| CAR是Committed Access Rate的簡寫,意思是:承諾訪問速率。 |
| CAR主要有兩個作用:對一個端口或子端口(subinterface)的進出流量速率按某個標準上限進行限制;對流量進行分類,劃分出不同的QoS優先級。 |
| 2.CAR的適用範圍 |
| CAR只能對IP包起作用,對非IP流量不能進行限制,另外CAR只能在支持CEF交換(Cisco Express Forward)的路由器或交換機上使用。所以只有Cisco 2600系列以上的型號纔可以使用CAR。以下這些interface上也不能使用CAR: |
| Fast EtherChannel interface |
| CAR可以看成是數據包分類識別(packet classification)和流量控制(access rate limiting)的結合。其工作流程可以從下圖指出: |
| 第一步的Traffic Matching是首先從數據流中識別出感興趣的流量。所謂感興趣的流量,是指用戶希望對其進行流量控制的數據包類型。用戶可以選擇以下幾種不同的方式來進行流量識別: |
| (1)全部的IP流量,這樣可以把所有的IP流量採用統一的流量控制策略。 |
| (2)基於IP前綴,此種方式是通過rate-limit access list來定義的。 |
| (4)MAC地址,此種方式通過rate-limit access list來定義。 |
| (5)IP access list,可通過standard或extended access list來定義。 |
| 在第一步採用上述方法識別到了感興趣的流量後,進行第二步的流量衡量(traffic measurement)。CAR採用一種名爲token bucket的機制來進行流量衡量。見下圖: |
| 圖中的token可以看成是第一步的traffic matching所識別到的感興趣流量,該種流量的數據包進入一個bucket(桶)內,該bucket的深度則由用戶定義,在進入該token bucket後,以用戶希望控制的流量速率(此流量速率並非該類流量的實際速率,而是用戶希望該類流量的速率上限)離開該bucket,執行下一部操作(conform action)。在這裏,對於實際流量速率的不同,可以看到會有兩種情況發生: |
| (1)實際流量小於或等於用戶希望速率,這樣,明顯地,token離開bucket的實際速率將和其來到的速率一樣,bucket內可以看作是空的。流量不會超過用戶的希望值。 |
| (2)實際流量大於用戶希望速率。這樣,token進入bucket的速率比其離開bucket的速率快,這樣在一段時間內,token將填滿該bucket,繼續到來的token將溢出(excess)bucket,則CAR採取相應的動作(一般是丟棄或將其IP前綴改變以改變該token的優先級)。這樣就保證了數據流量速率保證在用戶定義的希望值內。 |
| 一般來說,CAR比較適合部署在網絡的邊緣部分,我們的一般做法也是在分關路由器上部署CAR。配置CAR主要包括以下幾部分: |
| 1.確定“感興趣”的流量類型,主要通過下列方式確定: |
| (5)基於standard或extended的IP access list |
| 一般最常用的是第五種方式。用戶可以使用standard ip access list來確定哪些進行訪問(被訪問)的IP的流量需要進行rate-limit,也可以用extended ip access list來確定哪些訪問(被訪問)的IP的協議類型流量(如HTTP,FTP)需要進行rate-limit。例如我們想限制用戶到內部網站上瀏覽網頁的速度,則可以採用如下的access list來定義流量: |
| access-list 101 permit tcp any eq www any |
| 這裏值得注意的一點是在配置時要配成any eq www any而不是any any eq www。因爲主要的流量不是用戶向http server發送的請求(這類請求流量的源端口號爲隨機,目的端口號爲80),而是http server收到用戶的請求後發給用戶方的網頁內容的流量(這部分流量的源端口號爲80,目的端口號爲發起方的端口號),如果在這個小細節上不加註意則不能對下載的流量進行有效的限制。 |
| rate-limit {input|output} [access-group number ] bps burst-normal burst-max conform-action action exceed-action action |
| interface: 用戶希望進行流量控制的端口,可以是Ethernet也可以是serial口,但是不同類型的interface在下面的input output上選擇有所不同,需要注意一下。 |
| Input|output:用戶希望限制輸入或輸出的流量。還是以限制瀏覽網頁爲例子,如果在以太網端口配置,則該流量爲output;如果在serial端口配置,則該流量爲input。 |
| Access-group number: number是前面用戶用access list定義流量的access list號碼。 |
| Burst-normal burst-max:這個是指token bucket的大小,一般採用8000,16000,32000這些值,視乎bps值的大小而定。 |
| Conform-action :在速率限制以下的流量的處理策略。 |
| Exceed-action:超過速率限制的流量的處理策略。 |
- Transmit:傳輸
- Drop:丟棄
- Set precedence and transmit:修改IP前綴然後傳輸
- Set QoS group and transmit:將該流量劃入一個QoS group內傳輸
- Continue:不動作,看下一條rate-limit命令中有無流量匹配和處理策略,如無,則transmit
- Set precedence and continue:修改IP前綴然後continue
- Set QoS group and continue:劃入QoS group然後continue
|
| 這裏需要指出的是,在一個interface內,可以配置多條rate-limit命令,如果action裏面有continue,則順序執行下一條rate-limit命令,若某種流量在continue之後沒有被某條rate-limit命令丟棄,則它將進行傳輸。一個端口最多可配20條rate-limit命令。 |
| 那麼對於我們進行http限制的例子,相應的配置爲: |
| rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop |
| 這裏我們把下載的流量定義在128Kbps,token bucket的大小爲16000字節。如果把token bucket定得太小(如4000),則用戶端的速率將顯得不夠平滑。 |
| 採用命令show interface XX rate-limit可以檢查端口XX的CAR實際效果,見如下實例: |
| matches: access-group 101 |
| params: 80000000 bps, 72000 limit, 72000 extended limit |
| conformed 0 packets, 0 bytes; action: set-prec-transmit 5 |
| exceeded 0 packets, 0 bytes; action: set-prec-transmit 0 |
| last packet: 4738036ms ago, current burst: 0 bytes |
| last cleared 01:02:05 ago, conformed 0 bps, exceeded 0 bps |
| params: 50000000 bps, 64000 limit, 64000 extended limit |
| conformed 0 packets, 0 bytes; action: set-prec-transmit 5 |
| exceeded 0 packets, 0 bytes; action: set-prec-transmit 0 |
| last packet: 4738036ms ago, current burst: 0 bytes |
| last cleared 01:00:22 ago, conformed 0 bps, exceeded 0 bps |
| params: 80000000 bps, 80000 limit, 80000 extended limit |
| conformed 0 packets, 0 bytes; action: transmit |
| exceeded 0 packets, 0 bytes; action: drop |
| last packet: 4809528ms ago, current burst: 0 bytes |
| last cleared 00:59:42 ago, conformed 0 bps, exceeded 0 bps |
| 這裏解釋一下show interface rate-limit看到的結果。 |
| Matches是表示該interface配置的traffic matching規則,有多個matches表示該interface配置了多條rate-limit命令,採用了多條matching規則。下面的params表示該規則定義的各項參數,xxx bps表示設定速率值,limit和extended limit表示token bucket的容量。Conformed x packets,y bytes表示對速率限制內的包數量和字節數,action表示對符合規則的包採用的處理方式;exceeded x packets這行也類似地是表示對超過速率限制的包的數量和字節數,action是其處理方式。下面的last packet是表示最新的到來數據包的是多久前到達的,current burst是當前token bucket內的數據大小,last cleared是最近一次清記數器到現在的時間,conform x bps表示速率限制內的包的實際流量速率,exceed y bps 表示超過部分的速率。 |
| 我們可以用這條命令檢查我們配置CAR的實際效果,如果發現沒有conform的流量,則一般情況下是traffic matching的規則設置有問題,又或者是在interface上的input output設得不正確。 |
| CAR除了可以象我們提供的範例所示來限制某種流量的速率之外,還可以用來抵擋某些類型的網絡***。 |
| DOS網絡***的一個特徵是網絡中會充斥着大量帶有非法源地址的ICMP包,我們可以通過在路由器上對ICMP包通過配置CAR來設置速率上限的方法來保護網絡。 |
| rate-limit output access-group 2020 3000000 80000 80000 conform-action transmit exceed-action drop |
| access-list 2020 permit icmp any any echo-reply |
| 這樣可以限制ICMP包的轉發速率和大小,減少對網絡和主機造成的破壞。 注:在CAR裏面會用到access-list rate-limit xx mask 0-FF (00表示不匹配任意precedence,FF表示匹配任意precedence),它的作用是通過使用掩碼來匹配被設置了優先權(0~7)的包,其使用方法有這麼幾個步驟: 一:Decide which precedence's you want to assign to this rate-limit access list(決定你要分配給rate-limit ACL的precedence) |
二:Convert the precedence's into an 8-bit numbers with each bit corresponding to one
precedence. For example, an IP precedence of 0 corresponds to 00000001, 1 corresponds
to 00000010, 6 corresponds to 01000000, and 7 corresponds to 10000000.(把precedence轉換成一個8位數,每一位都對應一個precedence值,如:precedence0 對應00000001,precedence1對應00000010,precedence6對應01000000,precedence7對應10000000,仔細看不難發現其規律)
三: Add the 8-bit numbers for the selected precedence's together. For example, the
mask for precedence's 1 and 6 is 01000010.(把相應的precedence值0~7加到一起組成8位數如:1:00000010+6:01000000=01000010)
四:Convert the binary mark into the corresponding hexadecimal number.(把得到的二進制數轉換成相應的十六進制數,如:01000010=0x42)不知道大家明白沒有這裏我把原文貼出來共享:
Use the mask keyword to assign multiple IP precedence's to the same rate-limit list. To
determine the mask value, perform the following steps:
Step 1 Decide which precedence's you want to assign to this rate-limit access list.
Step 2 Convert the precedence's into an 8-bit numbers with each bit corresponding to one
precedence. For example, an IP precedence of 0 corresponds to 00000001, 1 corresponds
to 00000010, 6 corresponds to 01000000, and 7 corresponds to 10000000.
Step 3 Add the 8-bit numbers for the selected precedence's together. For example, the
mask for precedence's 1 and 6 is 01000010.
Step 4 Convert the binary mark into the corresponding hexadecimal number. For
example, 01000010 becomes 0x42. This value is used in the access-list rate-limit
command. Any packets that have an IP precedence of 1 or 6 will match this access list. A
mask of FF matches any precedence, and 00 does not match any precedence.
In this example, a mask of 07 translates to 00000111, so IP precedence 0, 1, and 2 will be
policed.
