Vous êtes sur la page 1sur 6

Master1 SRS CCNP SEC SENSS 2019

CONTROL PLANE PROTECTION


MANAGEMENT PLANE PROTECTION

NB : ce TP est réalisé sur le simulateur Eve-ng.

PARTIE 1 : Control Plane Protection (08 pts)

Réalisez la topologie sur le simulateur Eve-ng, adressez les équipements et configurez

le routage eigrp.

M. DOMAN 1|Page
Master1 SRS CCNP SEC SENSS 2019

Question 1: control plane policing (02 pts)


Nous souhaitons limiter le nombre de paquets eigrp reçus par le routeur R2. Pour cela
nous allons configurer le control plane pour qu’il n’accepte que 50 paquets eigrp par
seconde. Voici les étapes de configuration :

• création d’une ACL ;


• création d’un class-map ;
• création d’un policy-map ;
• configuration du control plane virtual interface.

ip access-list extended ACL_CPP


création d’une ACL permit eigrp any any
exit

class-map match-all CM_CPP


création d’un class-map match access-group name ACL_CPP
exit

policy-map PM_CPP
match CM_CPP
création d’un policy-map
police rate 50 pps conform-action transmit exceed-action drop
exit

control-plane
configuration du CPP service-policy input PM_CPP

Question 2: vérifications (02 pts)


show run class-map

show run policy-map

show control-plane aggragate features

show control-plane aggragate counters

show policy-map control-plane input

Question 3: control plane protection (02 pts)


Le control-plane virtual interface est divisé en trois sous-interfaces :

• control-plane host : il gère le trafic destiné aux interfaces à savoir le trafic de


gestion, les protocoles de routage (eigrp, bgp), les terminaisons de tunnel etc. ;

M. DOMAN 2|Page
Master1 SRS CCNP SEC SENSS 2019

• control-plane cef-exception : il gère le trafic redirigé vers le CPU par le host, les
protocoles de routage (ospf, ebgp), le ARP ;
• control-plane transit : il gère le trafic traité par le CPU.

Il s’agit de protéger le CPU contre un usage excessif. Il faut empêcher le trafic indésirable
d’arriver sur le CPU.

Pour l’exemple précédent, nous voulons limiter le nombre de paquets eigrp à 50,
cependant, nous ne voulons pas que le trafic excédent soit éliminé par le CPU, nous
voulons qu’il soit éliminé avant d’atteindre le CPU.

control-plane
no service-policy input PM_CPP
control-plane host
service-policy input PM_CPP

pour les verifications:

show control-plane host features


show control-plane host counters
show policy-map control-plane host

Question 4: CPP limitation de l’ARP (02 pts)


Nous nous proposons de limiter le nombre de paquets ARP qui traversent le routeur à 10
paquets par seconde. Toutefois, les paquets excédents doivent être éliminés avant
d’atteindre le CPU.

class-map match-all CM_CPP_ARP


création d’un class-map match protocol arp
exit

policy-map PM_CPP_CEF
match CM_CPP_ARP
création d’un policy-map
police rate 10 pps conform-action transmit exceed-action drop
exit

control-plane cef-exception
configuration du CPP service-policy input PM_CPP_CEF

M. DOMAN 3|Page
Master1 SRS CCNP SEC SENSS 2019

pour les verifications:

show run class-map


show run policy-map
show control-plane cef-exception features
show control-plane cef-exception counters
show policy-map control-plane cef-exception

On remarque qu’aucun paquet ne match notre policy-map. C’est parce que la table ARP
est déjà pourvue. Il faut couper et rallumer les interfaces pour que le processus ARP
reprenne sur le routeur R2.

show ip arp
interface range e0/0, s1/0-1
shutdown
no shutdown

et refaites:

show policy-map control-plane cef-exception

Maintenant, nous avons des paquets qui match la règle du policy-map.

M. DOMAN 4|Page
Master1 SRS CCNP SEC SENSS 2019

PARTIE 2 : Management Plane Protection (08 pts)

C’est une sous-configuration du CPP. Le MPP permet de :

• Protéger le routeur et son CPU contre les attaques dirigées contre le Management
Plane ;
• Décider de l’interface sur laquelle le routeur peut recevoir des informations de
management ;
• Choisir quel protocole de management doit arriver sur le routeur.

Question 5 : telnet, ssh et http sur R2 (02 pts)


Sur R2, effectuez les configurations nécessaires pour que le routeur R3 soit configurable
par TELNET, SSH et HTTPS.

Faites les vérifications à partir de R1 et R3

ssh -l <user> 10.2.2.2 | telent 10.2.2.2 | sh ssh | sh user | s hip ssh

M. DOMAN 5|Page
Master1 SRS CCNP SEC SENSS 2019

Question 6 : telnet, ssh et http sur R2 (02 pts)


Sur R2, nous souhaitons que les informations de management proviennent uniquement de
e0/0 et jamais de s1/0 ni de s1/1. Nous voulons autoriser que le SSH et le HTTPS pour la
gestion du routeur.

control-plane host
management-interface ethernet 0/0 allow ssh https

Pour les vérifications :

show management-ingterface
show management-ingterface protocol ssh
show management-ingterface protocol telnet

Faites les vérifications à partir de R1 et R3, testez le telnet, le ssh et le https.

Vous remarquerez que le telnet et le http sont silencieusement filtrés.

M. DOMAN 6|Page

Vous aimerez peut-être aussi