Tweet
🚨 Bảo vệ Bộ Não Của Router: Giới Thiệu Về Control Plane Policing (CoPP)
Trong mạng máy tính, mỗi thiết bị như router hay switch đều có một “bộ não” gọi là control plane – nơi điều khiển các hoạt động sống còn như định tuyến (routing), báo hiệu (signaling), và quản trị thiết bị. Nếu control plane bị quá tải hoặc bị tấn công, cả mạng có thể tê liệt chỉ trong vài giây.
Cisco đã giới thiệu một “lá chắn thép” cho bộ não này mang tên Control Plane Policing (CoPP). Hãy cùng xem CoPP là gì, cách hoạt động và làm sao bạn có thể triển khai để bảo vệ thiết bị mạng của mình.
💡 CoPP Là Gì?
CoPP (Control Plane Policing) là một tính năng bảo mật trên các thiết bị mạng Cisco giúp lọc và giới hạn băng thông cho lưu lượng đi đến control plane. Mục tiêu là ngăn chặn tấn công DDoS, lũ traffic giả mạo, hoặc các lỗi cấu hình khiến CPU bị quá tải. ✳️ 3 Thành Phần Chính Của Thiết Bị Mạng
🛡️ CoPP Hoạt Động Như Thế Nào?
CoPP sử dụng Modular QoS CLI (MQC) – bộ công cụ vốn dành cho QoS – để định nghĩa:
Ví dụ:
🧪 Cách Cấu Hình CoPP (trên thiết bị chạy Cisco IOS)
✅ Bước 1: Tạo ACL để xác định traffic cần kiểm soát
R1(config)# access-list 100 permit udp any any eq snmp
R1(config)# access-list 100 permit tcp any any eq www
R1(config)# access-list 100 permit tcp any any eq 443
R1(config)# access-list 100 permit tcp any any eq 22
✅ Bước 2: Tạo class-map và policy-map để áp chính sách
R1(config)# class-map COPP_class R1(config-cmap)# match access-group 100 R1(config)# policy-map COPP_policy R1(config-pmap)# class COPP_class R1(config-pmap-c)# police 300000 conform-action transmit exceed-action drop R1(config-pmap-c)# class class-default R1(config-pmap-c)# police rate 50 pps conform-action transmit exceed-action drop
✅ Bước 3: Gắn policy vào control plane
R1(config)# control-plane R1(config-cp)# service-policy input COPP_policy
🔍 Cách Kiểm Tra CoPP Có Hoạt Động Hay Không?
Ví dụ:
R1# show policy-map control-plane Service-policy input: COPP_policy Class-map: COPP_class (match-all) 31 packets, 2866 bytes conformed 31 packets → transmit exceeded 0 packets → drop
⚠️ Nếu Không Có CoPP Sẽ Ra Sao?
🧠 Câu Hỏi Ôn Tập
✅ Bằng cách sử dụng cơ chế lọc giống QoS và cơ chế rate-limiting.
(Sai nếu bạn chọn mã hóa, firewall, hay phân mảnh control plane – vì CoPP là QoS cho traffic đi vào control plane, không phải tường lửa hay cơ chế bảo mật crypto.)
📌 Tóm Tắt Dành Cho CCNA/CCNP/CCIE
Trong mạng máy tính, mỗi thiết bị như router hay switch đều có một “bộ não” gọi là control plane – nơi điều khiển các hoạt động sống còn như định tuyến (routing), báo hiệu (signaling), và quản trị thiết bị. Nếu control plane bị quá tải hoặc bị tấn công, cả mạng có thể tê liệt chỉ trong vài giây.
Cisco đã giới thiệu một “lá chắn thép” cho bộ não này mang tên Control Plane Policing (CoPP). Hãy cùng xem CoPP là gì, cách hoạt động và làm sao bạn có thể triển khai để bảo vệ thiết bị mạng của mình.
💡 CoPP Là Gì?
CoPP (Control Plane Policing) là một tính năng bảo mật trên các thiết bị mạng Cisco giúp lọc và giới hạn băng thông cho lưu lượng đi đến control plane. Mục tiêu là ngăn chặn tấn công DDoS, lũ traffic giả mạo, hoặc các lỗi cấu hình khiến CPU bị quá tải. ✳️ 3 Thành Phần Chính Của Thiết Bị Mạng
- Data Plane: Nơi xử lý và chuyển tiếp lưu lượng (traffic).
- Control Plane: Xây dựng bảng định tuyến, bảng MAC, v.v. – quyết định luồng dữ liệu sẽ đi đâu.
- Management Plane: Dành cho admin dùng Telnet, SSH, SNMP để cấu hình, giám sát.
🛡️ CoPP Hoạt Động Như Thế Nào?
CoPP sử dụng Modular QoS CLI (MQC) – bộ công cụ vốn dành cho QoS – để định nghĩa:
- Lớp traffic cần kiểm soát (dựa trên ACL).
- Chính sách giới hạn tốc độ (policing) cho lớp traffic đó.
- Áp dụng chính sách này lên control-plane, thay vì cổng vật lý.
Ví dụ:
- Hạn chế SNMP, SSH, HTTPS chỉ được phép dùng 300 kbps.
- Lưu lượng không xác định (class-default) chỉ được 50 packet/giây.
🧪 Cách Cấu Hình CoPP (trên thiết bị chạy Cisco IOS)
✅ Bước 1: Tạo ACL để xác định traffic cần kiểm soát
R1(config)# access-list 100 permit udp any any eq snmp
R1(config)# access-list 100 permit tcp any any eq www
R1(config)# access-list 100 permit tcp any any eq 443
R1(config)# access-list 100 permit tcp any any eq 22
✅ Bước 2: Tạo class-map và policy-map để áp chính sách
R1(config)# class-map COPP_class R1(config-cmap)# match access-group 100 R1(config)# policy-map COPP_policy R1(config-pmap)# class COPP_class R1(config-pmap-c)# police 300000 conform-action transmit exceed-action drop R1(config-pmap-c)# class class-default R1(config-pmap-c)# police rate 50 pps conform-action transmit exceed-action drop
✅ Bước 3: Gắn policy vào control plane
R1(config)# control-plane R1(config-cp)# service-policy input COPP_policy
🔍 Cách Kiểm Tra CoPP Có Hoạt Động Hay Không?
- show access-lists: Kiểm tra ACL có nhận lưu lượng không.
- show class-map: Liệt kê các class-map.
- show policy-map: Xem cấu hình policy.
- show policy-map control-plane: Thống kê real-time lưu lượng qua control plane.
Ví dụ:
R1# show policy-map control-plane Service-policy input: COPP_policy Class-map: COPP_class (match-all) 31 packets, 2866 bytes conformed 31 packets → transmit exceeded 0 packets → drop
⚠️ Nếu Không Có CoPP Sẽ Ra Sao?
- Router đơ cứng vì CPU 100%.
- OSPF/BGP mất kết nối.
- Admin không truy cập được thiết bị.
- Traffic legitimate bị rớt không lý do.
🧠 Câu Hỏi Ôn Tập
Control Plane Policing đạt được chức năng lọc và giới hạn tốc độ bằng cách nào?
✅ Bằng cách sử dụng cơ chế lọc giống QoS và cơ chế rate-limiting.
(Sai nếu bạn chọn mã hóa, firewall, hay phân mảnh control plane – vì CoPP là QoS cho traffic đi vào control plane, không phải tường lửa hay cơ chế bảo mật crypto.)
📌 Tóm Tắt Dành Cho CCNA/CCNP/CCIE
- CoPP là công cụ cực mạnh giúp giữ cho control plane sống sót trong các tình huống tấn công.
- CoPP giống như "QoS dành cho bộ não router".
- Dễ cấu hình, dễ kiểm tra, nhưng cực kỳ hiệu quả trong bảo mật mạng lớp Enterprise.
- Hãy luôn triển khai CoPP như một phần mặc định trong hardening thiết bị mạng.
Attached Files