GSR接收访问控制列表.PDFVIP

GSR ：接收访问控制列表 目录 简介 GRP 保护 性能影响 语法 基本模板和 ACL 示例 rACL 和分段数据包 风险评估 附录和备注 接收邻接和传送的数据包 部署指南 部署示例 备注 相关信息 简介 本文档介绍了一种称为接收访问控制列表 (rACL)1 的新安全功能，并给出了有关 rACL 部署的建议和准则。通过防止路 由器的千兆路由处理器(GRP)处理多余和潜在恶毒数据流，接收ACL能够用于增强Cisco 12000路由 器安全。接收 ACL 作为一个特殊的放弃被添加到 Cisco IOS® 软件版本 12.0.21S2 的维护扼杀中 ，并集成到了 Cisco IOS 软件版本 12.0(22)S 中。 GRP 保护 千兆交换路由器(GSR)接收的数据可以分开成两个大类别： 经由转发路径通过路由器的数据流。 必须经由接收路径发送到 GRP 以供进一步分析的数据流。 在正常运行中，大部分数据流只是经过GSR en route，流向其它目的地。然而，GRP必须处理特定 类型的数据，主要是路由协议、远程路由器访问和网络管理数据流(例如简单网络管理协议 [SNMP])。除上述数据流以外，其他第 3 层数据包也可能需要 GRP 的处理灵活性。这将包括某些 IP 选项和某些形式的 Internet 控制消息协议 (ICMP) 数据包。参见接收邻接信息包和丢弃信息包的 附录，了解有关rACL和GSR 接收路径数据流的详细信息。 GSR 有多个数据路径，每个路径分别处理不同形式的数据流。转接流量从进入线路卡(LC)先转发到 光纤，然后转发到输出卡上，为下一跳交付做准备。除转接流量数据路径外，GSR还提供要求本地 处理数据流的另外二条路径：LC 到 LC CPU 以及 LC 到 LC CPU 到结构再到 GRP。下表列出了几 个常用功能和协议的路径。 流量类型 数据路径 正常（中转）数据流 LC 到结构再到 LC LC 到 LC CPU 到 路由协议/SSH/SNMP 结构再到 GRP ICMP Echo (ping) LC 到 LC CPU 记录 在处理从 LC 发往 GRP 本身的数据流时，GSR 路由处理器的容量比较有限。如果大量数据需要传 送到 GRP，该数据流可能会使 GRP 过载。这将造成一次有效的拒绝服务 (DoS) 攻击。GRP 的 CPU 力求跟上数据包检查速度，并且开始丢弃数据包，使输入保留和选择性数据包丢弃 (SPD) 队 列泛洪。应该保护2个GSR三个方案，能起因于DOS攻击处理在路由器的GRP。 正常优先级泛洪导致的路由协议数据包丢失 正常优先级泛洪导致的管理会话（Telnet、Secure Shell [SSH]、SNMP）数据包丢失 伪装的高优先级泛洪导致的数据包丢失 正常优先级溢出阶段的路由协议数据所带来的潜在损失可以通过静态数据流分类和从LC上限制定向 于GRP的数据流速率实现。遗憾的是，此方法存在局限性。如果进攻是通过几个LC交付的，要保护 高优先级路由协议数据，仅限制目的地为GRP的正常优先级数据流速率是不够的。将丢弃正常优先 级数据以提供保护的阈值降低只能加剧正常优先级泛洪导致的管理数据流损失。 如下图所示，在数据包传输到 GRP 之前，会在每个 LC 上执行 rACL。 需要对 GRP 采用一种保护机制。由于接收邻接，rACL 会影响发送到 GRP 的数据流。接收邻接是 发往路由器 IP 地址的数据流所拥有的 Cisco 快速转发邻接，例如广播地址或配置在路由器接口上的 3 地址。欲了解更详细的信息 请参阅在接收邻接和被踢的数据包的附录部分。 进入 LC 的数据流首先会发送到 LC 的本地 CPU，需要由 GRP 进行处理的数据包会排队等候转发 至路由处理器。接收ACL在GRP创建，并流向不同LC的CPU。数据流从 LC CPU 发送到 GRP 之前 ，会与 rACL 进行比较。如果允许，数据流通到GRP，而其它数据流被拒绝。在执行 LC 到 GRP 速 率限制功能之前，会先检查 rACL。由于rACL用于所有接收邻接，由LC CPU处理的部分信息包(例 如ECHO请求)也要进行rACL过滤。设计 rACL