بایگانی دسته: امنیت

آموزش های مربوط به امنیت شبکه های مبتنی بر سیسکو و امنیت ios سیسکو ، امنیت روتر ها و سوئیچ های سیسکو ، امنیت انتقال اطلاعات ، انواع رمز نگاری – encryption و شبکه های خصوصی مجازی vpn سیسکو cisco anyconnect ، امنیت انتقال صوت و تصویر بر روی شبکه ، امنیت وب سرور ها ، آموزش های مربوط به فایروال های سری ASA , PIX سیسکو و پیاده سازی IDS/IPS و …

uRPF چیست

سیسکو uRPF چیست ؟

سیسکو uRPF چیست ؟

Unicast Reverse Path Forwarding و افزایش امنیت شبکه های مبتنی بر سیسکو

uRPF یا به شکل گسترده Unicast Reverse Path Forwarding یکی از راه حل های امنیتی سیسکو در شبکه های روتینگی برای افزایش امنیت شبکه و جلوگیری از IP Spoofing و بهره برداری های غیر مجاز است .

به شکل کلی و نظری هر روتر سیسکو هر پکت دریافتی را بدون توجه به Source IP یا همان IP مبدا ، به سمت مقصد یا همان Destination IP هدایت Forward میکند .

در واقع با دریافت هر پکت ، روتر از خود سوال میکند که مقصد این بسته کجاست ( destination IP ) و آیا من میتوانم آنرا forward کنم ؟

اگر بنا به route کردن آن بسته باشد ، روتر به routing table خود نگاه میکند و بسته را با توجه به جدول مسیریابی و یا FIB از طریق اینترفیس مربوطه ، به سمت آدرس مقصد ارسال میکند ، و در این نوع سناریوها ، source IP توسط روتر مورد توجه قرار نمیگیرد.

این نقطه ضعفی برای امنیت شبکه تلقی میشود ، چرا که یک هکر خرابکار میتواند ، با تکنیک IP Spoofing ، اقدام به جعل IP مبدا نموده و بسته ای که قائدتا باید Drop شود را از طریق روتر ، route یا forward کند .

uRPF تکنیک امنیتی ست ، برای مقابله با این قبیل حملات IP Spoofing و همچنین برای افزایش امنیت و جلوگیری از استفاده غیر مجاز از منابع و ساختار شکنی ، بدین ترتیب که در حالت کلی با استفاده از uRPF ، هر Packet قبل از route شدن به سمت مقصد ، ابتدا از لحاظ Source IP مورد بررسی قرار میگیرد ، اگر به ازای  source IP مورد نظر هیچ entry در routing table وجود نداشته باشد ، آن بسته Drop میشود : ) !

uRPF به دو صورت کلی در روتر های سیسکو ئیاده سازی میشود :

  • Strict Mode
  • Loose Mode

Strict Mode :

در این نوع پیاده سازی uRPF در سیسکو ، دو نوع چکینگ صورت می پذیرد ،

  • آیا هیچ entry برای Source IP پکت مورد نظر در Routing Table روتر سیسکو وجود دارد ؟!
  • آیا مسیر دسترسی به Source IP از همان اینترفیسی ست ، که پکت از آن دریافت شده ؟!

اگر بسته مورد نظر از این دو لحاظ مورد تائید بود ، سپس route خواهد شد .

 

urpf strict mode سیسکو

فعال سازی uRPF به شکل Strict بر روی روتر سیسکو :

Aka-Core(config)#int gigabitEthernet 0/0
Aka-Core(config-if)#ip verify unicast source reachable-via rx

Aka-Core#sh ip interface gig 0/0 | include verify
IP verify source reachable-via RX

Loose Mode :

در این روش از پیاده سازی uRPF ، فقط یک چکینگ روی Packet دریافتی ، قبل از forwarding انجام می شود :

  • آیا هیچ entry در routing table روتر سیسکو برای آدرس مبدا پکت مورد نظر وجود دارد ؟!

urpf loose mode سیسکو

فعال سازی uRPF به شکل Loose Mode بر روی روتر سیسکو :

Aka-Core(config)#int gigabitEthernet 0/0
Aka-Core(config-subif)#ip verify unicast source reachable-via any
Aka-Core(config-subif)#^Z

Aka-Core#sh ip interface gig 0/0 | include verify
IP verify source reachable-via ANY

بدین ترتیب ، بدون توجه به اینکه مسیر دسترسی روتر به Source IP ، با اینترفیسی که Packet از آن دریافت شده ، مطابقت دارد یا نه ، پکت فقط با بررسی اینکه برای Source IP آن ، مسیری در جدول مسیریابی وجود داشته ، Forward میشود …

uRPF تکنیک بسیار موثر و کارایی در حفظ امنیت و خط مشی شبکه های سیسکو است ، برای مثال ، به یکی از فواید استفاده از uRPF در دنیا که چند سالیست پیاده سازی آن به شکل کامل عمومیت پیدا کرده ، (درلفافه) میپردازیم ،

همان گونه که میدانید ، محل قرار گیری انواع Content Engine ها ( مدیریت محتوا )  در سمت Down Stream پروایدر و Up Stream کاربر است ، به بیان ساده تر ، انواع رگولیشن ها بر روی خط Send کاربر پیاده سازی میشود ، بدین ترتیب ، بعضی از افراد برای فراراز اینگونه محدودیت هایی که هر کشور به فراخور قوانین رگولاتوری بر روی اینترنت اعمال میکرد ، اقدام به برقراری یک تانل بین روتر خود و یک روتر در یک کشور دیگر ( بدون محدودیت های مورد نظر ) و route ترافیک send به سمت شبکه آن سمت تانل می نمودند ، با این حساب ، ارسال بر روی تانل و از طریق شبکه متصل به روتر آن سوی تانل و دریافت از طریق شبکه اینترنت محلی انجام میشد ، و بدین ترتیب ، تمامی محدودیت های اعمالی از طرف پروایدر ، bypass میشد ! :دی

خب بیشتر از این در مورد اینکه دقیقا به چه منظور و چگونه اینکار انجام میشده ، توضیح نمیدهیم ، فقط اینکه ، روتر مجاور ، در یک دیتا سنترو به شبکه یک کشور دیگر متصل بوده ، و وقتی شخص مورد نظر روت IP های خود را به سمت آن روتر قرار میداد ، روتر مذبور بدون توجه به Source IP ، پکت ها را به مقصد هدایت و برگشت (Down Stream ) هم از طریق شبکه کشور مبدا دریافت میشد ، پس از اینکه uRPF در سطح جهانی و به شکل الزامی از طرف Internet Resource Coordination ها پیاده سازی شد ، دیگر امکان route کردن آدرس های غریبه از طریق شبکه های دیگر امکان پذیر نبود و این باعث حفظ امنیت و خط مشی امنیتی شبکه های بزرگ در سطح کشوری و همچنین جلوگیری از اتلاف منابع گردید …

برای اطلاعات بیشتر در این زمینه ، به مقاله : Bogon و راه حل رهایی از Bogon ها ، مراجعه فرمایید .

وفقک الله

دریافت ASDM

asdm

دریافت ASDM

دانلود رایگان ASDM سیسکو

 Adaptive Security Device Manager – ASDM

ASDM یا همان adaptive security device manager نرم افزاری است که با کمک launcher آن ، امکان مدیریت و کانفیگ فایروال های ASA سیسکو در محیط گرافیکی وجود دارد ، که سیسکو برای سهولت در مدیریت و مانیتورینگ و کانفیگ فایروال های ASA ، نرم افزار asdm را ارائه نموده است .

asdm بر روی پلتفورم JAVA نوشته و پیاده سازی شده ، لذا شما برای نصب و اجرای launcher آن نیازمند Java SE Runtime Environment JRE  میباشید که متاسفانه شرکت sun ایران را مورد تحریم قرار داده ، که البته اصلا مهم نیست ! میتوانید java runtime  را از این لینک دریافت کنید : Java SE Runtime Environment  🙂

 

برای استفاده از ASDM میباست فایل پکیج .bin و launcher ویندوزی .msi آنرا بر روی flash فایروال asa  نصب کنید .

Uploading the ASDM image :
asa# copy ftp flash
Address or name of remote host []? 192.168.1.1
Source filename []? asdm-804.bin
Destination filename [asdm-804.bin]?
Accessing ftp://192.168.1.1/asdm-804.bin…
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
< output ommited >
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing current ASDM file disk0:/asdm-804.bin
6889764 bytes copied in 5.700 secs (1377952 bytes/sec)

asa(config)# http server enable
asa(config)# http 192.168.1.0 255.255.255.0 inside
asa(config)# management-access inside

دانلود asdm سیسکو :

ASDM 6.4

ASDM 7.4

ASDM Launcher 7.4

ASDM Launcher 5.21

و همچنین میتوانید آخرین ورژن و ورژن استیبل Cisco ASA Software به بیان دیگر سیستم عامل asa را دریافت نمائید :

ASA 8.4

ASA 9.13

 Cisco ASDM

Simple, GUI-Based Firewall Appliance Management
Quickly configure, monitor, and troubleshoot Cisco firewall appliances and firewall service modules with this user-friendly application. Ideal for small or simple deployments, the Cisco Adaptive Security Device Manager provides the following:

Setup wizards that help you configure and manage Cisco firewall devices, including the Cisco ASA Adaptive Security Appliances, Cisco PIX appliances, and Cisco Catalyst 6500 Series Firewall Services Modules without cumbersome command-line scripts
Powerful real-time log viewer and monitoring dashboards that provide an at-a-glance view of firewall appliance status and health
Handy troubleshooting features and powerful debugging tools such as packet trace and packet capture

وفقک الله

 

آموزش کانفیگ cisco anyconnect توسط روتر سیسکو

Cisco anyconnect

آموزش کانفیگ Cisco anyConnect توسط روتر سیسکو

Cisco anyconnect

Cisco anyconnect یکی از روش های اختصاصی سیسکو برای ایجاد شبکه های خصوصی ( که ما در اینجا از ذکر نام تخصصی متاسفانه معذوریم ) است که هم توسط نرم افزار کلاینت cisco anyconnect و هم توسط browser و پروتکل ssl به نام webvpn قابل استفاده است .

از مزایای بزرگ cisco anyconnect باز بودن platform و قابلیت استفاده در انواع سیستم عامل های windows – linux – Mac os – Apple IOS – Google Android است .

Cisco anyconnect بیشتر برای استفاده توسط Cisco ASA ها طراحی و بهینه شده ولی قابل پیاده سازی بر روی روتر های سیسکو نیز می باشد .

cisco anyconnect توسط پروتکل های اختصاصی سیسکو یک شبکه encrypt شده با سرعت و امنیت بالا برای دسترسی راه دور و همچنین سرویس دهی در محیط های عمومی نظر LAN ها جهت دسترسی به برخی سروریس های امن ، کاربرد های فراوان و قبل توجهی داشته و به راحتی جایگزین پروتکل های قدیمی شبکه خصوصی مجازی گشته .

مراحل کار بدین ترتیب است که ابتدا یک gateway تعریف و برای آن یک context و برای هر کانکتس یک Policy Group تعریف میکنیم .

هر روتر سیسکو میتواند شامل چندین webvpn gateway و هر gateway میتواند شامل چند Context و هر Context میتواند فقط دارای یک Group Policy که مشخص کننده منابغ آن Context است ، باشد .

ابتدا ساخت RSA Key :

Router(config)#crypto key generate rsa general-keys label SSL modulus 1024

ساخت Trust Point و استفاده از SSL RSA key :

Router(config)#crypto pki trustpoint aka
enrollment selfsigned
usage ssl-server
serial-number
subject-name CN=172.16.68.3
revocation-check none
rsakeypair SSL

Router(config)#crypto pki enroll server-certificate > answer no for IP and yes for generate .

نصب پکیج های cisco anyconnect برای هر سیستم عامل :

میتوانید کل پکیج ها را از اینجا دانلود کنید : cisco anyconnect pkg

Router(config)#webvpn install svc flash:anyconnect-win-3.1.03103-k9.pkg
Router(config)#webvpn install svc flash:anyconnect-linux-3.1.03103-k9.pkg
Router(config)#webvpn install svc flash:anyconnect-mac3.1.pkg

اختصاص پکیج ها :

Router(config)#crypto vpn anyconnect flash:/anyconnect-win-3.1.03103-k9.pkg sequence 1
Router(config)#crypto vpn anyconnect flash:/anyconnect-linux-3.1.03103-k9.pkg sequence 2
Router(config)#crypto vpn anyconnect flash:/anyconnect-mac3.1.pkg sequence 3

کانفیگ gateway برای اتصال کابران :

webvpn gateway SSL
ip address 172.16.68.3 port 443
ssl encryption 3des-sha1 aes-sha1
http-redirect port 80
ssl trustpoint server-certificate
inservice

ساخت IP Pool جهت واگذاری به کاربران :

ip local pool shabake 192.168.100.1 192.168.100.254

تنظیمات AAA روتر : ( در صورت نیاز میتوانید از radius server نیز استفاده کنید مثلا ibsng )

aaa new-model
aaa authentication login SSL local
username shabake password 0 shabake

و در نهایت ایجاد کانتکس و گروپ پالیسی :

webvpn context SSL
aaa authenticate list SSL
gateway SSL domain Shabake
!
ssl authenticate verify all
inservice
!
policy group shabake
functions svc-enabled
svc address-pool “shabake” netmask 255.255.255.0
svc keep-client-installed
default-group-policy shabake

خب حالا شما میتوانید با کلاینت cisco anyconnect و یا توسط brower با وارد کردن آدرس : https://172.16.68.3 ، ایتدا با یوزر shabake و همان پسورد authenticate شده و به از ip pool shabake یک IP دریافت و به روتر متصل شوید .

دانلود آخرین ورژن نرم افزار cisco anyconnect برای سیستم عامل های مختلف : دانلود

در صورتی که میخواهید کلاینت ها به هر منابعی مثلا اینترنت متصل شوند ، رنج IP های واگذار شده را NAT کنید .

این مقاله صرفا جهت آموزش CCSP Course و توضیح یکی از تکنولوژی های شبکه خصوصی مجازی ارائه شده و استفاده غیر قانونی از این نوشتار بر عهده خواننده است .

وفقک الله

 

سیسکو را آپدیت کنید !!

 

سیسکو را آپدیت کنید !!

هشدار در مورد سه مورد باگ امنیتی خطر ناک در محصولات سیسکو

اول : سیسکو به تازگی دست به انتشار آپدیتی برای باگ امنیتی دیوایس های IPS خود نموده است .

اگر هرکدام از دیوایس های زیر را دارید ، حتما به فکر آپدیت باشید :

Cisco ASA 5500 Series Advanced Inspection and Prevention Security Services Module (AIP SSM)
Cisco ASA 5500-X Series IPS Security Services Processor (IPS SSP) software and hardware modules
Cisco ASA 5505 Advanced Inspection and Prevention Security Services Card (AIP SSC)
Cisco IPS 4200 Series Sensors
Cisco IPS 4300 Series Sensors
Cisco IPS 4500 Series Sensors

به نقل از فن آوری اطلاعات ایران، هر سه آسیب پذیری موجود در این محصولات مربوط به آسیب پذیری انکار سرویس Denial of service می باشد. برخی از این محصولات می توانند از راه دور و بدون تایید هویت مورد حمله قرار گیرند در نتیجه به روز رسانی ها باید در اسرع وقت اعمال شوند.

دومین راهنمایی امنیتی یک آسیب پذیری دسترسی غیرمجاز را در Cisco Unified SIP Phone 3905 توصیف می کند. با سواستفاده از این آسیب پذیری، یک مهاجم راه دور می تواند بدون تایید هویت دسترسی root دستگاه آلوده را بدست آورد. میان نرم افزار Cisco Unified SIP Phone 3905 نسخه های پیش از ۹٫۴(۱) تحت تاثیر این آسیب پذیری قرار دارند. هم چنین سیسکو روش های کاهش مخاطرات را برای این محصولات مانند امضای IPS در نظر گرفته است.

دوم : آپدیت امنیتی مربوط به آسیب پذیری های موجود در نرم افزار Cisco Unified Computing System (UCS) Director نسخه های پیش از Cisco UCS Director Release 4.0.0.3 HOTFIX می شود. یک آسیب پذیری در UCS Director می تواند به یک مهاجم راه دور اجازه دهد تا بدون تایید هویت کنترل کامل دستگاه آلوده را در اختیار بگیرد.

سوم : آپدیت امنیتی  مربوط به نرم افزار (Cisco Firewal Services Module ) (FWSM ) می باشد. این آسیب پذیری یک آسیب پذیری شرایط رقابتی هنگام تخصیص مجدد حافظه است.

یک مهاجم می تواند با ارسال ترافیک مناسب به ماژول باعث شود تا نرم افزار بارگذاری مجدد شود. سوء استفاده مکرر از این آسیب پذیری منجر به ایجاد یک حمله انکار سرویس در نرم افزار می شود.FWSM نسخه های ۳٫۱، ۳٫۲، ۴٫۰ و ۴٫۱ تحت تاثیر این آسیب پذیر قرار دارند.

پس حتی اگه به جای زن ، سیسکو هم دارید ، هواستون رو جمع کنید … :دی

DDOS و جلوگیری از آن توسط CloudFlare

جلوگیری از DDOS توسط CloudFlare

DDOS در حال حاضر از خطرناک ترین نوع حملات محسوب میشود ، به نوعی میتوان گفت مقابله 100% با DDOS غیر ممکن است ، برای مثال سایت اسپم هاوس چند ماه گذشته با پهنای باندی معادل کل پهنای باند ایران ، مورد حمله قرار گرفت و Down شد !

کلا مبنای حملات DOS زیر بار قرار دادن یک سرویس به شکلی که دیگر قادر به پاسخگویی نباشد و باعث اتلاف منابع و نهایتا کرش کردن سیستم شود ، حال این منابع میتواند CPU باشد و یا حتی Bandwidth !

اگر حملات از چندین مبدا باشد Distributed  و یا DDOS نامیده میشود که معضل از اینجا شروع میشود ، برای مثال اخیرا بنده در جریان یک حمله بودم که لاگ فایروال حدود یک میلیون IP متفاوت را در 10 دقیقه تشان میداد !! در همچین شرایطی امکان بستن تمامی این IP ها وجود ندارد …

بدترین نوع حملات DDOS ، نوع Traffic Flood است ، بدین ترتیب که از مثلا 1 میلیون کلاینت ترافیک های کانکشن لس به سمت هدف ارسال میشود و باعث پر شدن پهنای باند میگردد ، که حتی دیتا سنتر های بزرگ نیز قادر به رد کردن بیش از یک حجم مشخص را ندارند !

وقتی شما این عبارت را در گوگل سرچ کنید : DDOS Protected Host به نتایج زیادی بر میخورید که اکثرا fake هستند ولی بعضی قیمت های نجومی و یک Dead Line دارند ! همشان مثلا میگویند ما تا 1 گیگابیت DDOS را هندل میکنیم و بعد از آن Null route ! پس عملا سعی کنید تابلو نشوید چون ، DDOS شدن خرجش 100 هزار تومن است !

DDOS

CloudFlare ادعا میکند که میتواند تا حجم بالایی از ترافیک را هندل و جلوی DDOS را بگیرد ، که البته در مورد اسپم هاوس نشان داد که اینطورا هم نیست ، ولی کلا ، کاچی بهتر از پفک است !

مکانیسم کار بدین صورت است که شما NS های کلادفلیر را ست میکنید و سپس دامین خود را در پنل کلادفلیر ثبت میکنید ، از آنجا به بعد بسته به جیب شما ، میزان امنیت شما مشخص میشود ! اگر ماهی 3000 دلار هزینه کنید ، به شما تضمین حفاظت کامل در مقابل انواع حملات و ویروس ها و … را میدهد !

در واقع وقتی کسی سایت شما را پینگ میکند IP کلاد را میبیند و مثلا ، IP اصلی سرور شما قابل دسترسی نیست ، پس تمامی خملات به سمت کلاد سرازیر شده ، و کلاد میبایست این حملات را هندل کند :

ddos prevention

نهایتا باید عرض کنم که باوجود همه این تدابیر و حتی خرید UTM های 100 هزار دلاری ، باز هم امکان DDOS شدن کماکان وجود دارد ، فقط شما میتوانید کمی لایه های حفاظتی را افزایش دهید ولی روزی خواهد رسید که مجبورید بنویسید :

router bgp xxxx
neighbor x.x.x.x remote-as xxxx shutdown

   وفقک الله
Aka Networks

Control Plane و حفاظت از منابع روتر

Control Plane و حفاظت از منابع روتر 

Control Plane یکی از ویژگی های حفاظتی IOS است که از ورژن 12.3 به آن افزوده شده وهدف آن حفاظت از روتر و منابع آن و سرویس های حیاتی ست .

بدین معنی که Control Plane به عنوان یک پلیس رفتار کرده و با کمک از قابلیت های QOS ، سلامت سرویس های حیاتی نظیر Routing و میزان استفاده از RAM و CPU و I/O های روتر را کنترل و تضمین میکند .

برای مثال میتوان از Control Plane جهت کنترل ترافیک ناخواسته UDP که به نوعی Attack جهت بالابردن یوتلایز CPU و پر کردن اینترفیس آن است ، استفاده کرد .

بعضی از کاربران یک شبکه برای اهداف پلید اقدام به استفاده از بعضی از ابزار های تست شبکه در راه نا صحیح و به جهت وارد آوردن خسارت به شبکه میپردازند ، اساس کار برخی از این قبیل ابزار ها ، ارسال ترافیک UDP با تعداد پکت های زیاد و کوچک به سمت IP قربانی که در این مثال Router شبکه است ، میباشد .

البته تعداد پکت ها و سایز آنها ، قابل تنظیم است ، ولی منطقا هرچه تعداد پکت ها بیشتر و سایز آنها کوچکتر باشد ، لود بیشتری را میتواند تحمیل کند که باعث over load شدن CPU روتر شده و مانع از کارکرد صحیح ان میگردد .

شما فرض کنید در یک شبکه LAN که ارتباط کاربر فرضا با سرعت 100 مگابیت است ، این کاربر اقدام به ارسال پکت های 64 کیلوبایتی نماید ،

همانطور که در تصویر زیر مشاهده مینمائید ، روتر مورد آزمایش ما 2811 cisco با حدود 28 مگابیت ترافیک پکت UDP ، کاملا خارج از دسترس میگردد و CPU روتر ، over load میشود .

udp-attack

این فقط یک آزمایش ساده با یک ابزار بسیار ساده و در دسترس همه است !! پس قضیه جدیست !

راه حل چیست !؟

ما از Control Plane استفاده میکنیم ، بدین ترتیب که Control Plane با کمک QOS اولویت و میزان این ترافیک ها را محدود و از وارد آوردن ترافیک سنگین به روتر و شبکه جلوگیری میکند .

خود هاست روتر به خودی خود ، ارتباطات محدودی با دنیای بیرون دارد ، مثلا  Telnet , SSH ,NTP,Syslog , Snmp و چند قلم دیگر البته به جز روتینگ پروتکل ها ، منظور از هاست روتر خود روتر است نه ترافیکی که از روی روتر ترانزیت میشود .

ما در این مقال میخواهیم خود روتر را در مقابل این گونه ترافیک های ناخواسته حفاظت کنیم ، که البته امکان مدیریت ترافیک ترانزیت شده نیز وجود دارد .

ابتدا ما یک ACL تعریف و در آن ترافیک ناخواسته UDP را تعیین میکنیم .

ip access-list e udp-traffic
permit udp any any

سپس یک کلاس تعریف و این ACL زا در آن Match میکنیم :

class-map match-any udp-traffic
match access-group name udp-traffic

سپس یک policy-map با استفاده از این کلاس :

policy-map udp-traffic
class udp-traffic
police rate 5 pps con transmit ex dro violate-action drop

هم اکنون لازم است این پالیسی را در ناحیه control-plane پیاده سازی کنید ،

control-plane host
service-policy input udp-traffic

 این policy بدین معنیست که تعداد پکت های UDP به مقصد خود هاست روتر ، باید زیر 5 پکت در ثانیه باشد و بیشتر از آن Drop میشود .

البته این یک مثال ساده و ابتدایی بود ، در عمل شما باید به نکات و ظرایف بیشتری توجه کنید و میتوانید از انواع Service Policy های مختلف مثل port-filtering و queue-threshold در ترافیک های ترانزیت شده از روی روتر هم بهره ببرید .

در کل این فیچر IOS به جهت حفظ سلامت و پایداری Router و سرویس های حیاتی نظری راتینگ پروتکل ها و پروتکل های دسترسی به روتر ، به وجود آمده و استفاده از امکانات QOS به شما امکانات زیادی در پیاده سازی استراکچر های امنیتی خواهد داد .

 نتایج :

Router#sh control-plane host counters
Control plane host path counters :

Feature Packets Processed/Dropped/Errors

——————————————————–
TCP/UDP Portfilter 385632/380830/0

——————————————————–

و همچنین میتوانید از این دستور به جهت بررسی استفاده از policy-map استفاده کنید :

Router#sh policy-map control-plane all

   وفقک الله
Aka Networks