普联路由器设置CAR
普联路由器设置CAR
CAR策略的作用:拒绝服务攻击是目前黑客广泛使用的一种手段,它通过占用大量的网络资源、使其他主机不能进行正常访问,从而导致网络瘫痪,这时可以通过在路由器上采用CAR限速策略来抵御。
CAR是CommittedAccessRate的简写,主要有两个作用:对一个端口或子端口的进出流量速率按某个标准上限进行,对流量进行分类,划分出不同的QoS优先级,CAR只能对IP包起作用,对非IP流量不能进行,CAR只能在支持CEF交换的路由器上使用。
一、要对流量进行控制我们首先要做的是对数据包分类识别,然后再对其进行流量控制,CAR就是两者的结合,首先我们要定义对其进行流量控制的数据包类型,可以选择以下几种不同的方式来进行流量识别 www.2cto.com
1、基于IP前缀,此种方式是通过rate-limitaccesslist来定义的;
2、QoS分组;
3、IPaccesslist,可通过standard或extendedaccesslist来定义。
二、限流器使用tokenbucket的算法流量flow的带宽利用率,在每个流入的帧到达的时候,就把它们的长度加到tokenbucket上,每隔0.25毫秒,从tokenbucket减去CIR或者说是平均限流速率的值,从而稳定数据速率。
1、限流器允许流量速率突发超出平均速率一定的量,tokenbucket增长到突发值水平之间的质量是允许的有效突发量,这也叫做限内流量,当tokenbucket的大小超过了突发值,限流器就认为流量过大了,这时我们可以定义一个PIR。
2、当流量超出最大突发值达到PIR的时候,限流器就认为流量违规,这类流量也叫做限外流量,所以当实际的流量通过限流器后,可以看到会有两种情况发生:
(1)实际流量小于或等于用户希望速率,帧离开bucket的实际速率将和其来到的速率一样,bucket内可以看作是空的。流量不会超过用户的希望值。
(2)实际流量大于用户希望速率。帧进入bucket的速率比其离开bucket的速率快,这样在一段时间内,帧将填满该bucket,继续到来的帧将溢出bucket,则CAR采取相应的动作,这样就了数据流量速率在用户定义的希望值内。
三、通常在网络的边缘路由器上配置CAR
interfaceX www.2cto.com
rate-limit{inputoutput}[access-groupnumber]bpsburst-normalburst-maxconform- actionactionexceed-actionaction
1、interface是用户希望进行流量控制的端口,可以是Ethernet也可以是serial口,但是不同类型的interface在下面的input、output上选择有所不同。
2、Inputoutput确定需要限制输入或输出的流量,如果在以太网端口配置,则该流量为output;如果在serial端口配置,则该流量为input。
3、access-groupnumber:number是前面用accesslist定义流量的accesslist号码。
4、bps用户希望该流量的速率上限,单位是bps。
5、burst-normalburst-max这个是指tokenbucket的大小,一般采用8000、16000、32000这些值,视bps值的大小而定。
6、conform-action在速率限制以下的流量的处理策略。
7、exceed-action超过速率限制的流量的处理策略。
CAR限制某种流量的速率之外,还可以用来抵挡DoS型攻击,诸如Smurf攻击使得网络上充斥着大量带有非法源地址的ICMP,占用网络的资源,我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络。
- 上一篇:Aop实现接口方式
- 下一篇:淘金贷事件监管乱象:第三方支付被指形同虚设
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻