SDN——转控分离、CPU保护机制——COPP技术案列详解及配置命令、
目录
一机双平面(转控分离):
SDN——详细:
copp技术简介:
DDOS攻击:
DOS攻击:
配置命令:
一、控制层端口:
配置一:基于传输层端口进行过滤(去往CPU的传输层流量执行过滤)
(1)class-map--匹配流量用的
(2)policy-map---针对匹配的流量执行动作(在policy-map里面调用class-map)
(3)service-policy-------针对policy-map应用接口上
可选配置二:利用ACL
(1)定义ACL:
(2)class-map--匹配流量用的
(3)policy-map---针对匹配的流量执行动作(在policy-map里面调用class-map)
(3)service-policy-------针对policy-map应用接口上
案例:
(1 )匹配流量
(2) 配置class-map调用各自的ACL
(3 )配置policy-map,调用class-map,执行限速动作
(4) 在控制接口调用policy-map
一机双平面(转控分离):
SDN——详细:
(33条消息) SDN介绍(什么是SDN)_Atlan_blog-CSDN博客_sdn
(33条消息) SDN基本概述_曹世宏的博客-CSDN博客_sdn
-----------------------------------------------------------------------------------------------------------------------------------------------------
copp技术简介:
(1)COPP是Control Plane Policing 的缩写,即控制面板策略,控制面板策略这个特性让用户通过配置QOS过滤来管理控制面板中的数据包,从而保护路由器和交换机免受DOS的攻击,控制面板在无论流量多大的情况下都能管理数据包交换和协议的状态情况。
(2)控制和限制去往CPU(控制层)的流量一般是做限速,限速到一个比较低的速率,防止CPU利用率达到100%(保护控制层的CPU,防止DDOS攻击)
DDOS攻击:
(33条消息) DDOS攻击原理介绍,可怕的DDos攻击_longlong6682的博客-CSDN博客_ddos攻击原理
DOS攻击:
(33条消息) 常见的DoS攻击_echo_bright_的博客-CSDN博客_dos攻击
--------------------------------------------------------------------------------------------------------------------------------------------------------------
配置命令:
一、控制层端口:
父接口:control-plane // 凡是去往CPU的流量都要经过这个接口
三个子接口:
(1) host //控制三层流量且是抵达我这台设备的三层流量
(2) transit //控制的是穿越我的三层流量
(3) cef-exception //控制的是二层流量
配置一:基于传输层端口进行过滤(去往CPU的传输层流量执行过滤)
(1)class-map--匹配流量用的
R1(config)#class-map type port-filter match-all aaa//写了一个基于端口过滤的名称为aaa的class-map策略||||如果条件全部满足才会执行(2)||(math-any)//满足任意一个条件就会执行(2)默认(math-all)
R1(config-cmap)#match port tcp 23 //匹配条件
R1(config-cmap)#match port tcp 443
R1(config-cmap)#match port udp 520
R1(config-cmap)#match closed-ports //匹配出其他那些未开放的端口的流量
R1(config-cmap)#exit
(2)policy-map---针对匹配的流量执行动作(在policy-map里面调用class-map)
R1(config)#policy-map type port-filter bbb
R1(config-pmap)#class aaa ///调用(1)中的策略
R1(config-pmap-c)#drop /// 执行丢弃行为 (也可以限速)
R1(config-pmap-c)#exit
(3)service-policy-------针对policy-map应用接口上
R1(config)#control-plane host //进入控制层面接口(父接口或子接口)
R1(config-cp-host)#service-policy type port-filter input bbb
R1(config-cp-host)#exit
input----------从外面想要进入到我CPU的方向
output--------从CPU发出去的方向
-----------------------------------------------------------------------------------------------------------------------------------------------------
可选配置二:利用ACL
(1)定义ACL:
access-list 100 per ospf host 1.1.1.1 host 2.2.2.2
access-list 100 per tcp any any eq 23
(2)class-map--匹配流量用的
class-map aaa
match access-grop 100//在class-map调用ACL
exit
(3)policy-map---针对匹配的流量执行动作(在policy-map里面调用class-map)
policy-map bbb
class aaa
drop//凡是去往CPU的telnat报文、ospf报文都被丢弃了,到达不了CPU
exit
exit
(3)service-policy-------针对policy-map应用接口上
control-plane
serviece-policy input bbb
exit
------------------------------------------------------------------------------------------------------------------
案例:
要求:去往CPU的OSPF流量限速到128K,telnet流量限速到64K,PING流量限速到32K,其余流量限速到1M
(1 )匹配流量
R1(config)#ip access-list extended ospf
R1(config-ext-nacl)#permit ospf any any
R1(config-ext-nacl)#exit
R1(config)#ip access-list extended telnet
R1(config-ext-nacl)#permit tcp any any eq 23
R1(config-ext-nacl)#exit
R1(config)#ip access-list extended icmp
R1(config-ext-nacl)#permit icmp any any
R1(config-ext-nacl)#exit
(2) 配置class-map调用各自的ACL
R1(config)#class-map n-ospf
R1(config-cmap)#match access-group name ospf
R1(config-cmap)#exit
R1(config)#class-map n-telnet
R1(config-cmap)#match access-group name telnet
R1(config-cmap)#exit
R1(config)#class-map n-icmp
R1(config-cmap)#match access-group name icmp
R1(config-cmap)#exit
(3 )配置policy-map,调用class-map,执行限速动作
R1(config)#policy-map qos
R1(config-pmap)#class n-ospf
R1(config-pmap-c)#police 128000 conform-action transmit exceed-action drop //符合的穿越和转发,超过的丢弃
R1(config-pmap-c-police)#exit
R1(config-pmap-c)#exit
R1(config-pmap)#
R1(config-pmap)#class n-telnet
R1(config-pmap-c)#police 64000 conform-action transmit exceed-action drop
R1(config-pmap-c-police)#exit
R1(config-pmap-c)#exit
R1(config-pmap)#class n-icmp
R1(config-pmap-c)#police 32000 conform-action transmit exceed-action drop
R1(config-pmap-c-police)#exit
R1(config-pmap-c)#exit
R1(config-pmap)#class class-default//匹配哪些剩余的去往CPU流量
R1(config-pmap-c)#police 1000000 conform-action transmit exceed-action drop
R1(config-pmap-c-police)#exit
R1(config-pmap-c)#exit
R1(config-pmap)#exit
R1(config)#
(4) 在控制接口调用policy-map
R1(config)#control-plane
R1(config-cp)#service-policy input qos
R1(config-cp)#exit
int f0/0//物理接口调用
service-policy input qos
exit
以上仅人观点,如有错误还请指出!欢迎留言讨论!感谢观看!
SDN——转控分离、CPU保护机制——COPP技术案列详解及配置命令、相关推荐
- 教育大数据隐私保护机制与技术研究
点击上方蓝字关注我们 教育大数据隐私保护机制与技术研究 乐洁玉1, 罗超洋2, 丁静姝3, 李卿2 1 华中师范大学国家数字化学习工程技术研究中心,湖北 武汉 430079 2 华中师范大学教育大数据 ...
- Android 事件分发机制分析及源码详解
Android 事件分发机制分析及源码详解 文章目录 Android 事件分发机制分析及源码详解 事件的定义 事件分发序列模型 分发序列 分发模型 事件分发对象及相关方法 源码分析 事件分发总结 一般 ...
- Nginx反向代理、动静分离、负载均衡及rewrite隐藏路径详解(Nginx Apache MySQL Redis)–第二部分...
Nginx反向代理.动静分离.负载均衡及rewrite隐藏路径详解 (Nginx Apache MySQL Redis) 楓城浪子原创,转载请标明出处! 更多技术博文请见个人博客:https://fe ...
- 计算机房安全等级标准,等级保护测评 【物理安全】 三级 详解测评要求项的测评判分标准:0分标准和满分标准...
原标题:等级保护测评 [物理安全] 三级 详解测评要求项的测评判分标准:0分标准和满分标准 等级保护[物理安全]测评: 详解[物理安全](三级):物理位置的选择.物理访问控制.防盗窃和防破坏.防雷击. ...
- Flink/Blink 原理漫谈(六)容错机制(fault tolerance)详解
系列文章目录 Flink/Blink 原理漫谈(零)运行时的组件 Flink/Blink 原理漫谈(一)时间,watermark详解 Flink/Blink 原理漫谈(二)流表对偶性和distinct ...
- 我的世界服务器怎么弄自动钓鱼,我的世界自动钓鱼机制作教程 图文步骤详解...
之前有玩家跟我问过自动钓鱼机的事,所以这里就跟大家分享一个简易的自动钓鱼机,全自动的钓鱼机我也不知道怎么做,网上的很多教程也是看不懂,所以这里就发一个肯定能用的自动钓鱼机. 我的世界自动钓鱼机红石制作 ...
- 一文读懂——全局注意力机制(global attention)详解与代码实现
废话不多说,直接先上全局注意力机制的模型结构图. 如何通过Global Attention获得每个单词的上下文向量,从而获得子句向量呢?如下几步: 代码如下所示: x = Embedding(inpu ...
- Sigar 获取CPU和Memory内存等信息使用详解
一. Sigar详细介绍 Sigar(System Information Gatherer And Reporter),是一个开源的工具,提供了跨平台的系统信息收集的API,核心由C语言实现的. ...
- 【Libra 技术解读】详解LibraBFT共识机制
Libra技术系列解读 往期回顾: move语言简介 move语法.解释器和验证器 本期详解"LibraBFT共识机制" Libra白皮书中关于共识机制的描述 Libra 区块链采 ...
最新文章
- 树莓派3B创建WiFi热点
- SQL中cross join,left join,right join ,full join,inner join 的区别
- Python中的装饰器,迭代器,生成器
- 职场上个人的核心技术_职场上的情绪管理
- 谐波分析显著性检验matlab,关于谐波检测方法的MATLAB仿真及综合性能分析.pdf
- 经典面试题之 TCP三次握手 和 TCP四次挥手过程----详解
- java提取姓名_java获取类型名字的不同方法
- SessionID的传送
- 中医预约管理系统都需要哪些功能?
- Django序列化器
- 单例设计模式,写出几个例子
- 奔驰S400商务型升级前排座椅通风系统,夏天必备功能
- Vbs脚本将本地文件上传到Azure存储账户
- selenium八大元素定位方法
- TCP为什么需要3次握手与4次挥手
- 关于video++,jsrun,有道笔记等的感想
- Dubbo Cloud Native 实践与思考 1
- 网络存储技术Windows server 2012 (项目八 文件共享与磁盘映射)
- Vue打包后出错:Tip: built files are meant to be served over an HTTP server. Opening index.html over file
- 网络标准之:永远是1.0版本的MIME