Cisco tiene una cosa llamada Cisco CoPP Policy que lo que hace es proteger el plano de control de los routers Cisco ante un supuesto ataque.

Los conceptos de Plano de Control (control Plane) y Plano de Datos (Data plane) se refieren a la separación lógica, y en algunos escenarios física, del trafico destinado a los Servicios (Data plane) y el tráfico que ocupan los Equipos de Red para gestionar, mantener y modificar el estado de la misma (Control Plane).https://community.cisco.com/t5/discusiones-data-center/plano-de-control-y-plano-de-datos/td-p/2820763

Por poner un ejemplo muy sencillo podemos estar inundando ICMPs contra la IP del router, ese tráfico lo tiene que procesar el propio router, la procesadora y eso al final va a afectar al plano de control ya que es ahí donde se ejecutan todas aquellas “cosas” que hacen que se pueda mover el tráfico con normalidad por el plano de datos.

Si un PC a en un puerto del switch le manda un ping a un PC en otro puerto del switch ese tráfico irá sólo por el plano de datos del switch.

Ahora, si un router está pinchado en un puerto de un switch y otro router está pinchado en otro puerto del mismo switch el tráfico entre ellos irá directo por el plano de datos, pero los servicios de red irán por el plano de control y en este caso los servicios de red serán mensajes de STP, VRRP, HSRP, OSPF, RIP ….

Esto lo tenéis documentado en la propia web de Cisco en https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus6000/sw/security/6x/b_6k_Security_Config_6x/b_6k_Security_Config_602N12_chapter_01101.pdf

En equipos como los Nexus7k, el Data plane es procesado por los Módulos, sin tener que pasar por la Supervisora, quien se encarga de procesar el tráfico de Control Plane propio de la Red, por ejemplo, Updates de Routing Protocols, Mensajes de Fabricpath, OTV, etc.https://community.cisco.com/t5/discusiones-data-center/plano-de-control-y-plano-de-datos/td-p/2820763

Planos de control, datos y gestión

El otro plano que tenemos es el de gestión pero que en este capítulo vamos a obviarlo bastante.

Hemos dicho que el objetivo es proteger a nuestra procesadora de tener que procesar aquello que no debiera y que debería de ser tratado por el ASIC correspondiente.

Para proteger a nuestro router tendremos que indicar qué puerto queremos proteger, podemos hacerlo por puertos sueltos o mediante un puerto lógico llamado “Control Plane” que incluirá a todos los puertos del router o del switch.

Al control plane le tendremos que aplicar un policing para limitar el tráfico que queremos que nos llegue.

Para identificar el tráfico al que queremos hacer el rate limit tenemos que crear un class-map en nuestro cisco.

Si el tráfico hace match con el class-map entonces tendremos que aplicar el polily-map para aplicar la política correspondiente, el rate limit.

Y por último tenemos que decir donde aplicar esta política y esto lo podemos hacer en el control plane, es decir, todos los puertos y en los interfaces individuales.