Кратко — двухслойный подход: 1) отбросить/ограничить нежелательный трафик как можно раньше (в ASIC), 2) явно разрешить и тонко ограничить только ту часть трафика, которой нужно попадать в CPU (routing engine / control plane). Ниже — набор мер и затем эквиваленты Cisco CPPr/CoPP у популярных вендоров.
Основные меры защиты CPU (control plane)
- Control Plane Policing (CoPP) / rate‑limit на пакеты, направленные в CPU: классификация видов трафика и применение policer/queue (rate/shaping) с whitelist для важных протоколов (ARP, STP, BGP, OSPF, ICMP для мониторинга и т.д.).
- Аппаратные ACL (hardware ACLs) / ACL на interface/VLAN для отброса в ASIC, чтобы пакеты не доходили до CPU.
- Control‑plane ACL / local‑in / management‑plane policy: разрешать управление только с доверенных адресов/интерфейсов (OOB).
- Storm control / broadcast/multicast suppression: ограничить уровень широковещательных и мультикастовых фреймов.
- DHCP snooping, IP/MAC binding, Dynamic ARP Inspection, BPDU Guard / STP protections — чтобы предотвратить внутренние L2‑флуды и подделку.
- uRPF / anti‑spoofing: отброс пакетов с поддельным источником.
- Фильтрация L3 протоколов на границе (ACL на распределительных и пограничных устройствах).
- Изолированный OOB‑management интерфейс, отключение ненужных сервисов и протоколов на management plane.
- Мониторинг, алерты и тестирование: sFlow/NetFlow/packet captures, baseline CPU и пороговые срабатывания.
- Трайнеры: резервирование CPU/приоритеты (если платформа поддерживает) и разграничение производительности control/forwarding plane.
Как это реализовано у основных вендоров (аналогии Cisco CoPP/CPPr)
- Cisco
- IOS/IOS‑XE: Control Plane Policing (CoPP) — policer для CPU.
- NX‑OS: Control Plane Protection (CPPr) + CoPP‑подобные механизмы (классификация/полисинг/ACL на control plane).
- Поведение: классифицирует пакеты, направленные в CPU (host‑bound), применяет rate‑limit, допускает «critical» протоколы.
- Juniper (Junos)
- Идентичная концепция: Firewall filters applied to the routing engine / “protecting the RE” (filters на fxp0/lo0/интерфейс RE) + policers.
- Часто называют “protecting the RE / control‑plane protection” — применяют firewall‑filters с action policer или discard.
- Рекомендуется whitelist важных сервисов и ограничивать прочий трафик.
- Arista (EOS)
- Поддерживает Control Plane Policing и Control‑Plane ACL (CPACL). Часто документируется как “Control Plane Protection / CPU protection”.
- Реализация: ACLs/CoPP rules, применяемые на host interface (попадают в ASIC), policers.
- Huawei / H3C
- Есть функция CPU protection / control plane protection (называется “CPU protection”, “control‑plane protection” или “traffic policing to CPU”).
- Можно задавать ACL/policer для сетевого процессора, настраивать whitelist для критичных протоколов.
- HPE / Aruba / Comware
- На современных платформах — Control Plane Protection / CoPP (иногда под названием CPP или CPU protection).
- HPE ProVision/ArubaOS‑CX также имеет management‑plane ACLs и rate‑limiting на пакеты к CPU.
- Dell / Force10 / OS10
- Поддержка Control Plane Policing / control plane ACLs; при необходимости — hardware ACLs, drop в ASIC.
- Fortinet (FortiGate / FortiSwitch)
- FortiOS: “Local‑in Policy” (правила для трафика, направленного к самим устройствам) + DoS/Traffic Shaping/Rate limit.
- FortiSwitch/FGT используют политики, которые отвергают нежелательный traffic to management plane.
- MikroTik (RouterOS / SwOS)
- Используют firewall (input chain) и raw‑table (prerouting) с dst‑address-type=local для фильтрации трафика к роутеру/коммутатору, плюс limit/connection‑limits.
- Рекомендуется отбрасывать в raw как можно раньше и использовать connection limit/rate limit.
- Cumulus Linux / SONiC / Linux‑based (вендоры на Linux)
- Делают это через netfilter (iptables/nftables), tc (traffic control) или native control‑plane ACL (например в SONiC — ACL table для control plane / HOST_IF) + policers.
- Практика: создать правила в raw/prerouting, ограничить rate и whitelist management‑hosts.
- Brocade / Ruckus (MLX, ICX)
- Поддерживается Control Plane Protection / CoPP / ACLs для CPU; функции называются по-разному, но суть — классификация и полисинг host‑bound трафика.
- Extreme Networks
- ExtremeXOS/SLX: есть механизмы Control Plane Protection / CPU policing / management ACLs; применяют hardware ACL и policer.
- Nokia (Alcatel‑Lucent SROS)
- SROS поддерживает фильтры и rate‑limit для трафика к control plane (называется фильтрация/ACL для CPU или control plane policing).
Практические рекомендации по настройке
1. Составьте whitelist: список необходимых для CPU протоколов (внутри сети) и источников (NMS, BGP peers, SNMP/NetFlow collectors).
2. Для всего остального примените жесткие лимиты (например, отдельные классы: critical — no limit, safe — небольшая полоса, bulk — drop).
3. Drop/Reject спуфинг на границе (uRPF, ACL), включите DHCP snooping/DAI, BPDU Guard.
4. Включите аппаратные ACL, чтобы фильтрация выполнялась в ASIC, а не через CPU.
5. Перенесите management в отдельную OOB‑сеть и запретите управление через data‑plane интерфейсы.
6. Тестируйте правила (staging) и отслеживайте лог/метрики (CPU, counters) — избегайте чрезмерной блокировки легитимного трафика (BGP/OSPF heartbeat и т.п.).
7. На Linux‑базированных платформах используйте raw таблицу и tc для раннего отброса; на маршрутизаторах — фильтры RE/lo0.
Заключение
Практически все современные вендоры предоставляют аналоги Cisco CoPP/CPPr — под разными названиями (Control Plane Protection, CPU protection, Local‑in policy, firewall filters to RE и т.д.). Суть одна: классифицировать пакеты, направляемые в CPU, и применять аппаратный полисинг/ACL с whitelist критичных сервисов. Для надёжной защиты — комбинируйте аппаратные ACL, CoPP/CPPr‑правила, L2/L3 защиту (DHCP snooping, uRPF) и отделённый OOB доступ.
Если нужно, могу:
- привести пример набора правил CoPP/ACL для вашей платформы (укажите модель/ОС),
- составить пример whitelist‑политики для BGP/OSPF/ARP/ICMP/SNMP.