Control Plane Policing(CoPP)

Control Plane Policing ve Örnek Konfigurasyon

Ağ cihazlarına giren trafiğin büyük bir bölümü cihazların kendileri dışında bir hedefe sahiptirler. Bir başka deyişle gelen trafiğin hedefe ulaşmasında görev alırlar, asıl hedef bu cihazlar değillerdir. Bu trafik data plane traffic olarak adlandırılır. Diğer yandan routing updateleri, yönetim trafiği, keepalive trafiği control and management plane traffic olarak adlandırılır. Basit bir UDP flood(UDP atağı) ile router ya da switchin uzaktan yönetimini devre dışı bırakılabilir. Bunun yanında CPU %100 kapasiteye ulaşacağından cihazların bazı fonksiyonları işlevini yitirebilir. Routerlara ve switchlere yönelik control plane ataklarına karşı Control Plane Policing çözüm olarak kullanılabilir. CoPP ile Control plane configuration mode’da policy map uygulanarak control plane paketleri için filtreleme ve bant genişliği limitlemesi yapılabilir. Aşağıda control plane’e uygulanmak üzere hazırlanmış bir policy örneği verilmiştir.

1) Öncelikle yönetim uzayı gibi limitleme dışında kalacak uzayları belirtelim.

Router#conf t
Router(config)#ip access-list extended CoPP
Router(config-ext-nacl)#deny ip 192.168.101.0 0.0.0.255 any
Router(config-ext-nacl)#deny ip 192.168.201.0 0.0.0.255 any
Router(config-ext-nacl)#deny ip 192.168.236.0 0.0.0.31 any
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit

2) Daha sonra policy-map’te kullanacağımız class’ta 1. adımdaki ACL’yi tanımlayalım.

Router(config)#class-map match-all CoPP
Router(config-cmap)#match access-group name CoPP
Router(config-cmap)#exit

3) Control Plane’e uygulayacağımız policy-map’i tanımlayalım.

! class’ta match eden deny acl satırları dışında 256 kbps toplam control-plane’e trafik girebilir.

Router(config)#policy-map CoPP
Router(config-pmap)#class CoPP
Router(config-pmap-c)#police cir 256000 bc 8000 be 8000 conform-action transmit exceed-action drop violate-action drop
Router(config-pmap-c)#exit
Router(config-pmap)#exit

4) Tanımlanan policy-map’i control-plane configuration mode’da uygulayalım. “control-plane slot slot_numarası” komutu ile ilgili control-plane moduna girerek sadece ilgili modülden gelen trafiğin limitlenmesi de sağlanabilir.

! control-plane configuration mode’a girilir.

Router(config) #control-plane

! istenilen policy sadece input yönünde uygulanabilir.

Router(config-cp)#service-policy input CoPP

Sınmaz KETENCİ

Yazının PDF formatına erişmek için tıklayınız.

“Control Plane Policing(CoPP)” için 5 cevap

  1. hocam
    control-plane altında

    config-cp# service-plicy output CoPP
    komutunu girdiğimde kabbul etti yani output yönünde de uygulanabiliyor ama siz sadece in yönünde uygulanır demişssiniz. ?

    1. Control-plane policing’in asıl amacı cihazları kendilerine gelecek zararlı trafiğe karşı korumaktır, bu nedenle input yönünde policy uygulanarak bant genişliğinin sınırlandırılmasına gidilir. Output yönünde uygulanmasında ise gelen trafiğe karşılık gönderilecek cevapların sınırlandırılması yerine güvenilen kaynaklar dışındakilere gönderilecek cevapların engellenmesi uygun olacaktır.
      12.2(25)S ve sonrasındaki Cisco IOS 12.2S dağıtımları ile 12.3(4)T ve sonrasındaki Cisco IOS 12.3T dağıtımları dışındaki IOS versiyonuna sahip cihazlar sadece input yönünde control-plane policing uygulanmasına izin vermektedirler. Ayrıca karşılaştığım 2. katman switchlerde de output yönünde uygulanmasına izin verilmediğini gördüm.

      Detaylı bilgi için http://www9.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html#wp1082901 adresindeki döküman incelenebilir.

  2. Yararlı bilgiler için teşekkür ederim.Sitede gerçekten insanlara faydalı bilgiler sunuyor.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir