实验目的:
网络***有可能伪装成特定类型的需要控制层面处理的数据包直接对路由设备进行***,因为路由器的控制引擎处理能力是有限,即使是最强大硬件架构也难以处理大量的恶意DDoS***流量,所以需要部署适当的反制措施,对设备控制引擎提供保护。
通过部署CoPP可以识别特定类型的流量并对其进行完全或一定程度的限制。
实验拓扑:
实验配置说明:
通过在R2应用COPP,限制R1对3.3.3.0/24网段的访问速率,达到缓解DOS***,放过对2.2.2.0/24网段的访问。
R2:
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface Loopback1
ip address 3.3.3.3 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.12.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.12.1
!
access-list 100 deny icmp any 2.2.2.0 0.0.0.255
access-list 100 permit icmp any any
class-map match-all icmp-class
match access-group 100
!
policy-map icmp-contrl-in
class icmp-class
police 8000 conform-action transmit exceed-action drop
!
control-plane
service-policy input icmp-contrl-in
-------------------------------------------------------------------------------
R1:
interface FastEthernet0/0
ip address 192.168.12.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.12.2
---------------------------------------------------------------------------------
验证:
效果:
因为R1到目标网络3.3.3.0/24的流量被管制为8000bit每秒,所以当数据包每个以800字节通过时,流量超出额定带宽,从而出现了超额流量被均衡地丢弃。
因为并没有对R1到目标网络2.2.2.0/24的流量进行管制,所以当数据包每个以800字节通过时,一切正常,并且速度正常