网络工程 - N5K-5672 CoPP 问题 - 吾爱随笔录

N5K-5672 CoPP 问题

网络工程操作系统

2021-07-18 21:07:32

我有一个带有企业许可证的 N5K-5672UP，我执行这些命令来保护我的控制平面：

control-plane
service-policy input copp-system-policy-default

有2个问题：

当我执行 show run copp 时，它不显示任何内容，甚至当我用眼睛检查整个 show run 时，也没有 copp 配置。
当我向控制平面发送 TCP syn 攻击时，我的 CPU 使用率约为 %20-30，但我的 bgp 会话出现故障，我可以缓慢输入命令，怎么了？

这是 show copp status 输出：show copp status

Last Config Operation: service-policy input copp-system-policy-default
Last Config Operation Timestamp: 08:51:29 GMT Nov 21 2021
Last Config Operation Status: Success
Policy-map attached to the control-plane: copp-system-policy-default

谢谢你。

1个回答

根据https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/security/513_n1_1/b_Cisco_n5k_security_config_gd_513_n1_1/b_Cisco_n5k_security_config_gd_513_n10101010102

默认策略应用以下监管器配置：

policy-map type control-plane copp-system-policy-default
    class copp-system-class-igmp
      police cir 1024 kbps bc 65535 bytes 
    class copp-system-class-pim-hello
      police cir 1024 kbps bc 4800000 bytes 
    class copp-system-class-bridging
      police cir 20000 kbps bc 4800000 bytes 
    class copp-system-class-arp
      police cir 1024 kbps bc 3600000 bytes 
    class copp-system-class-dhcp
      police cir 1024 kbps bc 4800000 bytes 
    class copp-system-class-mgmt
      police cir 12000 kbps bc 4800000 bytes 
    class copp-system-class-lacp
      police cir 1024 kbps bc 4800000 bytes 
    class copp-system-class-lldp
      police cir 2048 kbps bc 4800000 bytes 
    class copp-system-class-udld
      police cir 2048 kbps bc 4800000 bytes 
    class copp-system-class-isis
      police cir 1024 kbps bc 4800000 bytes 
    class copp-system-class-msdp
      police cir 9600 kbps bc 4800000 bytes 
    class copp-system-class-cdp
      police cir 1024 kbps bc 4800000 bytes 
    class copp-system-class-fip
      police cir 1024 kbps bc 4800000 bytes 
    class copp-system-class-bgp
      police cir 9600 kbps bc 4800000 bytes 
    class copp-system-class-eigrp
      police cir 9600 kbps bc 4800000 bytes 
    class copp-system-class-exception
      police cir 64 kbps bc 4800000 bytes 
    class copp-system-class-glean
      police cir 1024 kbps bc 4800000 bytes 
    class copp-system-class-hsrp-vrrp
      police cir 1024 kbps bc 256000 bytes 
    class copp-system-class-icmp-echo
      police cir 64 kbps bc 3600000 bytes 
    class copp-system-class-ospf
      police cir 9600 kbps bc 4800000 bytes 
    class copp-system-class-pim-register
      police cir 9600 kbps bc 4800000 bytes 
    class copp-system-class-rip
      police cir 9600 kbps bc 4800000 bytes 
    class copp-system-class-l3dest-miss
      police cir 64 kbps bc 256000 bytes 
    class copp-system-class-mcast-miss
      police cir 256 kbps bc 3200000 bytes 
    class copp-system-class-excp-ip-frag
      police cir 64 kbps bc 3200000 bytes 
    class copp-system-class-excp-same-if
      police cir 64 kbps bc 3200000 bytes 
    class copp-system-class-excp-ttl
      police cir 64 kbps bc 3200000 bytes 
    class copp-system-class-default
      police cir 512 kbps bc 6400000 bytes

因此，如果我正确理解了您的 PCAP，您就可以模拟 HTTP 流量——这不是本政策的一部分。

也许您应该配置一个自定义策略，将监管应用于一般 TCP 流量。如果那是你想要的。

我认为您在配置中看不到它，因为它是默认策略。

其它你可能感兴趣的问题

上一篇在 VPN 隧道出口侧通过 SSH 连接到 ASA 下一篇RESTCONF 调用 GET/UPDATE 交换机端口为 CAT 3850 上运行的 IOS-XE 配置的 vlan