CoPP EcoRouter Documentation / CoPP
CoPP (Control-Plane Policing) - политика уровня управления.
Политика уровня управления служит для защиты от возможных атак на сетевое оборудование. Весь трафик, поступающий на уровень контроля с уровня коммутации, проходит через фильтрующие правила. CoPP ограничивает полосу пропускания для наиболее известных протоколов. Таким образом при атаке на сетевое оборудование количество пакетов, попадающих на уровень контроля, не будет превышать установленный порог полосы пропускания. Если по конкретному протоколу наблюдаются растущие потери, то можно предположить, что в сети существует аномальное количество трафика по этому протоколу.
Полосы пропускания CoPP, заданные по умолчанию для маршрутизатора EcoBNG, описаны в таблице ниже.
| Протокол | Количество пакетов в секунду |
|---|---|
Входящий ARP | 128 |
Вхoдящий BGP | 512 |
Вхoдящий DHCP-Discovery | 1024 |
Вхoдящий DHCP-Other | 1024 |
Вхoдящий ICMP | 1024 |
Вхoдящий IS-IS | 512 |
Вхoдящий LDP | 512 |
Вхoдящий Multicast-IGMP | 128 |
Вхoдящий Multicast-Other | 4096 |
Вхoдящий Multicast-PIM | 512 |
Вхoдящий non-IP | 256 |
Вхoдящий OSPF | 512 |
Вхoдящий Other | 8192 |
Вхoдящий SNMP | 128 |
Вхoдящий SSH | 512 |
Исходящий ICMP | 1024 |
Исходящий Other | 1024 |
В CLI EcoBNG пользователь может ограничить полосу пропускания трафика для протоколов, перечисленных в таблице, в CP маршрутизатора. Настройки защиты от DoS и DDoS атак доступны на интерфейсах и портах, а также и глобально на CP устройства. Переход в режим конфигурирования CP осуществляется по команде control-plane в конфигурационном режиме. Пользователь может одновременно настроить защиту в разных режимах (на разных элементах устройства). Команды ограничения полосы пропускания (количество пакетов в секунду) для различных протоколов представлены в таблице.
| Команда | Режимы | Описание |
|---|---|---|
rate-limit dhcp-discovery <0-262144> | (config-cp), (config-port), (config-port-channel), (config-int) | Общее ограничение полосы пропускания сообщений DHCP Discovery от всех клиентов |
rate-limit dhcp-other <0-4096> | (config-cp) | Общее ограничение входной полосы пропускания всех сообщений DHCP от всех клиентов |
rate-limit dhcp-discovery per-interface <0-262144>
| (config-int) | Общее ограничение полосы пропускания сообщений DHCP Discovery на интерфейсе от всех клиентов |
rate-limit dhcp-discovery per-subscriber <0-15> | (config-int) | Ограничение полосы пропускания сообщений DHCP Discovery от одного клиента |
rate-limit arp <0-524288> | (config-cp), (config-port), (config-port-channel), (config-int) | Общее ограничение полосы пропускания сообщений ARP Request от всех клиентов |
rate-limit arp per-interface <0-524288> | (config-int) | Общее ограничение полосы пропускания сообщений ARP Request на интерфейсе от всех клиентов |
rate-limit arp per-subscriber <0-524288> | (config-int) | Ограничение полосы пропускания сообщений ARP Request от одного клиента |
rate-limit bgp <0-4096> | (config-cp) | Общее ограничение входной полосы пропускания BGP трафика |
rate-limit icmp <0-2048> (in|out) | (config-cp) | Общее ограничение полосы пропускания для ICMP трафика в различных направлениях |
rate-limit isis <0-4096> | (config-cp) | Общее ограничение входной полосы пропускания IS-IS трафика |
rate-limit ldp <0-4096> | (config-cp) | Общее ограничение входной полосы пропускания LDP трафика |
rate-limit multicast-igmp <0-262144> | (config-cp) | Общее ограничение входной полосы пропускания IGMP трафика |
rate-limit multicast-other <0-262144> | (config-cp) | Общее ограничение входной полосы пропускания мультикастного трафика |
rate-limit multicast-pim <0-262144> | (config-cp) | Общее ограничение входной полосы пропускания PIM трафика |
rate-limit non-ip <0-4096> | (config-cp) | Общее ограничение входной полосы пропускания для любого не IP трафика от всех клиентов |
rate-limit ospf <0-4096> | (config-cp) | Общее ограничение входной полосы пропускания OSPF трафика |
rate-limit other <0-524288> (in|out) | (config-cp) | Общее ограничение полосы пропускания для юникастового трафика в различных направлениях |
rate-limit snmp <0-512> | (config-cp) | Общее ограничение входной полосы пропускания SNMP трафика |
rate-limit ssh <0-2048> | (config-cp) | Общее ограничение входной полосы пропускания SSH трафика |
В случае превышения rate-limit по ARP или DHCP с одного MAC-адреса, подозрительный трафик от абонента блокируется на 30 секунд.
Команды просмотра
Для просмотра текущего состояния счетчиков политики уровня управления необходимо в режиме администрирования выполнить команду show counters copp.
ecorouter#show counters copp
Received
---------------------------------------------------------------------------------------
rate limit packets bytes dropped
---------------------------------------------------------------------------------------
OSPF 512 182483 12718584 0
ISIS 512 0 0 0
LDP 512 42 2058 0
ARP 2048 2 92 0
IGMP 128 689758 31887634 0
PIM 512 45491 2638478 0
SNMP 128 45326 3550662 0
SSH 4096 213469 46415291 849
ICMP 1024 25399 5731432 0
BGP 512 81 4046 0
DHCP 1024 3399 1165613 0
DHCP DISC 1024 322 110891 0
MCAST 4096 3693916 946661169 0
L2 256 109178 5022188 0
Other 8192 705552 36033915 0
Transmitted
---------------------------------------------------------------------------------------
rate limit packets bytes dropped
---------------------------------------------------------------------------------------
ICMP 1024 34622545 1938862520 29433
Other 8192 2864904 125315112 0
В данном выводе отображено количество входящих/исходящих пакетов, входящих/исходящих байтов, а также количество сброшенных пакетов (из-за превышения порога полосы пропускания).
Для очистки текущих значений счетчиков необходимо выполнить команду clear counters copp в режиме конфигурирования.
ecorouter(config)#clear counters copp