CoPP(Control Plane Policing)
정의
쉬움 : 비정상 패킷/행위로 인한 네트워크 장비의 CPU 과부하를 막을 수 있는 기술.
보통 : Control Plane으로 들어가는 패킷에 대해 QoS를 걸어 CPU 과부하를 막음.
어려움 : The Cisco NX-OS device provides CoPP to prevent DoS attacks from impacting performance. Such attacks, which can be perpetrated either inadvertently or maliciously, typically involve high rates of traffic destined to the supervisor module or CPU itself.
NX-OS라고 적혀있지만 NX-OS뿐 아니라 CoPP가 적용 가능한 장비라면 공통적으로 적용되는 말이다.
위에서 언급한 DoS 공격 유형은 아래와 같다.
◯ Examples of DoS attacks include:
◾ Internet Control Message Protocol (ICMP) echo requests
◾ IP fragments
◾ TCP SYN flooding
잘 보면 ICMP echo request도 있다.
그래서... 이 기술이 적용된 스위치IP로 핑 쳐보면 가끔 핑 빠짐이 있는 것을 볼 수 있다.
이 현상은 CoPP로 인해 발생하는 것이지 네트워크 장비에 문제가 있는게 아니다.
그래서 트러블 슈팅할때 네트워크 장비로 핑 쳤을때 핑 빠짐이 발생하면 CoPP로 인해 발생한 것인지를 확인해 볼 필요성이 있다.
Cisco Nexus 9000 Series NX-OS Security Configuration Guide, Release 6.x - Configuring Control Plane Policing [Cisco Nexus 9000
Configuring Control Plane Policing
www.cisco.com
CoPP on Nexus 7000 Series Switches
This document describes what, how, and why Control Plane Policing (CoPP) is used on the Nexus 7000 Series Switches, including the F1, F2, M1, and M2 Series Modules and line cards (LC). It also includes best practice policies, as well as how to customize a
www.cisco.com
댓글