Cisco网络基础保护框架（一）

　　其实，我们知道NTP Cisco网络基础保护(NetworkFoundationProtection,NFP)框架针对保护网络基础设施提供了全面的指导。这些指导形成了服务能够持续交付的基础。NTP在逻辑上将路由器和交换机分为3个功能区域。

　　其实，对于我们所介绍的网络基础保护，控控制平面:负责正确地路由数据。控制平面的流量由设备生成的数据包组成,这些数据包是网络运行所需要的,比如ARP消息交换或OSPF路由通告。国管理平面:负责管理网络元素。由使用进程和协议(比如Telnet、ssh、TFTP、FTP、AAA、SNMP、syslog、TACACS+、RADIUS和NetFlow)的网络设备或网络管理工作站生成的数据平面(转发平面):负责转发数据。数据平面的流量通常由用户生成的在端点工作站(endstation)之间转发的流量组成。

　　大多数流量借助数据平面穿越路由器或交换机。数据平面的数据包通常在快速交换缓存中处理。控制平面的流量由设备生成的数据包组成,这些数据包是网络运行所需要的。控制平面的安全可以通过下属特性来实施CiscoAutosecure:CiscoAutosecure提供了一步到位的设备锁定的特性,来保护控制平面以及管理平面和数据平面。这是一个从CLI来启动的脚本,可以配置路由器的安全姿势(securityposture)该脚本能够禁用不必要的系统进程和服务。它首先提出解决安全漏润的建0议,然后再修改路由器配置。

　　路由协议认证:路由协议认证,或者是邻居认证,可以防止路由器接受欺诈性的路由更新信息。大多数路由协议都支持邻居认证控制平面监管(ControlPlanePolicing,CoPP)CoPP是一个iscoiOS特性,允许用户控制由路由处理器或网络设备来处理的流量CoP用来防止不必要流量通入路由处理器。CoPP特性将控制平面作为一个具有入端口(输入)和出端口(output)的单独实体来对待。

　　小编结语：其实，我们可以在控制平面的入端口和出端口上建立和关联一组规则。CoP包含如下特性:控制平面监管让用户配置一个QoS过滤器来管理控制平面数据包的流量。这可以防止控制平面收到侦查攻击和DoS攻击。那么下一节我们将会继续介绍网络基础的保护。