| |
Input output:确定需要限制输入或输出的流量。如果在以太网端口配置,则该流量为output;如果在serial端口配置,则该流量为input。
access-group number: number是前面用access list定义流量的access list号码。
bps:用户希望该流量的速率上限,单位是bps。
burst-normal burst-max:这个是指token bucket的大小,一般采用8000、16000、32000这些值,视bps值的大小而定。
conform-action:在速率限制以下的流量的处理策略。
exceed-action:超过速率限制的流量的处理策略。
action:处理策略,包括以下几种:
◆ transmit:传输。
◆ drop:丢弃。
◆ set precedence and transmit:修改IP前缀然后传输。
◆ set QoS group and transmit:将该流量划入一个QoS group内传输。
◆ continue:不动作,看下一条rate-limit命令中有无流量匹配和处理策略,如无,则transmit。
◆ set precedence and continue:修改IP前缀然后continue。
◆ set QoS group and continue:划入QoS group然后continue。
具体应用
CAR限制某种流量的速率之外,还可以用来抵挡DoS型攻击,诸如Smurf攻击使得网络上充斥着大量带有非法源地址的ICMP,占用网络的资源。我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络(如图3所示)。
图3
客户端边界路由器上的配置:
interface s0 rate-limit input access-group 200 3000000 80000 80000
conform-action transmit exceed-action drop
这里我们把icmp包的流量定义在3Mbps,token bucket的大小为8000字节。
access-list 200 permit icmp any any echo-reply
这样一旦受到Smurf攻击时,在一定程度上我们可以限制ICMP包的转发速率和大小,减少对网络和主机造成的破坏。
为了更好地运用CAR限速策略,我们需要弄清楚DoS攻击的原理,这样才能针对DoS攻击的不同类型采取相应的防范措施。 |
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
