Tweet
[CCNP] Hiểu và Bảo mật cho CPU của Router/ Switch (Control Plane Protection)
CPU của máy laptop của bạn chạy lên đến 100% làm máy bị lag, nóng... Bạn có thể vào Task Manager để kill bớt ứng dụng. Nhưng nếu CPU của Router hoặc Switch của bạn đang ở mức 100%, mạng bị tê liệt. Bạn có biết cách nào để giải quyết không? Hãy đọc ngay bài này trong giáo trình CCNP ENCOR/SCOR nhé.
1. Tổng quan về chức năng điều khiển (Routing)
Như trong các bài viết trước đã đăng trong cộng đồng VnPro, kiến trúc của thiết bị mạng (router/switch), lưu lượng được xử lý qua ba chức năng chính: mặt phẳng dữ liệu (data plane), mặt phẳng điều khiển (control plane) và mặt phẳng quản lý (management plane).
Mặt phẳng điều khiển (Control Plane) là thành phần xử lý lưu lượng gửi trực tiếp đến thiết bị mạng, ví dụ như các bản tin định tuyến (OSPF, EIGRP), gói keepalive, hoặc các gói có IP đích là địa chỉ của router.
Để tối ưu hiệu suất, router sử dụng mặt phẳng dữ liệu để xử lý các gói tin chuyển tiếp – dựa trên bảng chuyển tiếp (FIB) và công nghệ như Cisco Express Forwarding (CEF). Điều này giúp giảm tải cho CPU, vì gói tin không cần xử lý tầng ứng dụng.
💡 Điểm mấu chốt: Đây không phải là lưu lượng được router chuyển tiếp đến thiết bị khác, mà là lưu lượng mà chính router cần phân tích và phản hồi – do đó nó yêu cầu tài nguyên CPU (Route Processor). Nhắc lại cho các bạn: tất cả những traffic của routing protocol đều do CPU của router đảm trách xử lý hết. Nếu bây giờ, attacker gửi hàng triệu gói tin Hello đến Router của các bạn thì CPU của các bạn sẽ bị chiếm 100%.
Tuy nhiên, khi một gói tin nhắm trực tiếp đến router – như:
2. Mục tiêu của Bảo mật Mặt phẳng Điều khiển
Control Plane Security là việc áp dụng các biện pháp kiểm soát để:
3. Control Plane Policing (CoPP) và Control Plane Protection (CPPr)
✅ Control Plane Policing (CoPP)
– SSH/HTTPS: Lúc này chúng ta cấu hình để Router chỉ cho phép tối đa 100 gói tin/giây
– SNMP hoặc syslog: Lúc này chúng ta chỉ cấu hình để Router chỉ chấp nhận 200 gói/giây
– Gói vượt ngưỡng đã qui định: bị drop
🎯 Mục tiêu CoPP: Bảo vệ CPU khỏi bị bão hòa do lưu lượng giả mạo hoặc không cần thiết.
✅ Control Plane Protection (CPPr)
Là phần mở rộng của CoPP, cho phép phân loại lưu lượng đến CPU tinh vi hơn, chia thành 3 lớp:
4. Xác thực Giao thức Định tuyến
Các giao thức định tuyến như OSPF, EIGRP, BGP cần xác thực để ngăn kẻ tấn công giả dạng router nhằm:
5. Selective Packet Discard (SPD)
SPD là một cơ chế nội bộ của IOS/IOS-XE/IOS-XR dùng để:
Tổng kết và Thực hành
🎓 Bài học rút ra:
CPU của máy laptop của bạn chạy lên đến 100% làm máy bị lag, nóng... Bạn có thể vào Task Manager để kill bớt ứng dụng. Nhưng nếu CPU của Router hoặc Switch của bạn đang ở mức 100%, mạng bị tê liệt. Bạn có biết cách nào để giải quyết không? Hãy đọc ngay bài này trong giáo trình CCNP ENCOR/SCOR nhé.
1. Tổng quan về chức năng điều khiển (Routing)
Như trong các bài viết trước đã đăng trong cộng đồng VnPro, kiến trúc của thiết bị mạng (router/switch), lưu lượng được xử lý qua ba chức năng chính: mặt phẳng dữ liệu (data plane), mặt phẳng điều khiển (control plane) và mặt phẳng quản lý (management plane).
Mặt phẳng điều khiển (Control Plane) là thành phần xử lý lưu lượng gửi trực tiếp đến thiết bị mạng, ví dụ như các bản tin định tuyến (OSPF, EIGRP), gói keepalive, hoặc các gói có IP đích là địa chỉ của router.
Để tối ưu hiệu suất, router sử dụng mặt phẳng dữ liệu để xử lý các gói tin chuyển tiếp – dựa trên bảng chuyển tiếp (FIB) và công nghệ như Cisco Express Forwarding (CEF). Điều này giúp giảm tải cho CPU, vì gói tin không cần xử lý tầng ứng dụng.
💡 Điểm mấu chốt: Đây không phải là lưu lượng được router chuyển tiếp đến thiết bị khác, mà là lưu lượng mà chính router cần phân tích và phản hồi – do đó nó yêu cầu tài nguyên CPU (Route Processor). Nhắc lại cho các bạn: tất cả những traffic của routing protocol đều do CPU của router đảm trách xử lý hết. Nếu bây giờ, attacker gửi hàng triệu gói tin Hello đến Router của các bạn thì CPU của các bạn sẽ bị chiếm 100%.
Tuy nhiên, khi một gói tin nhắm trực tiếp đến router – như:
- Gói OSPF Hello hoặc EIGRP Update
- Gói ICMP với địa chỉ đích là router. (ICMP cũng xếp vào control plane nhé. Ping nhiều router cũng bị mệt đó! Ping of Death đó, nhớ không?)
- Lưu lượng quản trị như SSH/HTTPS
2. Mục tiêu của Bảo mật Mặt phẳng Điều khiển
Control Plane Security là việc áp dụng các biện pháp kiểm soát để:
- Ngăn lưu lượng không mong muốn tiếp cận CPU
- Giới hạn tốc độ xử lý các gói đến
- Ưu tiên xử lý lưu lượng thiết yếu (như định tuyến, keepalive)
- CoPP / CPPr
- Xác thực định tuyến
- Selective Packet Discard (SPD)
3. Control Plane Policing (CoPP) và Control Plane Protection (CPPr)
✅ Control Plane Policing (CoPP)
- Đây là một kỹ thuật lọc và giới hạn tốc độ (rate-limit) lưu lượng đến mặt phẳng điều khiển.
- CoPP hoạt động giống như QoS cho control plane: nó xác định rõ loại lưu lượng nào được chấp nhận, loại nào bị bỏ qua.
– SSH/HTTPS: Lúc này chúng ta cấu hình để Router chỉ cho phép tối đa 100 gói tin/giây
– SNMP hoặc syslog: Lúc này chúng ta chỉ cấu hình để Router chỉ chấp nhận 200 gói/giây
– Gói vượt ngưỡng đã qui định: bị drop
🎯 Mục tiêu CoPP: Bảo vệ CPU khỏi bị bão hòa do lưu lượng giả mạo hoặc không cần thiết.
✅ Control Plane Protection (CPPr)
Là phần mở rộng của CoPP, cho phép phân loại lưu lượng đến CPU tinh vi hơn, chia thành 3 lớp:
- Host subinterface: Lưu lượng đến đích là router (như SSH, Telnet).
- Transit subinterface: Gói tin chuyển tiếp yêu cầu xử lý CPU do có IP options hoặc không phân giải được.
- CEF Exceptions: Gói tin hệ thống như TTL hết hạn, ICMP unreachable, keepalive.
4. Xác thực Giao thức Định tuyến
Các giao thức định tuyến như OSPF, EIGRP, BGP cần xác thực để ngăn kẻ tấn công giả dạng router nhằm:
- Tiêm thông tin sai lệch vào bảng định tuyến
- Thu thập thông tin định tuyến
- Chuyển hướng lưu lượng về thiết bị của họ
- OSPF Authentication: MD5/SHA hoặc IPsec
- EIGRP Authentication
- BGP TTL Security + MD5 Authentication
5. Selective Packet Discard (SPD)
SPD là một cơ chế nội bộ của IOS/IOS-XE/IOS-XR dùng để:
- Ưu tiên xử lý các gói tin quan trọng: như bản tin định tuyến, gói keepalive lớp 2.
- Loại bỏ các gói không thiết yếu khi CPU quá tải.
- Gói đáng tin cậy và quan trọng → xử lý trước
- Gói thường hoặc đáng nghi → loại bỏ
Tổng kết và Thực hành
| Kỹ thuật | Mục tiêu chính | Ưu điểm |
| CoPP | Giới hạn lưu lượng đến CPU | Triển khai đơn giản, hiệu quả |
| CPPr | Phân loại lưu lượng đến chi tiết | Tùy chỉnh sâu, chính xác |
| Routing Auth | Ngăn router giả mạo | Tăng độ tin cậy mạng |
| SPD | Ưu tiên lưu lượng quan trọng | Tự động, không cần cấu hình |
🎓 Bài học rút ra:
- CPU của router là tài nguyên quý – phải được bảo vệ khỏi lưu lượng rác và tấn công điều khiển.
- Bảo mật phần Routing/CPU là lớp đầu tiên của một kiến trúc bảo mật mạng hiệu quả.
- Trong các kỳ thi CCNP/CCIE, hiểu rõ vai trò của từng kỹ thuật (CoPP, CPPr, SPD, Auth) là điều bắt buộc.