下列列舉了控制層面主要存在的攻擊：
    1. 慢路徑拒絕服務攻擊（slow-path denial of service attack）
    攻擊方式：癱瘓正常的服務。（如果持續以程序交換的方式處理大量的資料包，那麼裝置將不堪重負）
    裝置CPU的3中功能：
    • 處理控制層面的流量
    • 處理管理層面流量
    • 處理慢路徑資料面流量
    所以上述3中功能任意遭到攻擊，都會對另外兩種功能構成威脅。
    
    2. 路由協議欺騙

    路由協議決定了資料在給定網路中的傳輸路徑，其安全性至關重要，若攻擊者向路由協議注入虛假的路由資訊，則可以重路由流量，重路由的目的在於篡改流量的傳輸路徑，或攔截流量供攻擊者使用。
    
    消除控制層面的攻擊
    控制面監管（CoPP）
    控制面監管（Control Plane Policing）能有效抵禦針對控制面的攻擊，其原理和普通的流量監管機制相同。CoPP監控訪問控制面的流量，對流量的型別和數量進行管理，以達到保護控制面的目的。
    
    裝置的路由處理器（route processor）被劃分為兩個主要部分：
    • 控制面：包括執行在程序級並控制最高階IOS功能的程序組。
    • 中央交換引擎：負載非分散式線卡介面收到的資料包進行高速路由。線卡處理器通常負責對分散式介面收到的資料包進行高速路由。
    
    CoPP提供了兩種監管型別，一種為獨立的監管型別，另一種為中央交換引擎實施的監管型別。CoPP包括以下兩種控制面板監管服務：
    • 分散式控制面板服務（distribute control plane service）
    • 聚合控制面板服務（aggregate control plane service）
    
    注意

：所有控制面流量（包括哪些支援分散式處理線卡收到的流量）都會配置聚合控制面服務，一般而言，應該首先考慮使用分散式控制面服務，再使用聚合控制面服務。只有流量的目的地確定為控制面，上述兩種控制面服務才能對流量進行操作，此外，僅當裝置做出路由決定之後，輸入控制面服務才會執行，輸出控制面服務在流量離開控制面後執行，且盡在聚合控制面服務中可用。
    
    目的地被歸為控制面的流量包括：
    • 路由協議控制資料包
    • 目標地址為本地裝置IP的資料包
    • 管理協議資料包
    
配置MQC（模組化服務質量命令列介面）：
    1. 定義流量型別：
    
    2. 定義流量策略：
    
    

   

    3. 應用流量策略：
    

    配置示例：
    

    

    

    如果採用支援分散式控制面服務的線卡，則上面的命令略有變化，下列配置顯示了將流量策略ssh-policy應用到控制面線卡插槽1的命令，本例屬於分散式控制面服務應用的一個例子。