Tweet
🔥 Bạn Đã Bảo Vệ Control Plane Đúng Cách Chưa? – Hiểu và Triển khai CoPP trên Thiết Bị Cisco
Trong hàng loạt những kỹ thuật bảo vệ hạ tầng mạng, có một “mặt trận” thường bị bỏ quên – đó là Control Plane, nơi xử lý các gói tin điều khiển và định tuyến. Bạn có thể bảo mật cổng, mã hóa VPN, giới hạn VLAN... nhưng nếu không bảo vệ mặt phẳng điều khiển, một cuộc tấn công DoS nhỏ cũng có thể hạ gục toàn bộ router hoặc switch core!
💡 Control Plane là gì?
Thiết bị mạng Cisco chia thành 3 mặt phẳng:
🛡️ Giới thiệu Control Plane Policing (CoPP)
Cisco giới thiệu tính năng CoPP – Control Plane Policing để chống lại các cuộc tấn công như:
⚙️ Cấu Hình CoPP – Từng Bước Một
1. Xác định loại lưu lượng cần kiểm soát
R1(config)# access-list 100 permit udp any any eq snmp
R1(config)# access-list 100 permit tcp any any eq www
R1(config)# access-list 100 permit tcp any any eq 443
R1(config)# access-list 100 permit tcp any any eq 22
2. Tạo class-map và policy-map
R1(config)# class-map COPP_class
R1(config-cmap)# match access-group 100
R1(config)# policy-map COPP_policy
R1(config-pmap)# class COPP_class
R1(config-pmap-c)# police 300000 conform-action transmit exceed-action drop
R1(config-pmap-c)# class class-default
R1(config-pmap-c)# police rate 50 pps conform-action transmit exceed-action drop
R1(config)# control-plane R1(config-cp)# service-policy input COPP_policy
🔍 Xác Minh và Giám Sát
Kiểm tra ACL:
R1# show access-lists 100
Kiểm tra class-map, policy-map:
R1# show class-map R1# show policy-map
Kiểm tra CoPP hoạt động:
R1# show policy-map control-plane
Bạn sẽ thấy thống kê: bao nhiêu gói tin đã tuân thủ chính sách, bao nhiêu bị loại bỏ – giúp đánh giá hiệu quả CoPP theo thời gian thực.
❓ Câu Hỏi Ôn Tập
CoPP thực hiện giới hạn lưu lượng vào Control Plane bằng cách nào?
🎯 Lưu Ý Thực Chiến
🔚 Kết
CoPP không hào nhoáng, nhưng là một trong những công cụ thiết yếu nhất để bảo vệ tuyến phòng thủ đầu tiên – chính CPU thiết bị của bạn.
Nếu bạn đã từng gặp sự cố mạng không rõ lý do mà CPU router spike 100% – rất có thể bạn đã quên bật CoPP!
Bạn đã từng cấu hình CoPP trong hệ thống thật chưa? Bạn hay ưu tiên giới hạn SSH, ICMP hay SNMP? Hãy chia sẻ ý kiến dưới bài viết để cùng học hỏi!
Nếu bạn thấy hữu ích, hãy chia sẻ cho các đồng nghiệp vận hành hạ tầng – vì bảo vệ CPU là bảo vệ cả tổ chức.
Trong hàng loạt những kỹ thuật bảo vệ hạ tầng mạng, có một “mặt trận” thường bị bỏ quên – đó là Control Plane, nơi xử lý các gói tin điều khiển và định tuyến. Bạn có thể bảo mật cổng, mã hóa VPN, giới hạn VLAN... nhưng nếu không bảo vệ mặt phẳng điều khiển, một cuộc tấn công DoS nhỏ cũng có thể hạ gục toàn bộ router hoặc switch core!
💡 Control Plane là gì?
Thiết bị mạng Cisco chia thành 3 mặt phẳng:
- Data Plane: Xử lý chuyển tiếp gói tin, NAT, QoS, ACL,...
- Control Plane: Chạy các giao thức định tuyến như OSPF, BGP, gửi/nhận gói ICMP, ARP, TTL,...
- Management Plane: Giao tiếp qua SSH, Telnet, SNMP, HTTP/HTTPS...
🛡️ Giới thiệu Control Plane Policing (CoPP)
Cisco giới thiệu tính năng CoPP – Control Plane Policing để chống lại các cuộc tấn công như:
- Gửi hàng loạt ICMP, SSH, SNMP đến router
- Flood các gói cập nhật OSPF giả mạo
- Tạo ra các gói có TTL = 1 để buộc thiết bị phản hồi ICMP Time Exceeded
⚙️ Cấu Hình CoPP – Từng Bước Một
1. Xác định loại lưu lượng cần kiểm soát
R1(config)# access-list 100 permit udp any any eq snmp
R1(config)# access-list 100 permit tcp any any eq www
R1(config)# access-list 100 permit tcp any any eq 443
R1(config)# access-list 100 permit tcp any any eq 22
2. Tạo class-map và policy-map
R1(config)# class-map COPP_class
R1(config-cmap)# match access-group 100
R1(config)# policy-map COPP_policy
R1(config-pmap)# class COPP_class
R1(config-pmap-c)# police 300000 conform-action transmit exceed-action drop
R1(config-pmap-c)# class class-default
R1(config-pmap-c)# police rate 50 pps conform-action transmit exceed-action drop
class-default tự động khớp với mọi lưu lượng còn lại – bạn cũng nên giới hạn nó nhẹ nhàng để tránh bất ngờ từ các luồng không xác định.
3. Áp dụng vào Control PlaneR1(config)# control-plane R1(config-cp)# service-policy input COPP_policy
🔍 Xác Minh và Giám Sát
Kiểm tra ACL:
R1# show access-lists 100
Kiểm tra class-map, policy-map:
R1# show class-map R1# show policy-map
Kiểm tra CoPP hoạt động:
R1# show policy-map control-plane
Bạn sẽ thấy thống kê: bao nhiêu gói tin đã tuân thủ chính sách, bao nhiêu bị loại bỏ – giúp đánh giá hiệu quả CoPP theo thời gian thực.
❓ Câu Hỏi Ôn Tập
CoPP thực hiện giới hạn lưu lượng vào Control Plane bằng cách nào?
- A. Mã hóa toàn bộ lưu lượng điều khiển
- B. Sử dụng cơ chế lọc và giới hạn tốc độ kiểu QoS
- C. Dùng tường lửa trên mặt phẳng điều khiển
- D. Phân đoạn mặt phẳng điều khiển thành nhiều sub-interface
🎯 Lưu Ý Thực Chiến
- CoPP không áp dụng cho lưu lượng đi ra từ router – nó chỉ kiểm soát incoming control traffic.
- Trong mạng lớn (ISP, Core), nên phân chia rõ lưu lượng OSPF, BGP, ICMP,... thành các class riêng biệt để kiểm soát chi tiết.
- Nếu dùng Nexus OS, hãy tham khảo Control Plane Policing với COPP policies riêng vì cú pháp sẽ khác IOS.
🔚 Kết
CoPP không hào nhoáng, nhưng là một trong những công cụ thiết yếu nhất để bảo vệ tuyến phòng thủ đầu tiên – chính CPU thiết bị của bạn.
Nếu bạn đã từng gặp sự cố mạng không rõ lý do mà CPU router spike 100% – rất có thể bạn đã quên bật CoPP!
Bạn đã từng cấu hình CoPP trong hệ thống thật chưa? Bạn hay ưu tiên giới hạn SSH, ICMP hay SNMP? Hãy chia sẻ ý kiến dưới bài viết để cùng học hỏi!
Nếu bạn thấy hữu ích, hãy chia sẻ cho các đồng nghiệp vận hành hạ tầng – vì bảo vệ CPU là bảo vệ cả tổ chức.
Attached Files