Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Lab – Control Plane Policing

    Lab – Control Plane Policing


    Click image for larger version Name: dataurl063073.png Views: 0 Size: 15.1 KB ID: 436725
    Mô tả:
    • Sơ đồ bài Lab gồm 2 Router và 1 Switch được kết nối với nhau như hình. Bài Lab này có thể dựng trên lab ảo hoá sử dụng các IOL Router L3-ADVENTERPRISEK9-M-15.4-2T, IOL Switch i86bi_linux_l2-advipservicesk9.
    • Trên sơ đồ, học viên thực hiện cấu hình và khảo sát hoạt động của Control Plane Policing trên các thiết bị Cisco.
    • Học viên khảo sát chính sách trên một số giao thức khác nhau.
    Thiết bị Interface IP Address Subnet Mask
    R1 E0/0 172.16.12.1 255.255.255.252
    E0 /1 172.16.1.1 255.255.255.0
    R2 E0/1 172.16.12.2 255.255.255.252
    SW1 VLAN 1 172.16.1.4 255.255.255.0
    Yêu cầu:
    1. Kết nối thiết bị, cấu hình căn bản thiết bị và đặt địa chỉ IP theo quy hoạch.
    2. Cấu hình định tuyến OSPF giữa R1 và R2 đảm bảo tất cả các subnets có thể đi đến được nhau.
    3. Bật Telnet và SSH trên các thiết bị. Username: vnpro, Password: cisco.
    4. Cấu hình Control Plane Policing trên R1 và R2 như sau:
      1. Giới hạn gói tin Telnet ở mức 8 kbps, nếu quá 8 kpbs sẽ thực hiện Drop gói tin này.
      2. Giới hạn gói tin SSH ở mức 50 kbps.
      3. Giới hạn gói tin ICMP ở mức 10 gói tin/giây.
    Hướng dẫn:
    1. Cấu hình ban đầu.
    • [*=1]Thực hiện đặt IP cho thiết bị như được chỉ ra trên hình. [*=1]Cấu hình định tuyến OSPF đảm bảo mọi subnet trên sơ đồ Lab thấy nhau. [*=1]Cấu hình cho phép thực hiện Telnet và SSH vào R1, R2 và SW1. Username sử dụng để đăng nhập thiết bị là vnpro và mật khẩu là cisco.
    R1:
    R1(config)#interface e0/1
    R1(config-if)#ip address 172.16.1.1 255.255.255.0
    R1(config-if)#no shutdown
    R1(config-if)#exit
    R1(config)#interface e0/0
    R1(config-if)#ip address 172.16.12.1 255.255.255.252
    R1(config-if)#no shutdown
    R1(config-if)#exit
    R1(config)#username vnpro privilege 15 password cisco
    R1(config)#line vty 0 4
    R1(config-line)#login local
    R1(config-line)#transport input all
    R1(config-line)#exit
    R2:
    R2(config)#interface e0/0
    R2(config-if)#ip address 172.16.12.2 255.255.255.252
    R2(config-if)#no shutdown
    R2(config-if)#exit
    R2(config)#username vnpro privilege 15 password cisco
    R2(config)#line vty 0 4
    R2(config-line)#login local
    R2(config-line)#transport input all
    R2(config-line)#exit
    SW1:
    SW1(config)#interface vlan1
    SW1(config-if)#ip address 172.16.1.4 255.255.255.0
    SW1(config)#username vnpro privilege 15 password cisco
    SW1(config)#line vty 0 4
    SW1(config-line)#login local
    SW1(config-line)#transport input telnet ssh
    SW1(config-line)#exit
    SW1(config)#ip default-gateway 172.16.1.1
    1. Đánh dấu các gói tin Telnet trên R1.
    • [*=1]Tạo Extended Access-list cho phép các gói tin Telnet. [*=1]Tạo Extended Access-list cho phép các gói tin ICMP. [*=1]Tạo Class-Map để đánh dấu các gói tin.
    R1:
    R1(config)#ip access-list extended TELNET
    R1(config-ext-nacl)#permit tcp any any eq 23
    R1(config-ext-nacl)#exit
    R1(config)#ip access-list extended ICMP
    R1(config-ext-nacl)#permit icmp any any
    R1(config-ext-nacl)#exit
    R1(config)#class-map match-all CM-TELNET
    R1(config-cmap)#match access-group name TELNET
    R1(config-cmap)#exit
    R1(config)#class-map match-all CM-ICMP
    R1(config-cmap)#match access-group name ICMP
    R1(config-cmap)#exit
    1. Đánh dấu các gói tin SSH trên R2.
      • Tạo Extended Access-list cho phép các gói tin SSH.
      • Tạo Class-Map để đánh dấu các gói tin.
    R2:
    R2(config)#ip access-list extended SSH
    R2(config-ext-nacl)#permit tcp any any eq 22
    R2(config-ext-nacl)#exit
    R2(config)#class-map match-all CM-SSH
    R2(config-cmap)#match access-group name SSH
    R2(config-cmap)#exit
    1. Tạo Policy-map thực hiện kiểm soát các gói tin trên R1 và R2.
      • Đối với gói tin Telnet, giới hạn ở mức 8kbps.
      • Đối với gói tin SSH, giới hạn ở mức 50kbps.
      • Đối với gói tin ICMP, giới hạn ở mức 10 gói tin/ giây.
    R1:
    R1(config)#policy-map ControlPlane
    R1(config-pmap)#class CM-TELNET
    R1(config-pmap-c)#police 8000 conform-action drop exceed-action drop
    R1(config-pmap-c-police)#exit
    R1(config-pmap-c)#exit
    R1(config-pmap)#class CM-ICMP
    R1(config-pmap-c)#police rate 10 pps conform-action transmit exceed-action drop
    R1(config-pmap-c-police)#exit
    R1(config-pmap-c)#exit
    R2:
    R2(config)#policy-map ControlPlane
    R2(config-pmap)#class CM-SSH
    R2(config-pmap-c)#police 50000 conform-action drop exceed-action drop
    R2(config-pmap-c-police)#exit
    R2(config-pmap-c)#exit
    R2(config-pmap)#exit
    1. Áp dụng chính sách ControlPlane trên R1 và R2.
    R1:
    R1(config)#control-plane
    R1(config-cp)#service-policy input ControlPlane
    R1(config-cp)#exit
    *Jun 9 14:18:43.450: %CP-5-FEATURE: Control-plane Policing feature enabled on Control plane aggregate path
    R2:
    R2(config)#control-plane
    R2(config-cp)#service-policy input ControlPlane
    R2(config-cp)#exit
    *Jun 9 14:18:43.450: %CP-5-FEATURE: Control-plane Policing feature enabled on Control plane aggregate path
    Kiểm tra:
    • Từ R2 ping tới R1 20 gói tin.
    R2#ping 172.16.12.1 repeat 20
    Type escape sequence to abort.
    Sending 20, 100-byte ICMP Echos to 172.16.12.1, timeout is 2 seconds:
    !!.!!.!!.!!.!!.!!.!!
    Success rate is 70 percent (14/20), round-trip min/avg/max = 1/1/1 ms
    ===> Giới hạn gói ICMP thành công.
    • Từ R2 telnet tới R1:
    R1:
    R1#show policy-map control-plane
    Control Plane
    Service-policy input: ControlPlane
    Class-map: CM-ICMP (match-all)
    55 packets, 6014 bytes
    5 minute offered rate 0000 bps, drop rate 0000 bps
    Match: access-group name ICMP
    police:
    rate 10 pps, burst 2 packets
    conformed 43 packets, 43 bytes; actions:
    transmit
    exceeded 12 packets, 12 bytes; actions:
    drop
    conformed 0 pps, exceeded 0 pps

    Class-map: CM-TELNET (match-all)
    151 packets, 8286 bytes
    5 minute offered rate 0000 bps, drop rate 0000 bps
    Match: access-group name TELNET
    police:
    cir 8000 bps, bc 1500 bytes
    conformed 151 packets, 8286 bytes; actions:
    transmit
    exceeded 0 packets, 0 bytes; actions:
    drop
    conformed 0000 bps, exceeded 0000 bps

    Class-map: class-default (match-any)
    83106 packets, 6662684 bytes
    5 minute offered rate 0000 bps, drop rate 0000 bps
    Match: any
    R2:
    R2#show policy-map control-plane
    Control Plane
    Service-policy input: ControlPlane
    Class-map: CM-SSH (match-all)
    0 packets, 0 bytes
    5 minute offered rate 0000 bps, drop rate 0000 bps
    Match: access-group name SSH
    police:
    cir 50000 bps, bc 1562 bytes
    conformed 0 packets, 0 bytes; actions:
    transmit
    exceeded 0 packets, 0 bytes; actions:
    drop
    conformed 0000 bps, exceeded 0000 bps

    Class-map: class-default (match-any)
    56 packets, 7191 bytes
    5 minute offered rate 0000 bps, drop rate 0000 bps
    Match: any
    Last edited by ThanhQuyen; 11-09-2025, 03:26 PM.
    Tags: None
Previous template Next
Working...
X