Как улучшить безопасность и уменьшить загруженность процессора маршрутизатора Cisco с помощью функции CoPP

Как улучшить безопасность и уменьшить загруженность процессора маршрутизатора Cisco с помощью функции CoPP

Рассмотрим, как настроить ограничение интенсивности трафика, который приводит к перегруженности центрального процессора (CPU) маршрутизатора Cisco, с помощью функции CoPP (Control Plane Policing).

Содержание:

  1. Топология
  2. Сценарий
  3. Задачи
    1. Исходные настройки маршрутизаторов R1 и R2
  4. Выводы

Топология

Исследуемая топология состоит из двух маршрутизаторов Cisco 2911 с ПО Cisco IOS версии 15. Допускается использование других маршрутизаторов и версий Cisco IOS.

Схема топологии следующая:


Сценарий

На маршрутизаторах (или многоуровневых коммутаторах) можно использовать списки доступа или брандмауэры (Context Based Access Control, CBAC или Zone Based Firewall), чтобы разрешать/запрещать пакеты, которые проходят через маршрутизатор или к нему.

Мы также можем использовать полисинг (QoS Traffic Policing) для ограничения скорости трафика, который проходит через маршрутизатор.

Что, если нужно контролировать трафик, предназначенный для маршрутизатора (служебный трафик или трафик управления)? Существует несколько протоколов, генерирующих пакеты, которые маршрутизатор должен обрабатывать:

  • Протоколы маршрутизации, такие как OSPF, EIGRP или BGP.
  • Протоколы резервирования шлюза, такие как HSRP, VRRP или GLBP.
  • Протоколы управления сетью, такие как Telnet, SSH, SNMP или RADIUS.
  • Пакеты, которые CEF не может пересылать.

Процессор проверяет пакеты, которые эти протоколы генерируют в плоскости контроля (control plane). Когда процессор получает слишком много пакетов, возможно, он не справляется и отбрасывает пакеты.

Если это случится, то может произойти сбой соседских отношений или задержки при попытке подключиться к маршрутизатору с помощью Telnet/SSH.

Чтобы этого не произошло, есть несколько вариантов:

  •  rACL (Receive Access Control List). Это стандартные или расширенные списки контроля доступа, которые управляют трафиком, отправляемым линейными платами процессору маршрутизации. Эта функция доступна только на высокопроизводительных маршрутизаторах, таких как Cisco серии 12000.
  • CoPP (Control Plane Policing). Позволяет использовать политики Modular QoS CLI (Modular Quality of Service), чтобы разрешить / запретить или ограничить скорость трафика, который идет к маршрутному процессору.

CPPr (Control Plane Protection). Это расширение CoPP. Единственное, что делает данный механизм — это разделение процессора маршрутов на три подынтерфейса:

  • узел (host);
  • транзит (transite);
  • CEF исключение (CEF exception).

Задачи

  1. R1 и R2 используют протоколы EIGRP и HSRP.
  2. R1 настроен для удаленного управления с помощью Telnet.
  3. Узел генерирует трафик ICMP (ping) и Telnet для проверки CoPP на R1.

Исходные настройки маршрутизаторов R1 и R2

 

 

Функция полисинга в плоскости контроля использует MQC, поэтому будем использовать class-map и policy-map. В данном случае в class-map лучше всего сопоставить трафик с помощью:

  • стандартных или расширенных списков контроля доступа;
  • значений приоритета DSCP или IP.

Классификация с помощью функции распознавания сетевых приложений NBAR (Network Based Application Recognition) поддерживается не на всех платформах и/или версиях IOS.

Поэтому создадим несколько списков доступа, которые будут фильтровать трафик, предназначенных плоскости контроля:

 

Создадим соответствующие class-map:

 

Теперь создадим policy-map:

 

В policy-map добавим ограничитель скорости для 8000 бит/с. Оба действия по согласованию и превышению настроены на передачу (transmit). Эти ограничители никогда ничего не сбросят по важной причине.

Когда CoPP настраивается в первый раз, неизвестно, сколько пакетов будет получено для каждого протокола. Есть риск, что будет отброшен разрешенный трафик. Лучше все разрешить. Как будет получена информация, сколько пакетов превышает согласованный всплеск (burst size), нужно изменить значения и установить действие при превышении на отбрасывание (drop).

Теперь нужно прикрепить настроенный policy-map к плоскости контроля. Делаем это с помощью следующей команды:

 

Настало время проверить работу настроенного CoPP:

 

В производственной сети возможно потребуется запустить проверку CoPP в течение нескольких дней, чтобы увидеть, какая часть трафика находится в пределах граничного значения скорости или превышает это значение.

В CoPP также есть класс трафика по умолчанию class-default class-map. Сюда входят все протоколы второго уровня. Единственный протокол второго уровня, который можно добавить в другой class-map — это ARP. Все остальное относится к классу по умолчанию.

Давайте изменим действие превышения для ICMP-трафика:

 

Согласованная скорость составляет всего 8000 бит/с, поэтому даже некоторые простые пинги будут ограничены по скорости. Давайте сгенерируем трафик с узла:

 

Теперь посмотрим статистику:

 

Выше видно, что три пакета превысили граничное значение и были отброшены. Теперь очевидно все необходимое для создания более точных policy-map.

Выводы

В данной статье было рассмотрено, как использовать CoPP (Control Plane Policing) для ограничения скорости пакетов процессора маршрутов на плоскости контроля.

Для классификации используйте:

  • стандартные или расширенные списки доступа;
  • значения приоритета DSCP или IP;
  • не используйте NBAR, кроме как для сопоставления пакетов ARP.

Лучше всего настроить действие согласования (conform-action) и действие при превышении (exceed-action) на передачу (transmit), чтобы не терять нормальный трафик. Как только будет известно, сколько пакетов превышает границу, можно изменить значения границ и действие при превышении на отбрасывание (drop).

Спасибо за уделенное время на прочтение статьи. Теперь вы больше знаете о том, как настроить ограничение интенсивности трафика, который приводит к перегруженности центрального процессора (CPU) маршрутизатора с Cisco IOS с помощью функции CoPP!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.
Что Вы получите?
  • Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
  • Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проведем вечерние онлайн-лекции на нашей платформе.
  • Согласуем с вами удобное время для практик.
  • Если хотите индивидуальный график — обсудим и реализуем.
  • Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
  • Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
А еще поможем Вам:
  • отредактировать или создать с нуля резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.

Больше похожих постов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения


Поиск по сайту
Лучшее
Популярное
Рубрики
Меню