Resolución de problemas con CoPP


Nota: Lastimosamente el contenido completo solo está disponible para miembros… por favor suscríbete

¡PARTICIPEMOS!

Si te quedaron dudas de la lección, escríbela a continuación y así todos podemos participar y ayudarte.
¿Quieres participar en los debates?… por favor suscríbete

NUESTROS CURSOS Foros Resolución de problemas con CoPP

Etiquetado: , ,

Viendo 3 entradas - de la 1 a la 3 (de un total de 3)
  • Autor
    Entradas
  • #34991
    AdminNG
    Superadministrador
    #39237
    ACG
    Participante

    Hola Alvaro, saludos.

    Entiendo que un CoPP permitira limitar el tráfico que va al Panel de Control de un dispositivo, y asi reducirle carga de trabajo o evitar ataques maliciosos.

    He visto varios ejemplos de aplicación de CoPP con un Class-map y ACL para limitar ICMP; sin embargo no termino de entender la logica de limitar ICMP cada 8000 bits.

    Ejemplo, al aplicar un CoPP que limita ICMP a 8000 bips, consigo el siguiente patron al hacer ping al router:

    R2#ping 192.168.1.1 source gigabitEthernet 0/0 repeat 60
    Type escape sequence to abort.
    Sending 60, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
    Packet sent with a source address of 192.168.1.2
    !!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!.!!!!!!!!!!!!!!.!!!!!!!!!!!!!
    Success rate is 95 percent (57/60), round-trip min/avg/max = 4/13/32 ms

    Falla un ping cada 15 intentos aproximadamente. Si hago una captura en Wireshark, por cada ping tengo un request y un reply, con un valor de frame de 912 bit cada uno.
    Si tomo en cuenta solo los request (in), son 8 request, multiplicado por 912 bits = 7296 bits, el cual es un aproximado del limite configurado de 8000. ¿¿Es correcto??

    Sin embargo, el ping continua operando hasta llegar nuevamente a sumar 15 ping, para botar un ping y continuar.

    Dudas:

    1) ¿Que sentido tiene esta aplicación de CoPP para ICMP, si el ping continua operando con una perdida periodica?

    2) ¿Que valores definir de CIR? entiendo que se debe hacer un EPC (Embedded Packet Capture) para evaluar el trafico cotidiano en el dispositivo y luego definir los limites.
    a. ¿Para telnet, ssh has visto alguna aplicación real y el motivo?
    b. Al limitar el trafico en protocolos IGP, ¿no estaria afectando la funcionalidad del protocolo?.
    c. ¿Que aplicación tiene limitar los bit de ICMP en un router?

    Gracias Alvaro!

    • Esta respuesta fue modificada hace 8 meses, 1 semana por ACG.
    #39241
    AlvaroM
    Superadministrador

    Hola Alfonzo!

    Respecto a tu primera y última consulta; la idea es que no se sobrepase cierta cantidad de tráfico en un determinado periodo (de manera más específica bits por segundo), entonces, esto significa que tu CPU no va recibir más de 8000 bits por segundo (en tu ejemplo). En tus mensajes ICMP, todos los que son procesados, acumulan un valor inferior a 8000 bits por segundo, el siguiente ping, ya hace que se sobrepase ese valor (en 1 segundo), y por eso es descartado. Y nuevamente se repite el proceso contabilizando los 8000 bits que pueden ser recibidos por segundo, si nuevamente se supera el límite, el siguiente mensaje es descartado. ¿Cuál es el beneficio de esto?… que, si muchos dispositivos están mandando mensajes ICMP a tu CPU, CoPP los va descartar si es que se sobrepasan el límite, si no controlas esto, y recibes muchísimos mensajes/tráfico ICMP por segundo, tu CPU se va saturar, va llegar al 100% de uso, y vas a comenzar a sentir los problemas de rendimiento de tu dispositivo.
    El limitar ICMP en la vida real, yo lo veo necesario debido a que es un protocolo que no lo restringimos de manera muy estricta, debido a sus propiedades en la ayuda de resolución de problemas. Por lo tanto, al ser un protocolo utilizando de manera abierta por cualquier host hacia cualquier host, el riesgo de ataques que afecten al CPU de cualquier equipo es mayor. Acá no tiene nada que ver ICMP, el propósito es proteger el CPU independiente del tráfico que venga.

    Respecto a tu segunda consulta, esto lo vemos en la clase, puedes hacer un «exceed-action trasmit», e ir analizando con el comando «show policy-map control-plane» cuantos paquetes exceden tu límite configurado, si tienes paquetes que exceden el límite, ya incrementas la cantidad de bps permitidos, y nuevamente vas realizando la verificación. Haces una y otra vez el ejercicio hasta que ya no tengas paquetes excedidos, y ahí ya tendrás el tráfico que recibe tu CPU en condiciones normales de funcionamiento.

    Respecto a restringir SSH, y Telnet, esto puede servir para evitar ataques de fuerza bruta o de denegación de servicio. Sin embargo, en la vida real hay soluciones más prácticas y útiles para proteger nuestros accesos remotos. Además recuerda que SSH no solamente es utilizado para accesos remotos, puede ser utilizado por ejemplo para transferencia de archivos con SCP, así que ahí también podrías protegerte respecto a algún tráfico no deseado. Personalmente no he visto esto implementando respecto a los protocolos que mencionas.

    Finalmente si, afectaría en el rendimiento de los protocolos de enrutamiento, pero hay considerar diferentes situaciones; considera que tienes un protocolo de enrutamiento configurado con un router vecino que NO es de tu propiedad, supongamos EIGRP… y tienes el mismo protocolo de enrutamiento de manera local; tal vez quieres evitar que por cualquier tipo de problema ya sean bugs, o errores de configuración, los paquetes EIGRP DE TU VECINO afecten a tu router; de esta manera solo rechazarías paquetes extras con ese vecino, sin afectar el enrutamiento que tengas localmente con tus propios dispositivos.

    Saludos! =)

Viendo 3 entradas - de la 1 a la 3 (de un total de 3)
  • Debes estar registrado para responder a este debate.