标签:网络基础,计算机网络基础知识,http://www.qiuzhi56.com
Cisco路由器上的CAR的机制和实现方法,http://www.qiuzhi56.com
三、如何检查CAR是否在相应端口起了作用
采用命令show interface XX rate-limit可以检查端口XX的CAR实际效果,见如下实例:
Fddi2/1/0
Input
matches: access-group 101
params: 80000000 bps, 72000 limit, 72000 extended limit
conformed 0 packets, 0 bytes; action: set-prec-transmit 5
exceeded 0 packets, 0 bytes; action: set-prec-transmit 0
last packet: 4738036ms ago, current burst: 0 bytes
last cleared 01:02:05 ago, conformed 0 bps, exceeded 0 bps
matches: all traffic
params: 50000000 bps, 64000 limit, 64000 extended limit
conformed 0 packets, 0 bytes; action: set-prec-transmit 5
exceeded 0 packets, 0 bytes; action: set-prec-transmit 0
last packet: 4738036ms ago, current burst: 0 bytes
last cleared 01:00:22 ago, conformed 0 bps, exceeded 0 bps
Output
matches: all traffic
params: 80000000 bps, 80000 limit, 80000 extended limit
conformed 0 packets, 0 bytes; action: transmit
exceeded 0 packets, 0 bytes; action: drop
last packet: 4809528ms ago, current burst: 0 bytes
last cleared 00:59:42 ago, conformed 0 bps, exceeded 0 bps
这里解释一下show interface rate-limit看到的结果。
Matches是表示该interface配置的traffic matching规则,有多个matches表示该interface配置了多条rate-limit命令,采用了多条matching规则。下面的params表示该规则定义的各项参数,xxx bps表示设定速率值,limit和extended limit表示token bucket的容量。Conformed x packets,y bytes表示对速率限制内的包数量和字节数,action表示对符合规则的包采用的处理方式;exceeded x packets这行也类似地是表示对超过速率限制的包的数量和字节数,action是其处理方式。
下面的last packet是表示最新的到来数据包的是多久前到达的,current burst是当前token bucket内的数据大小,last cleared是最近一次清记数器到现在的时间,conform x bps表示速率限制内的包的实际流量速率,exceed y bps 表示超过部分的速率。
我们可以用这条命令检查我们配置CAR的实际效果,假如发现没有conform的流量,则一般情况下是traffic matching的规则设置有问题,又或者是在interface上的input output设得不正确。
四、CAR的其他用途
CAR除了可以象我们提供的范例所示来限制某种流量的速率之外,还可以用来反抗某些类型的网络攻击。
DOS网络攻击的一个特征是网络中会充斥着大量带有非法源地址的ICMP包,我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络。
范例如下:
interface xy
rate-limit output access-group 2020 3000000 80000 80000 conform-action transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
这样可以限制ICMP包的转发速率和大小,减少对网络和主机造成的破坏。
上一页 [1] [2]
,Cisco路由器上的CAR的机制和实现方法