路由器部署Control Plane Policing的简要说明

路由器的控制引擎是整个设备的大脑，负责处理所有控制层面的信息。而网络黑客有可能伪装成特定类型的需要控制层面处理的数据包直接对路由设备进行攻击，因为路由器的控制引擎处理能力是有限，即使是最强大硬件架构也难以处理大量的恶意DDoS攻击流量，所以需要部署适当的反制措施，对设备控制引擎提供保护。
除rACL外，控制层面监管(CoPP，也称为思科控制面板策略)是另一种有效的保护手段，相比于rACL技术的只能对数据做通过或丢弃的简单处理，CoPP可以识别特定类型的流量并对其进行完全或一定程度的限制。在路由器上提供了可编程的监管功能，以限制目的地为控制层面处理器的流量的速度。

CoPP 和DCoPP的机制，在于可以通过对骨干路由器的控制平面访问能力的限制，使骨干路由器在遭受异常流量的攻击时，可以保证控制平面的安全性。 DCoPP机制是对CoPP机制的进一步扩展。

CRS-1平台上LPTS技术同CoPP技术的原理基本是一致的，不需要人工配置。
对于GSR或7600系列路由器则需要配置CoPP，部署CoPP需要对不同的业务流量配置限速，因此需要先做流量模型采集。

参考《Deploying Control Plane Policing》白皮书：
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.html
思科路由器配置指导书：http://www.luyouqiwang.com/cisco/
及配置guide：http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html

简单例子：
1、定义流量类型
!允许BGP：
access-list 100 permit tcp any any eq bgp
access-list 100 permit tcp any eq bgp any established
!允许网管的流量:
access-list 101 permit tcp x.x.0.0 0.0.31.255 219.158.0.0 0.0.31.255 eq telnet
!允许DNS:
access-list 101 permit udp host X.X.X.X eq domain X.X.0.0 0.0.31.255
!允许NTP：
access-list 101 permit udp X.X.X.0 0.0.0.63 X.X.0.0 0.0.31.255 eq ntp
!允许ICMP
access-list 101 permit icmp X.X.X.0 0.0.0.255 X.X.0.0 0.0.31.255
!允许ICMP
access-list 102 permit icmp any any ttl-exceeded
access-list 102 permit icmp any any port-unreachable
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any packet-too-big
!允许所有
access-list 103 permit ip any any
2、按流量类型分类
!
class-map match-all copp-routing
   match access-group 100