Cisco路由器上的CAR的机制和实现方法
10-15 21:47:25
来源:http://www.qz26.com 网络基础知识 阅读:8107次
导读:那么对于我们进行http限制的例子,相应的配置为: interface e0 rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop 这里我们把下载的流量定义在128Kbps,token bucket的大小为16000字节。假如把token bucket定得太小(如4000),则用户端的速率将显得不够平滑。 三、如何检查CAR是否在相应端口起了作用 采用命令show interface XX rate-limit可以检查端口XX的CAR实际效果,见如下实例: Fddi2/1/0 Input matches: access-group 101 params: 80000000 bps, 72000 limit, 72000 extended limit conformed 0 packets, 0 bytes; action: set-prec-transmit 5 exc
Cisco路由器上的CAR的机制和实现方法,标签:网络基础,计算机网络基础知识,http://www.qz26.com
那么对于我们进行http限制的例子,相应的配置为:
interface e0
rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop
这里我们把下载的流量定义在128Kbps,token bucket的大小为16000字节。假如把token bucket定得太小(如4000),则用户端的速率将显得不够平滑。
三、如何检查CAR是否在相应端口起了作用
采用命令show interface XX rate-limit可以检查端口XX的CAR实际效果,见如下实例:
Fddi2/1/0
Input
matches: access-group 101
params: 80000000 bps, 72000 limit, 72000 extended limit
conformed 0 packets, 0 bytes; action: set-prec-transmit 5
exceeded 0 packets, 0 bytes; action: set-prec-transmit 0
last packet: 4738036ms ago, current burst: 0 bytes
last cleared 01:02:05 ago, conformed 0 bps, exceeded 0 bps
matches: all traffic
params: 50000000 bps, 64000 limit, 64000 extended limit
conformed 0 packets, 0 bytes; action: set-prec-transmit 5
exceeded 0 packets, 0 bytes; action: set-prec-transmit 0
last packet: 4738036ms ago, current burst: 0 bytes
last cleared 01:00:22 ago, conformed 0 bps, exceeded 0 bps
Output
matches: all traffic
params: 80000000 bps, 80000 limit, 80000 extended limit
conformed 0 packets, 0 bytes; action: transmit
exceeded 0 packets, 0 bytes; action: drop
last packet: 4809528ms ago, current burst: 0 bytes
last cleared 00:59:42 ago, conformed 0 bps, exceeded 0 bps
这里解释一下show interface rate-limit看到的结果。
Matches是表示该interface配置的traffic matching规则,有多个matches表示该interface配置了多条rate-limit命令,采用了多条matching规则。下面的params表示该规则定义的各项参数,xxx bps表示设定速率值,limit和extended limit表示token bucket的容量。Conformed x packets,y bytes表示对速率限制内的包数量和字节数,action表示对符合规则的包采用的处理方式;exceeded x packets这行也类似地是表示对超过速率限制的包的数量和字节数,action是其处理方式。
下面的last packet是表示最新的到来数据包的是多久前到达的,current burst是当前token bucket内的数据大小,last cleared是最近一次清记数器到现在的时间,conform x bps表示速率限制内的包的实际流量速率,exceed y bps 表示超过部分的速率。
我们可以用这条命令检查我们配置CAR的实际效果,假如发现没有conform的流量,则一般情况下是traffic matching的规则设置有问题,又或者是在interface上的input output设得不正确。
四、CAR的其他用途
CAR除了可以象我们提供的范例所示来限制某种流量的速率之外,还可以用来反抗某些类型的网络攻击。
DOS网络攻击的一个特征是网络中会充斥着大量带有非法源地址的ICMP包,我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络。
范例如下:
interface xy
rate-limit output access-group 2020 3000000 80000 80000 conform-action transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
这样可以限制ICMP包的转发速率和大小,减少对网络和主机造成的破坏。
那么对于我们进行http限制的例子,相应的配置为:
interface e0
rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop
这里我们把下载的流量定义在128Kbps,token bucket的大小为16000字节。假如把token bucket定得太小(如4000),则用户端的速率将显得不够平滑。
三、如何检查CAR是否在相应端口起了作用
采用命令show interface XX rate-limit可以检查端口XX的CAR实际效果,见如下实例:
Fddi2/1/0
Input
matches: access-group 101
params: 80000000 bps, 72000 limit, 72000 extended limit
conformed 0 packets, 0 bytes; action: set-prec-transmit 5
exceeded 0 packets, 0 bytes; action: set-prec-transmit 0
last packet: 4738036ms ago, current burst: 0 bytes
last cleared 01:02:05 ago, conformed 0 bps, exceeded 0 bps
matches: all traffic
params: 50000000 bps, 64000 limit, 64000 extended limit
conformed 0 packets, 0 bytes; action: set-prec-transmit 5
exceeded 0 packets, 0 bytes; action: set-prec-transmit 0
last packet: 4738036ms ago, current burst: 0 bytes
last cleared 01:00:22 ago, conformed 0 bps, exceeded 0 bps
Output
matches: all traffic
params: 80000000 bps, 80000 limit, 80000 extended limit
conformed 0 packets, 0 bytes; action: transmit
exceeded 0 packets, 0 bytes; action: drop
last packet: 4809528ms ago, current burst: 0 bytes
last cleared 00:59:42 ago, conformed 0 bps, exceeded 0 bps
这里解释一下show interface rate-limit看到的结果。
Matches是表示该interface配置的traffic matching规则,有多个matches表示该interface配置了多条rate-limit命令,采用了多条matching规则。下面的params表示该规则定义的各项参数,xxx bps表示设定速率值,limit和extended limit表示token bucket的容量。Conformed x packets,y bytes表示对速率限制内的包数量和字节数,action表示对符合规则的包采用的处理方式;exceeded x packets这行也类似地是表示对超过速率限制的包的数量和字节数,action是其处理方式。
下面的last packet是表示最新的到来数据包的是多久前到达的,current burst是当前token bucket内的数据大小,last cleared是最近一次清记数器到现在的时间,conform x bps表示速率限制内的包的实际流量速率,exceed y bps 表示超过部分的速率。
我们可以用这条命令检查我们配置CAR的实际效果,假如发现没有conform的流量,则一般情况下是traffic matching的规则设置有问题,又或者是在interface上的input output设得不正确。
四、CAR的其他用途
CAR除了可以象我们提供的范例所示来限制某种流量的速率之外,还可以用来反抗某些类型的网络攻击。
DOS网络攻击的一个特征是网络中会充斥着大量带有非法源地址的ICMP包,我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络。
范例如下:
interface xy
rate-limit output access-group 2020 3000000 80000 80000 conform-action transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
这样可以限制ICMP包的转发速率和大小,减少对网络和主机造成的破坏。
Tag:网络基础知识,网络基础,计算机网络基础知识,电脑培训学习 - 网络知识 - 网络基础知识
下一条:笑傲江湖、集线器、路由器……