Aug 8, 2008

利用CoPP(Control Plane Policing)阻擋Telnet遠端管理

「山不轉路轉,路不轉心轉」,這句話最適用於CCIE Lab考試上,準備CCIE Lab考試最令人頭痛的莫過於了解同一個問題所有的解法(所謂「只知其一,不知其二」是準備CCIE Lab最忌諱的事情)。

如果今天要求你不能利用Access-Class來防堵遠端Telnet管理時,你會想到那些方法? 最直覺的就是直接在所有interface上設定inbound ACL,不過這樣的方式比較麻煩,所以我今天來介紹如何利用CoPP(Control Plane Policing)來防止這類的連線管理。

所謂的CoPP(Control Plane Policing),主要是針對Cisco設備的Control Plane來進行網路連線封包的資料分析及避免Denial of Service所產生的一種保護機制。CoPP特色允許使用者設定QoS filter用來管理Control Plane封包的資料流用以保護Cisco IOS routers及switch的control plane,避免偵察行為及DoS攻擊。利用這種方式,不論在router或是switch有攻擊或是大量資料d的負載,control plane仍可以協助助維護封包轉送及協定狀態。

假設網路架構如下:
R1-R2-R3
我們要在R2上設定CoPP,只允許R1,R3的Loopback IP進行telnet遠端管理,禁止其他來源IP telnet至R2:

R2(config)#access-list 100 deny tcp host 1.1.1.1 any eq telnet
R2(config)#access-list 100 deny tcp host 3.3.3.3 any eq telnet
R2(config)#access-list 100 permit ip any any eq telnet

R2(config)#class-map TELNET
R2(config-cmap)#match access-group 100

R2(config)#policy-map CoPP
R2(config-pmap)#class TELNET
R2(config-pmap-c)#drop

R2(config)#control-plane
R2(config-cp)#service-policy input CoPP
Post a Comment