科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Cisco路由器上的CAR的机制和实现方法

Cisco路由器上的CAR的机制和实现方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

许多单位因为工作需要,都建立了单位的内部网络,大型的企业和单位可能还建立了广域网(WAN)。网络上的应用类型种类繁多,为了保障主要应用的良好运作,必然要在网络上进行流量控制。

作者:zdnet安全频道 来源:论坛整理 2008年11月17日

关键字: 路由器 CISCO

  • 评论
  • 分享微博
  • 分享邮件

  前言

  许多单位因为工作需要,都建立了单位的内部网络,大型的企业和单位可能还建立了广域网(WAN)。网络上的应用类型种类繁多,为了保障主要应用的良好运作,必然要在网络上进行流量控制。一种方法是购买一些流量控制的产品如PacketShaper,但是这类产品价格比较昂贵,使得用户不能大面积的在全网范围内部署;第二种方法就是在企业网广泛使用的CISCO路由器上使用CAR流量控制策略。

  一、什么是CAR

  CAR是Committed Access Rate的简写,意思是:承诺访问速率。

  1.CAR的作用

  CAR主要有两个作用:对一个端口或子端口(subinterface)的进出流量速率按某个标准上限进行限制;对流量进行分类,划分出不同的QoS优先级。

  2.CAR的适用范围

  CAR只能对IP包起作用,对非IP流量不能进行限制,另外CAR只能在支持CEF交换(Cisco Express Forward)的路由器或交换机上使用。所以只有Cisco 2600系列以上的型号才可以使用CAR。以下这些interface上也不能使用CAR:

  Fast EtherChannel interface

  Tunnel Interface

  PRI interface

  3.CAR的运作机制

  CAR可以看成是数据包分类识别(packet classification)和流量控制(access rate limiting)的结合。其工作流程可以从下图指出:

  Cisco路由器上的CAR的机制和实现方法

  第一步的Traffic Matching是首先从数据流中识别出感兴趣的流量。所谓感兴趣的流量,是指用户希望对其进行流量控制的数据包类型。用户可以选择以下几种不同的方式来进行流量识别:

  (1)全部的IP流量,这样可以把所有的IP流量采用统一的流量控制策略。

  (2)基于IP前缀,此种方式是通过rate-limit access list来定义的。

  (3)QoS 分组

  (4)MAC地址,此种方式通过rate-limit  access list来定义。

  (5)IP access list,可通过standard或extended access list来定义。

  在第一步采用上述方法识别到了感兴趣的流量后,进行第二步的流量衡量(traffic measurement)。CAR采用一种名为token bucket的机制来进行流量衡量。见下图:

  图中的token可以看成是第一步的traffic matching所识别到的感兴趣流量,该种流量的数据包进入一个bucket(桶)内,该bucket的深度则由用户定义,在进入该token bucket后,以用户希望控制的流量速率(此流量速率并非该类流量的实际速率,而是用户希望该类流量的速率上限)离开该bucket,执行下一部操作(conform action)。在这里,对于实际流量速率的不同,可以看到会有两种情况发生:

  (1)实际流量小于或等于用户希望速率,这样,明显地,token离开bucket的实际速率将和其来到的速率一样,bucket内可以看作是空的。流量不会超过用户的希望值。

  (2)实际流量大于用户希望速率。这样,token进入bucket的速率比其离开bucket的速率快,这样在一段时间内,token将填满该bucket,继续到来的token将溢出(excess)bucket,则CAR采取相应的动作(一般是丢弃或将其IP前缀改变以改变该token的优先级)。这样就保证了数据流量速率保证在用户定义的希望值内。

  二、如何配置CAR

  一般来说,CAR比较适合部署在网络的边缘部分,我们的一般做法也是在分关路由器上部署CAR。配置CAR主要包括以下几部分:

  1.确定“感兴趣”的流量类型,主要通过下列方式确定:

  (1)所有的IP流量

  (2)基于IP前缀

  (3)基于QoS分组

  (4)基于MAC地址

  (5)基于standard或extended的IP access list

  一般最常用的是第五种方式。用户可以使用standard ip access list来确定哪些进行访问(被访问)的IP的流量需要进行rate-limit,也可以用extended ip access list来确定哪些访问(被访问)的IP的协议类型流量(如HTTP,FTP)需要进行rate-limit。例如我们想限制用户到内部网站上浏览网页的速度,则可以采用如下的access list来定义流量:

  access-list 101 permit tcp any eq www any

  这里值得注意的一点是在配置时要配成any eq www any而不是any any eq www。因为主要的流量不是用户向http server发送的请求(这类请求流量的源端口号为随机,目的端口号为80),而是http server收到用户的请求后发给用户方的网页内容的流量(这部分流量的源端口号为80,目的端口号为发起方的端口号),如果在这个小细节上不加注意则不能对下载的流量进行有效的限制。

  2.在相应的端口配置rate-limit:

  一般的写法是:

  interface X

  rate-limit {input|output} [access-group number ] bps burst-normal burst-max conform-action action exceed-action action

  命令解释如下:

  interface: 用户希望进行流量控制的端口,可以是Ethernet也可以是serial口,但是不同类型的interface在下面的input output上选择有所不同,需要注意一下。

  Input|output:用户希望限制输入或输出的流量。还是以限制浏览网页为例子,如果在以太网端口配置,则该流量为output;如果在serial端口配置,则该流量为input。

  Access-group number: number是前面用户用access list定义流量的access list号码。

  Bps:用户希望该流量的速率上限,单位是bps。

  Burst-normal burst-max:这个是指token bucket的大小,一般采用8000,16000,32000这些值,视乎bps值的大小而定。

  Conform-action :在速率限制以下的流量的处理策略。

  Exceed-action:超过速率限制的流量的处理策略。

  Action:处理策略,包括以下几种:

  Transmit:传输

  Drop:丢弃

  Set precedence and transmit:修改IP前缀然后传输

  Set QoS group and transmit:将该流量划入一个QoS group内传输

  Continue:不动作,看下一条rate-limit命令中有无流量匹配和处理策略,如无,则transmit

  Set precedence and continue:修改IP前缀然后continue

  Set QoS group and continue:划入QoS group然后continue

  这里需要指出的是,在一个interface内,可以配置多条rate-limit命令,如果action里面有continue,则顺序执行下一条rate-limit命令,若某种流量在continue之后没有被某条rate-limit命令丢弃,则它将进行传输。一个端口最多可配20条rate-limit命令。

  那么对于我们进行http限制的例子,相应的配置为:

  interface e0

  rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop

  这里我们把下载的流量定义在128Kbps,token bucket的大小为16000字节。如果把token bucket定得太小(如4000),则用户端的速率将显得不够平滑。

  三、如何检查CAR是否在相应端口起了作用

  采用命令show interface XX rate-limit可以检查端口XX的CAR实际效果,见如下实例:

  Fddi2/1/0

  Input

  matches: access-group 101

  params: 80000000 bps, 72000 limit, 72000 extended limit

  conformed 0 packets, 0 bytes; action: set-prec-transmit 5

  exceeded 0 packets, 0 bytes; action: set-prec-transmit 0

  last packet: 4738036ms ago, current burst: 0 bytes

  last cleared 01:02:05 ago, conformed 0 bps, exceeded 0 bps

  matches: all traffic

  params: 50000000 bps, 64000 limit, 64000 extended limit

  conformed 0 packets, 0 bytes; action: set-prec-transmit 5

  exceeded 0 packets, 0 bytes; action: set-prec-transmit 0

  last packet: 4738036ms ago, current burst: 0 bytes

  last cleared 01:00:22 ago, conformed 0 bps, exceeded 0 bps

  Output

  matches: all traffic

  params: 80000000 bps, 80000 limit, 80000 extended limit

  conformed 0 packets, 0 bytes; action: transmit

  exceeded 0 packets, 0 bytes; action: drop

  last packet: 4809528ms ago, current burst: 0 bytes

  last cleared 00:59:42 ago, conformed 0 bps, exceeded 0 bps

  这里解释一下show interface rate-limit看到的结果。

  Matches是表示该interface配置的traffic matching规则,有多个matches表示该interface配置了多条rate-limit命令,采用了多条matching规则。下面的params表示该规则定义的各项参数,xxx bps表示设定速率值,limit和extended limit表示token bucket的容量。Conformed x packets,y bytes表示对速率限制内的包数量和字节数,action表示对符合规则的包采用的处理方式;exceeded x packets这行也类似地是表示对超过速率限制的包的数量和字节数,action是其处理方式。下面的last packet是表示最新的到来数据包的是多久前到达的,current burst是当前token bucket内的数据大小,last cleared是最近一次清记数器到现在的时间,conform x bps表示速率限制内的包的实际流量速率,exceed y bps 表示超过部分的速率。

  我们可以用这条命令检查我们配置CAR的实际效果,如果发现没有conform的流量,则一般情况下是traffic matching的规则设置有问题,又或者是在interface上的input output设得不正确。

  四、CAR的其他用途

  CAR除了可以象我们提供的范例所示来限制某种流量的速率之外,还可以用来抵挡某些类型的网络攻击。

  DOS网络攻击的一个特征是网络中会充斥着大量带有非法源地址的ICMP包,我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络。

  范例如下:

  interface xy

  rate-limit output access-group 2020 3000000 80000 80000 conform-action transmit exceed-action drop

  access-list 2020 permit icmp any any echo-reply

  这样可以限制ICMP包的转发速率和大小,减少对网络和主机造成的破坏。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章