网络设备CPU保护策略CPP白皮书.docx

网络设备CPU保护策略CPP白皮书 前言 摘要 CPU保护策略（CPU Protect Policy，CPP）用于避免网络设备的CPU收到网络上不必要和具有恶意攻击目的的数据流，提高网络设备自身安全性能，还可以通过设置QoS过滤机制来保护网络设备的控制平台（Control Plane ，简称CP）在遭受攻击和高负载的情况下仍能保持数据转发和协议状态的稳定。本文阐述了目前控制平台策略的现状和发展趋势，以及目前锐捷网络产品采用的CPP技术，剖析了增加cpu保护策略的网络设备对于提高性能所起的作用。 关键词 CPP、DoS、CP 缩略语清单 缩略语 英文全名 中文解释 CPP CPU Protect Policy CPU保护策略 CP Control Plane 控制平面 目录 TOC \o 1-3 \h \z \u 1 概述：CPP的提出 1 1.1 网络交换机的设计特点 1 1.2 协议的工作特点或缺陷 2 2 技术介绍 3 2.1 原理 3 2.2 实现方案 4 3 锐捷S86系列CPP技术特点 6 3.1 配置灵活方便 6 3.2 实时显示 6 3.3 配置实例 7 3.4 分布式CPP 7 4 CPP技术性能测试 9 5 结束语 18 概述：CPP的提出 随着交换机应用的逐渐普及，以及网络攻击的不断增多，越来越需要为数据交换机提供一种保护机制，对发往交换机CPU的数据流，进行流分类和优先级分级处理，以及CPU的带宽限速，以确保在任何情况下CPU都不会出现负载过高的状况，从而能为用户提供一个稳定的网络环境，这种保护机制就是CPU Protect Policy，简称CPP。 目前由于协议或者某些应用的需要，要求将报文trap到CPU进行处理，但是当同时有大量报文送到CPU（这种情况往往是恶意的），超过CPU负载时，引起CPU利用率高，这样就可能使一些正常需要执行的任务被长时间挂起，造成交换机瘫痪并导致网络中断。目前CPU保护问题主要包括以下几点： 网络交换机的设计特点 从交换机的体系结构来看，交换机有两部分组成：ASIC芯片用于高速的转发数据包，而CPU主要是来处理一些更为复杂的事务，对网络管理方面任务和请求进行处理；处理各种协议报文，包括L2管理报文如BPDU、GVRP、ARP；L3管理报文如RIP、PIM、OSPF、VRRP、IGMP、ICMP；数据报文，包括未知单播IP数据包，未知组播的数据报文，RPF失败报文，各种错误报文。 常见的DoS攻击实际上就是让主机没有资源去应付这些正常的请求，把大量的资源都用在处理那些攻击性质的请求和事务上，从而导致系统的不可用。 当前网络中经常受到各种类型病毒的攻击，例如蠕虫病毒、尼姆达杀手、Slammer等蠕虫病毒。而它们对交换机的冲击，经常是利用了流转发技术的三层交换机的工作原理，第一个数据包进来的时候，三层交换机要像路由器那样通过查找路由表，确定如何转发，并形成一个用ASIC完成转发查找的硬件流转发表。感染Slammer等蠕虫病毒的计算机会在很大的一段地址空间中，逐个发送指向不同IP地址的数据包。这种行为是恶意的。这样的操作会导致交换机的硬件流转发表溢出，导致CPU资源的大量浪费，甚至使交换机的CPU资源完全耗尽。类似的情况还有ARP请求，一个交换机收到了Slammer病毒产生的很多数据包，其目的网段就指向交换机连接的一个端口，交换机并不知道这些目的IP地址并不存在，会发很多ARP请求，期待对方给予回应。这些ARP请求也会占用CPU资源。类似的情况还有很多，比如发送大量的错误包，对交换机的Web管理界面、Telnet管理进行DoS攻击，对交换机的网管系统进行ICMP的DoS攻击和SNMP的DoS攻击。 协议的工作特点或缺陷 最初的网络设计者在设计时更多地考虑如何保证网络的联通性，而很少考虑网络的安全性。同样，很多专家开发了能够自动发现拓扑结构、自动维系网络设备关系的协议，如路由协议，这些协议能够减少网管员的工作量，提高网络的可用性，但是很多协议存在潜在漏洞，使网络面临被攻击的风险。 生成树攻击 假如在网络中用一台PC机模拟生成树协议，不断发布BPDU包，就会导致一定范围内的生成树拓扑结构定期地发生变化。虽然没有流量，但是由于生成树不稳定，仍会导致整个网络不断发生动荡，使网络不可用，使网络设备的CPU压力剧增。 路由协议攻击 另一个类似的攻击就是使用路由协议发起的攻击，这一点更容易实现，虽然一些路由协议使用了加密和认证算法，来传递路由的更新信息，但是目前网络很少真正启用这些功能。假如网络设计不合理，路由器配置不妥当，很容易让用户在一个原本应该是STUB的网段里，向整个网络发送路由信息，对整个网络的动态