CPU保护机制——COPP技术案列详解及配置命令、
qq_62311779的博客
02-05 2957
一机双平面(转控分离): SDN——详细: (33条消息) SDN介绍(什么是SDN)_Atlan_blog-CSDN博客_sdn (33条消息) SDN基本概述_曹世宏的博客-CSDN博客_sdn ----------------------------------------------------------------------------------------------------------------------------------------------------..
Hexagon SDK部分模块架构分析
awangqm的博客
11-26 3797
Hexagon sdk部分模块架构分析     Hexagon SDK能够帮助用户定制和扩展对aDSP的使用。本文具体讲解SDK中比较有代表的性的模块的架构,以便我们更好的学习、研究和使用。 Audio     音频框架提供了和音频硬件交互的端口。音频框架主要有三部分组成:encoders/decoders,pre/post processing topologies和 mixe
【Qualcomm高通音频】调试工具QACT_如何更换音效的音频拓扑
crow_ch的博客
01-12 3710
一、 什么是音频拓扑 首先通过QACT软件以离线调试的方式打开任意一组音效,比如最常用的喇叭的音效。 通过左上角菜单栏,选择Tools -----> Device Designer,并找到SPKR_PHONE_SPKR_MONO音效,如下图所示。 如果想要调整拓扑只需修改上述对应的位置即可。 这里修改为AUDIO_RX_MONO_COPP_MBDRC_V3后保存后,重新查...
jcos之Policing
12-21
JCOS之学习Policing.ppt,学习
Cloud Control with Distributed Rate Limiting
03-11
multiple sites, enabling the coordinated policing of a cloud-based service’s network traffic. Our abstraction not only enforces a global limit, but also ensures that congestion-responsive transport-...
linux traffic control
07-14
Linux流量控制(Traffic Control)是操作系统中用于管理网络接口上数据包传输和接收的一系列机制和操作。这些操作包括入队、策略限制、分类、调度、整形和丢弃。本HOWTO(手册)旨在为读者提供Linux下流量控制功能的...
Policing_Research_Network
02-14
在"Policing_Research_Network"中,这些功能可被用于在线调查、培训资源、现场案例分享等,提升用户参与度,促进警务实践与理论的互动。 4. 数据可视化:HTML结合CSS(层叠样式表)和JavaScript,可以实现数据的...
policing-detection:警务检测
05-14
我们开发了一种启发式方法来从服务器端跟踪中识别策略,并构建了一个管道,可将其大规模部署到来自全球Google CDN服务器的跟踪中。 使用为28,400个客户端AS服务的2700亿个数据包的数据集,我们发现,根据地区不同,...
Nexus CoPP导致的有规律的丢包
botui5031的博客
08-19 1017
刚刚登录到用户的环境中想测试一下网络连通性,在一台接入交换机上PING核心Nexus交换机上的一个地址,观察PING结果发现,PING1000个包,就会丢4个包,PING2000个包就丢8个包。兄弟,挺有规律的啊!我又换了核心上其它的地址测试,现象相同。但是在这台接入交换机上PING其它路由器的地址或是某台服务器的地址,就没有丢包的情况。看来问题出现在Nexus交换机上。群里的兄弟跟我说是Nexu...
思科交换机部署QoS和ACL的几个注意点
weixin_34324081的博客
03-09 193
QoS的注意点:1,C7609的二层接口只支持input方向的QoS,不支持ouput的QoS; 2,C3560E的任何接口包括L2/L3接口仅支持input方向的QoS,不支持ouput的QoS; 3,C2960的任何接口包括L2/L3接口仅支持input方向的QoS,不支持ouput的QoS;4,C2960的接口配置QoS后,使用show policy-map int...
Control Plane Policing (CoPP)思科控制面板策略
weixin_34367257的博客
08-18 1812
Control Plane Policing (CoPP)被称为控制面板策略,控制面板策略这个特性让用户通过配置QOS过滤来管理控制面板中的数据包,从而保护路由器和交换机免受DOS的***,控制面板可以无论在流量多大的情况下都能管理数据包交换和协议的状态情况。在控制面板中,只能通过MQC配置常规的QOS,并且out方向的QOS并不是所有IOS都支持,请自行检查,其中配置的QO...
qcom 音频相关的dsp driver笔记(基于msm8996平台)
热门推荐
whshiyun的专栏
08-09 1万+
qcom 音频相关的dsp driver笔记(基于msm8996平台) tags: linux sound msm8996 qcom 音频相关的dsp driver笔记(基于msm8996平台) 0 前言 1 关于acdb 1.1 从audio_calibration.c说起 1.2 关于acdb配置的注册 1.3 关于acdb配置过程 2 关于dsp driver 3 关于asm...
【Audio】蓝牙设备连接通过QACT显示copp问题
qq_38091632的博客
05-22 1728
前言 一位朋友遇到了设备通过蓝牙设备播放音乐时,QACT RTC模式下显示的COPP为0问题,正好一起学习下bt和dsp相关的知识点。 现象
Control Plane Policing
achejq的专栏
01-05 2627
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html Table Of Contents Control Plane Policing Contents Prerequisites for Control Plane Policing Restrictions for Cont
高通Audio缩写(不断更新中...)
Android系统攻城狮
10-12 5533
ASM:Audio Stream Manager 音频流管理 ADM:Audio Device Manager 音频设备管理 AFE:Audio Front End 音频前端 ABE:Audio Behind End 音频后端 DAI:Digital Audio Interface 数字音频接口 APR:Asynchronous Packet Rout...
comware v7支持COPP
最新发布
06-13
是的,Comware V7支持COPPControl Plane Policing),它可以对控制平面的流量进行限制和过滤,提高网络的安全性和鲁棒性。COPP是一种基于ACL和QoS技术的流量过滤机制,可以对控制平面的关键流量进行保护,防止因恶意攻击或运行错误导致的控制平面故障。在Comware V7中,可以通过配置ACL和QoS策略来实现COPP功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值