Respuesta a: Resolución de problemas con CoPP

NUESTROS CURSOS Foros CCNP ENARSI 300-410 Resolución de problemas con CoPP Respuesta a: Resolución de problemas con CoPP

#39241
AlvaroM
Superadministrador

Hola Alfonzo!

Respecto a tu primera y última consulta; la idea es que no se sobrepase cierta cantidad de tráfico en un determinado periodo (de manera más específica bits por segundo), entonces, esto significa que tu CPU no va recibir más de 8000 bits por segundo (en tu ejemplo). En tus mensajes ICMP, todos los que son procesados, acumulan un valor inferior a 8000 bits por segundo, el siguiente ping, ya hace que se sobrepase ese valor (en 1 segundo), y por eso es descartado. Y nuevamente se repite el proceso contabilizando los 8000 bits que pueden ser recibidos por segundo, si nuevamente se supera el límite, el siguiente mensaje es descartado. ¿Cuál es el beneficio de esto?… que, si muchos dispositivos están mandando mensajes ICMP a tu CPU, CoPP los va descartar si es que se sobrepasan el límite, si no controlas esto, y recibes muchísimos mensajes/tráfico ICMP por segundo, tu CPU se va saturar, va llegar al 100% de uso, y vas a comenzar a sentir los problemas de rendimiento de tu dispositivo.
El limitar ICMP en la vida real, yo lo veo necesario debido a que es un protocolo que no lo restringimos de manera muy estricta, debido a sus propiedades en la ayuda de resolución de problemas. Por lo tanto, al ser un protocolo utilizando de manera abierta por cualquier host hacia cualquier host, el riesgo de ataques que afecten al CPU de cualquier equipo es mayor. Acá no tiene nada que ver ICMP, el propósito es proteger el CPU independiente del tráfico que venga.

Respecto a tu segunda consulta, esto lo vemos en la clase, puedes hacer un «exceed-action trasmit», e ir analizando con el comando «show policy-map control-plane» cuantos paquetes exceden tu límite configurado, si tienes paquetes que exceden el límite, ya incrementas la cantidad de bps permitidos, y nuevamente vas realizando la verificación. Haces una y otra vez el ejercicio hasta que ya no tengas paquetes excedidos, y ahí ya tendrás el tráfico que recibe tu CPU en condiciones normales de funcionamiento.

Respecto a restringir SSH, y Telnet, esto puede servir para evitar ataques de fuerza bruta o de denegación de servicio. Sin embargo, en la vida real hay soluciones más prácticas y útiles para proteger nuestros accesos remotos. Además recuerda que SSH no solamente es utilizado para accesos remotos, puede ser utilizado por ejemplo para transferencia de archivos con SCP, así que ahí también podrías protegerte respecto a algún tráfico no deseado. Personalmente no he visto esto implementando respecto a los protocolos que mencionas.

Finalmente si, afectaría en el rendimiento de los protocolos de enrutamiento, pero hay considerar diferentes situaciones; considera que tienes un protocolo de enrutamiento configurado con un router vecino que NO es de tu propiedad, supongamos EIGRP… y tienes el mismo protocolo de enrutamiento de manera local; tal vez quieres evitar que por cualquier tipo de problema ya sean bugs, o errores de configuración, los paquetes EIGRP DE TU VECINO afecten a tu router; de esta manera solo rechazarías paquetes extras con ese vecino, sin afectar el enrutamiento que tengas localmente con tus propios dispositivos.

Saludos! =)