利用CoPP(Control Plane Policing)阻擋Telnet遠端管理

「山不轉路轉,路不轉心轉」,這句話最適用於CCIE Lab考試上,準備CCIE Lab考試最令人頭痛的莫過於了解同一個問題所有的解法(所謂「只知其一,不知其二」是準備CCIE Lab最忌諱的事情)。

如果今天要求你不能利用Access-Class來防堵遠端Telnet管理時,你會想到那些方法? 最直覺的就是直接在所有interface上設定inbound ACL,不過這樣的方式比較麻煩,所以我今天來介紹如何利用CoPP(Control Plane Policing)來防止這類的連線管理。

所謂的CoPP(Control Plane Policing),主要是針對Cisco設備的Control Plane來進行網路連線封包的資料分析及避免Denial of Service所產生的一種保護機制。CoPP特色允許使用者設定QoS filter用來管理Control Plane封包的資料流用以保護Cisco IOS routers及switch的control plane,避免偵察行為及DoS攻擊。利用這種方式,不論在router或是switch有攻擊或是大量資料d的負載,control plane仍可以協助助維護封包轉送及協定狀態。

假設網路架構如下:
R1-R2-R3
我們要在R2上設定CoPP,只允許R1,R3的Loopback IP進行telnet遠端管理,禁止其他來源IP telnet至R2:

R2(config)#access-list 100 deny tcp host 1.1.1.1 any eq telnet
R2(config)#access-list 100 deny tcp host 3.3.3.3 any eq telnet
R2(config)#access-list 100 permit ip any any eq telnet

R2(config)#class-map TELNET
R2(config-cmap)#match access-group 100

R2(config)#policy-map CoPP
R2(config-pmap)#class TELNET
R2(config-pmap-c)#drop

R2(config)#control-plane
R2(config-cp)#service-policy input CoPP

Comments

Anonymous said…
我不明白这个policy-map的所定义的动作,
R2(config)#policy-map CoPP
R2(config-pmap)#class TELNET
R2(config-pmap-c)#drop
如果说允许r1和r3的loop0进行管理,那么对于match acl 100的class的动作为何是drop?
22/8/08 09:39
CCIE11440 said…
感谢您的反馈,我已经修正原有configuration
22/8/08 10:59
Anonymous said…
我觉得配置是不是应该是这样:
Router(config)# policy-map CoPP
Router(config-pmap)# class TELNET
Router(config-pmap-c)# police 64000 conform transmit exceed drop
Router(config-pmap-c)# exit


Router(config)# control-plane
Router(config-cp)# service-policy input CoPP
Router(config-cp)# exit

等待你的回复,呵呵,,
23/8/08 11:11
CCIE11440 said…
Hello, 因为这个case我当初忘了原有的题意,所以我第一次的回覆内容就如同您所述,利用police的方式限制telnet所使用的频宽。

後来我回头注意看了一下,原来我的题意是要禁止其他非特定来源IP进行telnet,所以,我又回覆了第二次。

现在的内容应该是没错的了,而您的回覆也没错,只要ACL的内容是permit特定对象限制所使用频宽的话。
23/8/08 13:56
Anonymous said…
另外,老兄,我想听听你对rate-limit "BC""BE"计算方法的想法,cisco给出的推荐算法是在MB的数量级使用的,如果需要我们控制的是在小于MB的数量级的时候,如何计算bc和be?
你是否有其他的联系方式?比如,msn 或者 gtalk?这样我们沟通起来比较方便。呵呵
24/8/08 11:06
CCIE11440 said…
不太了解你的意思,CIR, BC都是以Bytes为单位,并非MB

For example:

In this example, a customer is connected to an ISP by a T3 link. The ISP wants to rate-limit the customer's transmissions to 20 Mbps of the 45 Mbps. In addition, the customer is allowed to transmit bursts of 24000 bytes. All exceeding packets dropped. The following commands are configured on the ISP's HSSI interface connected to the customer:

interface Hssi0/0/0
description 45Mbps to R1
rate-limit input 20000000 24000 24000 conform-action transmit exceed-action drop
ip address 200.200.14.250 255.255.255.252
rate-limit output 20000000 24000 24000 conform-action transmit exceed-action drop
24/8/08 19:13
CCIE11440 said…
如果想了解计算方法,请参考这一篇文章:
CIR=Bc/Tc
http://ccie11440.blogspot.com/2008/08/cirbctc.html
24/8/08 19:15
Post a Comment

Popular posts from this blog

TCP/IP 明確擁塞通知 (ECN)

Image
當路由器擁塞的程度已經達到填滿傳入封包緩衝區而開始捨棄封包時,會影響網路而縮減頻寬,對資料損失敏感或具時效性的傳輸量流動會進而受到衝擊,而且可能在擁塞之後產生連結閒置時間。TCP/IP 明確擁塞通知 (ECN) 讓路由器能夠通知「傳輸控制通訊協定」(TCP) 對等體,由於網路擁塞,緩衝區已滿。TCP 對等體會以減緩資料傳輸來回應,協助防止封包損失。 明確擁塞通知(Explicit Congestion Notification) TCP/IP 的 ECN 支援同時使用 IP 及 TCP 標頭中的未使用位元。 • 在 (IP) 網際網路層上,轉送封包時,傳送主機必須能夠表示有能力執行 ECN,而路由器則必須能夠指出所遇到的擁塞狀況。 • 在 (TCP) 傳輸層,TCP 對等體必須彼此表明有能力執行 ECN。接收端對等體必須能夠通知傳送端對等體,已經從遇到擁塞狀況的路由器接到封包;傳送端對等體必須能夠通知接收端對等體,已經從接收端對等體接到擁塞指標,並且已經降低傳輸速率。 IP 中的 ECN 支援 IP 標頭中的 8 位元 [Type of Service (TOS)] 欄位最先定義於 RFC 791 中,指出封包由路由器進行非預設傳送的傳送優先順序、延遲、輸送量、可靠性,以及成本等特性。TOS 欄位在 RFC 2474 中重新定義,以包含 6 位元區別服務代碼點 (Differentiated Services Code Point, DSCP) 及兩個未使用的位元。DSCP 值表示的傳送優先順序會對應於先前在內部網路的路由器中設定的佇列。IP 中的 ECN 支援使用 RFC 2474 所定義 TOS 欄位的兩個未使用位元。[圖 1] 顯示 ECN 中 TOS 欄位的新定義。 圖 1:ECN 中 TOS 欄位的新定義 RFC 2474 所定義 TOS 欄位中的兩個未使用位元在 RFC 3168 中定義為 ECN 欄位,欄位的值如下: • 00 傳送主機不支援 ECN。 • 01 或 10 傳送主機支援 ECN。 • 11 路由器已遇到擁塞狀況。 具備 ECN 功能的主機傳送其封包時,會將 ECN 欄位設定為 01 或 10。對於具備 ECN 功能的主機所傳送的封包,如果路徑中的路由器具備 ECN 功能,但是正遇到擁塞狀況,則 ECN 欄位會設定為 11。一旦 ECN
Read More »

集中式數位交換機(CENTREX)系統

一般公司行號採購電話系統時,大部分都是自行購置私用交換機(PBX)。其實除了PBX之外,亦可選擇電信公司提供的CENTREX電話系統。 所謂CENTREX電話系統,中文翻譯為「集中式數位交換機」,簡稱CENTREX虛擬總機。就是在電信公司在市話交換機上,附加用戶專用交換機(PBX)軟體的功能,使在CENTREX系統之各線獨用電話可兼有私用交換機的分機功能。在CENTREX系統中,電信公司將市話交換機的部分用戶定義為一個基本用戶群,該用戶群的用戶不僅擁有普通用戶的所有功能,而且擁有私用交換機的所有功能。CENTREX系統用戶的分機可以獨立計費,也不會因中繼數量不足而產生話路壅塞;除此之外,若同一公司有多個辦公地點,而均在同一市話交換機之供線範圍內,則全部之分機皆可以視為同一套總機之分機,這是一般私用交換機所不及的地方。以前因為CENTREX線路的申租費用較高、大部分是學校等建築物分散的用戶在使用。但隨著固網業務開放,CENTREX線路租用費用日益降低,將吸引人更多企業用戶捨棄自行建置PBX而改用CENTREX系統。 CENTREX系統的功能 一般來說,電信公司為CENTREX用戶提供下列一般及特殊功能: 一.外線直接撥入分機(DID) 不必另外申請,外線就可以直接撥入任一分機,分機亦可以不經總機之轉接,直接抓外線撥號。 二.分機限撥 每一分機可以做適當之限制,如限撥外線、長途、國際或限外線直接撥入分機等之各項限制。 三.電話轉接功能 當電話進來,完成通話之後,如要再找第三人時,可以利用本功能,將電話轉接到第三人,繼續通話而不必重撥。 四.來話保留(Call Hold) 接到電話時,如需要轉問其他人員,而不希望對方知道通話內容時,可以利用本功能將對方保留起來,進行詢問動作;完成後,在接回對方,繼續服務工作。 五.仲介電話功能 控制者可以利用本功能,自行控制要與甲方或乙方通話,當與甲方通話時,乙方成保留狀態,而聽不到甲方與控制者之通話內容;反之亦同。 六.呼叫代接功能 同一單位之電話可以設定為同一帶接群,當有同事不再位置上,而有電話進來時,可以利用呼叫代接功能代接其電話,而不必到他的位置上幫他接電話。 七.條件指定轉接 當電話忙線與電話進來而無法應答時,將電話轉到所設定之電話。 八.自動回叫(Call Back) 當你有急事要與對方聯繫,而對方又在電話中,不知對方何時完成
Read More »

WRR(Weighted Round Robin) vs SRR(Shared/Shaped Round Robin)

Image
在舊版的QoS 2.2中只有提到WRR(Weighted Round Robin),但是在實務中,SRR已經漸漸在愈來愈多的Switch平台中使用,其中WRR與SRR最大的差別就是在於它們同時使用權重但是Scheduling的方式不同。 以下圖而言(暫不考慮Strict Priority Queue),如果是用WRR的話,Queue 3的權重為4,所以每一輪都可以同時送出4個封包;Queue 2的權重為2,所以每一輪都可以同時送出2個封包;Queue 1的權重為1,所以每一次都可以同時送出1個封包。 如果是用SRR(Shared or Shaped Round Robin)的話,Queue 3的權重為4,Queue 2的權重為2,Queue 1的權重為1。因此Q3,Q2,Q1各出1個封包,接著Q3,Q2各出1個封包,再接著Q3出2個封包,這樣子才算是一輪。 所以SRR的好處在於每一個Queue很平均地送出封包前後穿插進入FIFO Queue(Hardware Queue),而不是像WRR那樣一次出清每個Queue權重所佔比例數量的封包,這樣子下來的結果會讓不同Queue中的封包排程更加smooth,不會互相排擠。 SRR is a scheduling service for specifying the rate at which packets are dequeued. With SRR there are two modes, Shaped and Shared (default). Shaped mode is only available on the egress queues. Shaped egress queues reserve a set of port bandwidth and then send evenly spaced packets as per the reservation. Shared egress queues are also guaranteed a configured share of bandwidth, but do not reserve the bandwidth. That is, in Shared mode, if a higher priority queue is empty, instead
Read More »