CoPP
CoPP (Control-Plane Policing) — политика уровня управления.
Политика уровня управления служит для защиты от возможных атак на сетевое оборудование. Весь трафик, поступающий на уровень контроля с уровня коммутации, проходит через фильтрующие правила. CoPP ограничивает полосу пропускания для наиболее известных протоколов. Таким образом при атаке на сетевое оборудование количество пакетов, попадающих на уровень контроля, не будет превышать установленный порог полосы пропускания. Если по конкретному протоколу наблюдаются растущие потери, то можно предположить, что в сети существует аномальное количество трафика по этому протоколу.
Таблица — Полосы пропускания CoPP, заданные по умолчанию
| Протокол | Количество пакетов в секунду |
|---|---|
| Входящий ARP | 128 |
| Вхoдящий BGP | 512 |
| Вхoдящий DHCP-Discovery | 1024 |
| Вхoдящий DHCP-Other | 1024 |
| Вхoдящий ICMP | 1024 |
| Вхoдящий IS-IS | 512 |
| Вхoдящий LDP | 512 |
| Вхoдящий Multicast-IGMP | 128 |
| Вхoдящий Multicast-Other | 4096 |
| Вхoдящий Multicast-PIM | 512 |
| Вхoдящий non-IP | 256 |
| Вхoдящий OSPF | 512 |
| Вхoдящий Other | 8192 |
| Вхoдящий SNMP | 128 |
| Вхoдящий SSH | 512 |
| Исходящий ICMP | 1024 |
| Исходящий Other | 1024 |
В CLI пользователь может ограничить полосу пропускания трафика для протоколов, перечисленных в таблице, в CP маршрутизатора. Настройки защиты от DoS и DDoS атак доступны на интерфейсах и портах, а также и глобально на CP устройства. Переход в режим конфигурирования CP осуществляется по команде control-plane в конфигурационном режиме. Пользователь может одновременно настроить защиту в разных режимах (на разных элементах устройства). Команды ограничения полосы пропускания (количество пакетов в секунду) для различных протоколов представлены в таблице.
Таблица — Команды ограничения полосы пропускания
| Команда | Режимы | Описание |
|---|---|---|
rate-limit dhcp-discovery <0-262144> | (config-cp), (config-port), (config-port-channel), (config-int) | Общее ограничение полосы пропускания сообщений DHCP Discovery от всех клиентов |
rate-limit dhcp-other <0-4096> | (config-cp) | Общее ограничение входной полосы пропускания всех сообщений DHCP от всех клиентов |
rate-limit dhcp-discovery per-interface <0-262144> | (config-int) | Общее ограничение полосы пропускания сообщений DHCP Discovery на интерфейсе от всех клиентов |
rate-limit dhcp-discovery per-subscriber <0-15> | (config-int) | Ограничение полосы пропускания сообщений DHCP Discovery от одного клиента |
rate-limit arp <0-524288> | (config-cp), (config-port), (config-port-channel), (config-int) | Общее ограничение полосы пропускания сообщений ARP Request от всех клиентов |
rate-limit arp per-interface <0-524288> | (config-int) | Общее ограничение полосы пропускания сообщений ARP Request на интерфейсе от всех клиентов |
rate-limit arp per-subscriber <0-524288> | (config-int) | Ограничение полосы пропускания сообщений ARP Request от одного клиента |
rate-limit bgp <0-4096> | (config-cp) | Общее ограничение входной полосы пропускания BGP трафика |
rate-limit icmp <0-2048> (in|out) | (config-cp) | Общее ограничение полосы пропускания для ICMP трафика в различных направлениях |
rate-limit isis <0-4096> | (config-cp) | Общее ограничение входной полосы пропускания IS-IS трафика |
rate-limit ldp <0-4096> | (config-cp) | Общее ограничение входной полосы пропускания LDP трафика |
rate-limit multicast-igmp <0-262144> | (config-cp) | Общее ограничение входной полосы пропускания IGMP трафика |
rate-limit multicast-other <0-262144> | (config-cp) | Общее ограничение входной полосы пропускания мультикастного трафика |
rate-limit multicast-pim <0-262144> | (config-cp) | Общее ограничение входной полосы пропускания PIM трафика |
rate-limit non-ip <0-4096> | (config-cp) | Общее ограничение входной полосы пропускания для любого не IP трафика от всех клиентов |
rate-limit ospf <0-4096> | (config-cp) | Общее ограничение входной полосы пропускания OSPF трафика |
rate-limit other <0-524288> (in│out) | (config-cp) | Общее ограничение полосы пропускания для юникастового трафика в различных направлениях |
rate-limit snmp <0-512> | (config-cp) | Общее ограничение входной полосы пропускания SNMP трафика |
rate-limit ssh <0-2048> | (config-cp) | Общее ограничение входной полосы пропускания SSH трафика |
В случае превышения rate-limit по ARP или DHCP с одного MAC-адреса, подозрительный трафик от абонента блокируется на 30 секунд.****