Das Tuning von Rate-Limits auf Cisco-Routern ist ein entscheidender Bestandteil des Hardening-Prozesses, um bösartigen Traffic einzudämmen, ohne legitimen Netzwerkverkehr zu beeinträchtigen. Angriffe wie DoS oder Brute-Force können die Control Plane oder Management-Interfaces überlasten. Durch gezielte Rate-Limits lassen sich diese Bedrohungen abwehren, während produktiver Traffic weiterhin ungestört fließt.
Grundprinzipien beim Rate-Limiting
- Schutz der Control Plane: Verhindern, dass die CPU durch unerwünschte Pakete überlastet wird
- Minimalbeeinträchtigung: Legitimer Traffic muss ungehindert passieren
- Granularität: Limits nach Protokollen, Source-IP oder Service
- Auditierbarkeit: Logging für überwachte und gedroppte Pakete
Traffic-Klassifizierung
1. Identifizieren von bösartigem oder potenziell schädlichem Traffic
class-map match-any MALICIOUS-TRAFFIC
match protocol icmp
match protocol tcp
match access-group 101- ICMP-Floods oder unautorisierte TCP-Verbindungen gezielt identifizieren
- Access-Group kann unerwünschte Source-IP-Bereiche oder Subnets definieren
2. Separieren von Control-Plane-Traffic
class-map match-any CONTROL-PLANE
match protocol bgp
match protocol ospf
match protocol ssh- Legitimer Control-Plane-Traffic bleibt priorisiert und unbeeinträchtigt
- Wichtig für Routing-Stabilität und Management
Policy Map und Rate-Limits
1. Rate-Limits für bösartigen Traffic
policy-map TRAFFIC-LIMIT-POLICY
class MALICIOUS-TRAFFIC
police 5000 800 conform-action transmit exceed-action drop
class CONTROL-PLANE
priority 100000
class class-default
police 100000 8000 conform-action transmit exceed-action drop- MALICIOUS-TRAFFIC auf 5000 bps limitieren, überschüssige Pakete droppen
- CONTROL-PLANE Traffic hat Priorität und wird nicht gedroppt
- Default Traffic mit moderatem Rate-Limit schützen
2. Anwendung auf Control Plane
control-plane
service-policy input TRAFFIC-LIMIT-POLICY- Policy wird auf eingehenden Traffic zur CPU angewendet
- Reduziert Risiko von DoS-Angriffen ohne legitimen Traffic zu blockieren
Best Practices für Tuning von Rate-Limits
- Analyse von Traffic-Profilen vor Implementierung der Limits
- Kontinuierliches Monitoring und Anpassung der Rate-Limits
- Separate Policies für Edge- und Core-Router erstellen
- Nur bekannte und notwendige Protokolle priorisieren
- Logging aktivieren, um Dropped-Pakete zu überprüfen
- Testing in Lab-Umgebung vor produktivem Rollout
Praxisbeispiel CLI-Zusammenfassung
! Traffic-Klassifizierung
class-map match-any MALICIOUS-TRAFFIC
match protocol icmp
match protocol tcp
match access-group 101
class-map match-any CONTROL-PLANE
match protocol bgp
match protocol ospf
match protocol ssh
! Policy Map mit Rate-Limits
policy-map TRAFFIC-LIMIT-POLICY
class MALICIOUS-TRAFFIC
police 5000 800 conform-action transmit exceed-action drop
class CONTROL-PLANE
priority 100000
class class-default
police 100000 8000 conform-action transmit exceed-action drop
! Policy auf Control Plane anwenden
control-plane
service-policy input TRAFFIC-LIMIT-POLICY
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
