مقالات

آشنایی با قابلیت های محافظت از CPU در تجهیزات سیسکو (بخش اول)

آشنایی با قابلیت ها محافظت از CPU در تجهیزات سیسکو (بخش اول)

معرفی دسته بندی ترافیک های ارسالی

از منظر شبکه های تحت IP ترافیک های ارسالی به چهار دسته تقسیم میشوند:

Data Plane packet

این بسته ها، بسته های دیتای کاربران بوده و همواره دارای IP های ترانزیت بوده و مقصد این بسته ها معمولا سرویس های سازمان مانند http و ftp و یا کلاینت های سازمان میباشد. این بسته ها به صورت نرمال توسط مکانیزمهای Forwarding عادی ارسال میگردند. به صورت کلی این بسته ها CPU دستگاه را درگیر نکرده و با سرعت بالا توسط چیپ سیسکو Forward می‌‌شود.

Control Plane packet

این بسته ها معمولا توسط تجهیزات شبکه مانند روتر، فایروال و سوییچ ها تولید شده و بر خلاف بسته های دیتای کاربران مقصد این بسته ها تجیزات میانی شبکه بوده و هدف آنها برقراری ارتباط بین دستگاه های تحت شبکه میباشند. این بسته ها همواره به صورت مستقیم توسط CPU دستگاه پردازش میشوند. برای نمونه بسته های تولید شده توسط پروتکل هایی مانند ARP، OSPF  و BGP از این نوع می‌باشند.

Management Plane packet

این بسته ها بیشتر توسط پروتکل های مدیریت شبکه مانند SNMP، Telnetو SSH تولید میشوند و هدف از آنها دسترسی و مدیریت تجهیزات شبکه میباشد. این بسته ها نیز مانند گروه قبلی مستقیما و بدون واسطه توسط CPU دستگاه پردازش می‌شوند.

Service Plane Packet

این بسته ها از جنس بسته های Data Plane بوده اما نیازمند بررسی و تحلیل توسط CPU دستگاه میباشند. برای نمونه ترافیک های خاصی مانند GRE، IPsec و MPLS از این دسته بوده و معمولا در تمامی شبکه های این بسته های مشاهده می‌گردد. شکل زیر مسیر هر یک از این 4 دسته ترافیک را در داخل دستگاه را نشان می‌دهد.

.

آشنایی با قابلیت های محافظت از CPU در تجهیزات سیسکو (بخش اول)

دسته بندی بسته های ورودی از دید دستگاه سیسکو

Transit Packet

این بسته ها از نوع Data Plane ترافیک و Service Plane ترافیک می باشند که بر اساس متد های استاندارد مسیریابی بر اساس مقصد ارسال میشوند. در بیشتر موارد این نوع بسته ها بر اساس مکانیزم CEF ارسال میشوند که معمولا توسط چیپ ASIC موجود در این تجهیزات از قبیل سوئیچ 9300 سیسکو، دستگاه پردازش شده و سربار پردازشی بر روی CPU نخواد داشت. به این مسیر ارسال ترافیک اصطلاحا “Fast-Pat” میگویند.

Received Packet

این بسته ها معمولا از دو نوع Control Plane و Management Plane بوده و مقصد این بسته ها خود دستگاه میباشند. مقصد نهایی این بسته ها یک پردازش در IOS دستگاه بوده و پردازش این بسته ها مستقیما توسط CPU دستگاه handle می شود. در اصطلاح از لغت “Punt” جهت ارسال بسته ها از Fast Path به CPU استفاده می شود.

Exception IP and Non-IP Packet

این بسته ها از نوع بسته های خاص بوده که به دو صورت IP و Non-IP مشاهده می گردد. نوع اول بسته های IP بوده که دارای Option می باشد مانند بسته های با مقصد Unreachable و یا بسته های TTL Expire و نوع دوم بسته های غیر IP مانند CDP که هر دو نوع این بسته های مستقیماً توسط CPU دستگاه پردازش می شوند.

بسته هایی که CPU را درگیر میکنند مخرب هستند؟

در شرایط نرمال شبکه بیشتر ترافیک های ارسالی و دریافتی از نوع Data Plane بوده و توسط Fast Path مدیریت میشود و در این حالت توان پردازشی در وضعیت مطلوبی قرار دارد. زمانیکه ترافیک های از نوع Control Plane و Management Plane به صورت غیر نرمال ( مثلا به واسطه وجود Worm و Virus) در شبکه افزایش پیدا کند منابع پردازشی دستگاه صرف این ترافیک ها شده و دستگاه امکان اجرای سایر فراینده ها را نداشته و کارکرد آن مختل می‌گردد.
البته لازم به ذکر است بسته هایی که CPU را درگیر میکنند تنها بسته های مخرب نیستند گاهی اوقات به دلیل تنظیمات اشتباه در پیکربندی تجهیزات و یا توپولوژی اشتباه بسته های نرمال نیز مستقیما CPU  را درگیر می‌کنند.

روش های تامین امنیت روتر

ابزارهای زیادی جهت تامین امنیت روتر وجود دارد که در ادامه به توضیح آنها خواهیم پرداخت :

Interface ACL

استفاده از ACL یکی از قدیمی ترین روشها جهت تامین امنیت دستگاه بوده و با استفاده از ACL می توان در مقابل بسیاری از تهدیدات Data Plane و Control Plane در امان ماند اما با توجه به اینکه ACL در اینترفیس ها اعمال می‌شود.

ابزارهای زیادی جهت تامین امنیت روتر وجود دارد که در ادامه به توضیح آنها خواهیم پرداخت :

Interface ACL

استفاده از ACL یکی از قدیمی ترین روشها جهت تامین امنیت دستگاه بوده و با استفاده از ACL می توان در مقابل بسیاری از تهدیدات Data Plane و Control Plane در امان ماند اما با توجه به اینکه ACL در اینترفیس ها اعمال می‌شود بر روی دستگاه های با اینترفیس زیاد مدیریت ACL به چالش تبدیل شده و روش مناسبی جهت محافظت از منابع پردازشی نمی‌باشد.

Receive ACL

این مدل از ACL تنها بر روی دستگاه های سری 7500 و 12000 سیسکو وجود دارد که جزو رده محصولات High-End سیسکو قرار میگیرد که مدیریت راحت تری نسبت به Interface ACL داشته و نیاز نیست آنرا در اینترفیس ها اعمال نمود. با توجه به محدودیت سایر مدلها این روش نیز محدودیت ها خاص خود را دارد. برای نمونه یکی از محدودیت های آن اینست که نمی توان بر روی بسته های دریافتی Rate-limit انجام داد و تنها امکان Permit و Deny را داریم.

Control Plane Policing (CoPP)

این مکانیزم همانطور که در شکل مشاهده می کنیم دقیقا در Punt-Path اعمال شده و بر خلاف متد 2 علاوه بر بسته های دریافتی بر روی تمامی بسته ها امکان کنترل داریم. همچنین با توجه به استایل پیاده سازی و استفاده از MQC (پیکربندی ماژولار) در هنگام پیکربندی نیز ساده تر از ACL بوده و مدیریت و انعطاف بیشتری خواهیم داشت. لازم به ذکر است CoPP علاوه بر Permit و Deny امکان محدود سازی ترافیک را نیز دارد.

آشنایی با قابلیت های محافظت از CPU در تجهیزات سیسکو (بخش اول)

Local Packet Transport Services

این متد یکی از جدیدترین متدهای سیسکو جهت محافظت CPU در مقابل تهدیدها بوده که در IOS XR ارایه گردیده است. در این متد سیسکو بر اساس الگوهای از پیش تعریف شده خود و تحلیل ترافیک دریافتی از CPU دستگاه محافطت کرده و به این ترتیب منابع دستگاه همیشه در شرایط نرمال بوده و کارایی دستگاه مختل نمی‌گردد.

0 0 امتیازها
امتیازدهی به مقاله
مشترک شوید
اطلاع از
guest
0 نظرات
قدیمی ترین
جدید ترین دیدگاه با تعداد رای زیاد
بازخورد (Feedback) های اینلاین
نمایش تمام دیدگاه ها
برای دیدن نوشته هایی که دنبال آن هستید تایپ کنید.
0
دوست داریم نظرتونو بدونیم ، لطفا دیدگاهی بنویسیدx