标签:本质 一个 lan 特定 路由器 主机 定向 再处理 queue
除了CoPP外,管理员还可以通过使用控制面保护(Control Plane Protection,CPPr)机制抵御针对控制面的攻击,从本质上讲,CPPr属于CoPP的扩展,在CPPr中控制面接口被划分为一个聚合接口与3个子接口,流量从聚合接口进入路由器,再从其中一个子接口出去,这种方式有助于实现更为精准的流量控制。
3种子接口:
? 控制面主机子接口:这种子接口接收所有发给路由器的IP流量。流量的目标地址为路由器,由后者进行处理。
? 控制面传输子接口:这种子接口接收所有由路由器切换过来的IP流量,流量的目的地址不是路由器,它只是经由路由器传输。
? 控制面CEF例外子接口:这种子接口接收两类流量,一种是重定向到CEF包转发路径,以进程切换方式处理的输入属性流量;另一种是通过接口驱动程序直接进入输入队列的流量(ATP,二层存活信息以及所有非IP主机流量)。
CPPr还包括两种根据指定协议过滤流量的特性,二者简述如下:
? 端口过滤(port filtering):丢弃被引导到闭合端口或者监听端口的数据包。
? 队列阈值(queue thresholding):在进程级显示特定协议能容纳的未处理数据包。
CPPrx先处理队列阈值特性,再处理端口过滤特定。
注意:仅有控制层面主机子接口支持上述两种特性。
标签:本质 一个 lan 特定 路由器 主机 定向 再处理 queue
原文地址:https://www.cnblogs.com/MomentsLee/p/10162791.html
