Rate-Limits sind ein zentrales Werkzeug, um die Auswirkungen von bösartigem Traffic auf Cisco-Routern zu begrenzen. Sie verhindern Überlastungen der Control Plane oder des Data Plane, ohne den legitimen Traffic zu beeinträchtigen. Ein sicherer Ansatz erfordert eine sorgfältige Planung, um False Positives zu vermeiden, also legitime Verbindungen fälschlicherweise zu blockieren. Dieser Leitfaden beschreibt praxisorientierte Methoden zur Konfiguration von Rate-Limits, Best Practices und Überwachungsstrategien.
Grundprinzipien von Rate-Limits
Rate-Limits steuern die Anzahl von Paketen, die pro Zeitspanne verarbeitet werden dürfen. Sie werden auf Interface-, VLAN- oder Control Plane-Ebene angewendet und schützen vor Flooding, DoS oder unerwarteten Traffic-Spitzen.
- Verhindern Überlastung der CPU oder Bandbreite
- Schützen kritische Services wie SSH, SNMP oder Routing-Protokolle
- Priorisieren legitimen Traffic gegenüber bösartigem Traffic
- Minimieren das Risiko von False Positives durch konservative Limits
Rate-Limits auf der Control Plane (CoPP)
Die Control Plane verarbeitet Routing-, Management- und Protokoll-Traffic. Rate-Limits hier verhindern, dass die CPU durch bösartige Pakete überlastet wird.
Router(config)# class-map match-any CONTROL-SSH
Router(config-cmap)# match protocol ssh
Router(config-cmap)# exit
Router(config)# policy-map CONTROL-PLANE-POLICY
Router(config-pmap)# class CONTROL-SSH
Router(config-pmap-c)# police 8000 1000 exceed-action drop
Router(config-pmap-c)# class class-default
Router(config-pmap-c)# police 2000 500 exceed-action drop
Router(config-pmap-c)# exit
Router(config)# control-plane
Router(config-cp)# service-policy input CONTROL-PLANE-POLICY- Legitimer SSH-Traffic wird priorisiert
- Unerwünschter Traffic wird limitiert oder gedroppt
- Rate-Limits konservativ festlegen, um False Positives zu vermeiden
Rate-Limits auf Interfaces
Interface-Rate-Limits schützen vor DoS-Angriffen und Floods auf der Data Plane.
Router(config)# interface GigabitEthernet0/0
Router(config-if)# srr-queue bandwidth limit 80
Router(config-if)# service-policy input INTERFACE-RATE-LIMIT- Limits auf physische Bandbreite oder Paketrate setzen
- Priorisierung von Management-Traffic sicherstellen
- Monitoring aktivieren, um Legitimität zu prüfen
Traffic-Klassifikation zur Vermeidung von False Positives
Bevor Limits angewendet werden, sollte Traffic genau klassifiziert werden. Nur potenziell gefährliche Pakete werden limitiert.
Router(config)# class-map match-any MALICIOUS-TRAFFIC
Router(config-cmap)# match protocol icmp
Router(config-cmap)# match access-group name BLOCK_ACL
Router(config-cmap)# exit- Whitelist kritischer Services (SSH, SNMP, Routing-Protokolle)
- Blacklist verdächtiger Pakete
- Schrittweise Limits testen, bevor sie produktiv angewendet werden
Monitoring und Anpassung
Regelmäßiges Monitoring stellt sicher, dass Rate-Limits wirksam sind und legitimer Traffic nicht blockiert wird.
Router# show policy-map interface GigabitEthernet0/0
Router# show control-plane host
Router# show access-lists- Drop-Counters und CPU-Auslastung überwachen
- Policy-Maps bei Bedarf anpassen
- Logs für Audits sichern und analysieren
Best Practices für produktive Umgebungen
- Limits konservativ setzen, Schritt für Schritt erhöhen
- Nur bekannten und kritischen Traffic priorisieren
- AAA und Logging für administrativen Traffic aktivieren
- Management VRFs für Admin-Zugriffe verwenden
- Temporäre Rate-Limits in Testumgebung prüfen
- Redundante AAA- und Monitoring-Server einplanen
- Dokumentation aller Policies und Änderungen führen
- Regelmäßige Audit-Überprüfung der Rate-Limits
Integration in Security-Architektur
Rate-Limits sind Teil eines umfassenden Edge- oder Core-Security-Konzepts, das CoPP, Interface-Härtung, ACLs, VRFs, SSH-Key-Management und Monitoring kombiniert. Durch diese Maßnahmen wird die Angriffsfläche minimiert und die Netzwerkverfügbarkeit maximiert.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
