|
| CAR是Committed Access Rate的简写,意思是:承诺访问速率。 |
| CAR主要有两个作用:对一个端口或子端口(subinterface)的进出流量速率按某个标准上限进行限制;对流量进行分类,划分出不同的QoS优先级。 |
| 2.CAR的适用范围 |
| CAR只能对IP包起作用,对非IP流量不能进行限制,另外CAR只能在支持CEF交换(Cisco Express Forward)的路由器或交换机上使用。所以只有Cisco 2600系列以上的型号才可以使用CAR。以下这些interface上也不能使用CAR: |
| Fast EtherChannel interface |
| CAR可以看成是数据包分类识别(packet classification)和流量控制(access rate limiting)的结合。其工作流程可以从下图指出: |
| 第一步的Traffic Matching是首先从数据流中识别出感兴趣的流量。所谓感兴趣的流量,是指用户希望对其进行流量控制的数据包类型。用户可以选择以下几种不同的方式来进行流量识别: |
| (1)全部的IP流量,这样可以把所有的IP流量采用统一的流量控制策略。 |
| (2)基于IP前缀,此种方式是通过rate-limit access list来定义的。 |
| (4)MAC地址,此种方式通过rate-limit access list来定义。 |
| (5)IP access list,可通过standard或extended access list来定义。 |
| 在第一步采用上述方法识别到了感兴趣的流量后,进行第二步的流量衡量(traffic measurement)。CAR采用一种名为token bucket的机制来进行流量衡量。见下图: |
| 图中的token可以看成是第一步的traffic matching所识别到的感兴趣流量,该种流量的数据包进入一个bucket(桶)内,该bucket的深度则由用户定义,在进入该token bucket后,以用户希望控制的流量速率(此流量速率并非该类流量的实际速率,而是用户希望该类流量的速率上限)离开该bucket,执行下一部操作(conform action)。在这里,对于实际流量速率的不同,可以看到会有两种情况发生: |
| (1)实际流量小于或等于用户希望速率,这样,明显地,token离开bucket的实际速率将和其来到的速率一样,bucket内可以看作是空的。流量不会超过用户的希望值。 |
| (2)实际流量大于用户希望速率。这样,token进入bucket的速率比其离开bucket的速率快,这样在一段时间内,token将填满该bucket,继续到来的token将溢出(excess)bucket,则CAR采取相应的动作(一般是丢弃或将其IP前缀改变以改变该token的优先级)。这样就保证了数据流量速率保证在用户定义的希望值内。 |
| 一般来说,CAR比较适合部署在网络的边缘部分,我们的一般做法也是在分关路由器上部署CAR。配置CAR主要包括以下几部分: |
| 1.确定“感兴趣”的流量类型,主要通过下列方式确定: |
| (5)基于standard或extended的IP access list |
| 一般最常用的是第五种方式。用户可以使用standard ip access list来确定哪些进行访问(被访问)的IP的流量需要进行rate-limit,也可以用extended ip access list来确定哪些访问(被访问)的IP的协议类型流量(如HTTP,FTP)需要进行rate-limit。例如我们想限制用户到内部网站上浏览网页的速度,则可以采用如下的access list来定义流量: |
| access-list 101 permit tcp any eq www any |
| 这里值得注意的一点是在配置时要配成any eq www any而不是any any eq www。因为主要的流量不是用户向http server发送的请求(这类请求流量的源端口号为随机,目的端口号为80),而是http server收到用户的请求后发给用户方的网页内容的流量(这部分流量的源端口号为80,目的端口号为发起方的端口号),如果在这个小细节上不加注意则不能对下载的流量进行有效的限制。 |
| rate-limit {input|output} [access-group number ] bps burst-normal burst-max conform-action action exceed-action action |
| interface: 用户希望进行流量控制的端口,可以是Ethernet也可以是serial口,但是不同类型的interface在下面的input output上选择有所不同,需要注意一下。 |
| Input|output:用户希望限制输入或输出的流量。还是以限制浏览网页为例子,如果在以太网端口配置,则该流量为output;如果在serial端口配置,则该流量为input。 |
| Access-group number: number是前面用户用access list定义流量的access list号码。 |
| Burst-normal burst-max:这个是指token bucket的大小,一般采用8000,16000,32000这些值,视乎bps值的大小而定。 |
| Conform-action :在速率限制以下的流量的处理策略。 |
| Exceed-action:超过速率限制的流量的处理策略。 |
- Transmit:传输
- Drop:丢弃
- Set precedence and transmit:修改IP前缀然后传输
- Set QoS group and transmit:将该流量划入一个QoS group内传输
- Continue:不动作,看下一条rate-limit命令中有无流量匹配和处理策略,如无,则transmit
- Set precedence and continue:修改IP前缀然后continue
- Set QoS group and continue:划入QoS group然后continue
|
| 这里需要指出的是,在一个interface内,可以配置多条rate-limit命令,如果action里面有continue,则顺序执行下一条rate-limit命令,若某种流量在continue之后没有被某条rate-limit命令丢弃,则它将进行传输。一个端口最多可配20条rate-limit命令。 |
| 那么对于我们进行http限制的例子,相应的配置为: |
| rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop |
| 这里我们把下载的流量定义在128Kbps,token bucket的大小为16000字节。如果把token bucket定得太小(如4000),则用户端的速率将显得不够平滑。 |
| 采用命令show interface XX rate-limit可以检查端口XX的CAR实际效果,见如下实例: |
| matches: access-group 101 |
| params: 80000000 bps, 72000 limit, 72000 extended limit |
| conformed 0 packets, 0 bytes; action: set-prec-transmit 5 |
| exceeded 0 packets, 0 bytes; action: set-prec-transmit 0 |
| last packet: 4738036ms ago, current burst: 0 bytes |
| last cleared 01:02:05 ago, conformed 0 bps, exceeded 0 bps |
| params: 50000000 bps, 64000 limit, 64000 extended limit |
| conformed 0 packets, 0 bytes; action: set-prec-transmit 5 |
| exceeded 0 packets, 0 bytes; action: set-prec-transmit 0 |
| last packet: 4738036ms ago, current burst: 0 bytes |
| last cleared 01:00:22 ago, conformed 0 bps, exceeded 0 bps |
| params: 80000000 bps, 80000 limit, 80000 extended limit |
| conformed 0 packets, 0 bytes; action: transmit |
| exceeded 0 packets, 0 bytes; action: drop |
| last packet: 4809528ms ago, current burst: 0 bytes |
| last cleared 00:59:42 ago, conformed 0 bps, exceeded 0 bps |
| 这里解释一下show interface rate-limit看到的结果。 |
| Matches是表示该interface配置的traffic matching规则,有多个matches表示该interface配置了多条rate-limit命令,采用了多条matching规则。下面的params表示该规则定义的各项参数,xxx bps表示设定速率值,limit和extended limit表示token bucket的容量。Conformed x packets,y bytes表示对速率限制内的包数量和字节数,action表示对符合规则的包采用的处理方式;exceeded x packets这行也类似地是表示对超过速率限制的包的数量和字节数,action是其处理方式。下面的last packet是表示最新的到来数据包的是多久前到达的,current burst是当前token bucket内的数据大小,last cleared是最近一次清记数器到现在的时间,conform x bps表示速率限制内的包的实际流量速率,exceed y bps 表示超过部分的速率。 |
| 我们可以用这条命令检查我们配置CAR的实际效果,如果发现没有conform的流量,则一般情况下是traffic matching的规则设置有问题,又或者是在interface上的input output设得不正确。 |
| CAR除了可以象我们提供的范例所示来限制某种流量的速率之外,还可以用来抵挡某些类型的网络攻击。 |
| DOS网络攻击的一个特征是网络中会充斥着大量带有非法源地址的ICMP包,我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络。 |
| rate-limit output access-group 2020 3000000 80000 80000 conform-action transmit exceed-action drop |
| access-list 2020 permit icmp any any echo-reply |
|
这样可以限制ICMP包的转发速率和大小,减少对网络和主机造成的破坏。
注:在CAR里面会用到access-list rate-limit xx mask 0-FF (00表示不匹配任意precedence,FF表示匹配任意precedence),它的作用是通过使用掩码来匹配被设置了优先权(0~7)的包,其使用方法有这么几个步骤:
一:Decide which precedence's you want to assign to this rate-limit access list(决定你要分配给rate-limit ACL的precedence) |
二:Convert the precedence's into an 8-bit numbers with each bit corresponding to one
precedence. For example, an IP precedence of 0 corresponds to 00000001, 1 corresponds
to 00000010, 6 corresponds to 01000000, and 7 corresponds to 10000000.(把precedence转换成一个8位数,每一位都对应一个precedence值,如:precedence0 对应00000001,precedence1对应00000010,precedence6对应01000000,precedence7对应10000000,仔细看不难发现其规律)
三: Add the 8-bit numbers for the selected precedence's together. For example, the
mask for precedence's 1 and 6 is 01000010.(把相应的precedence值0~7加到一起组成8位数如:1:00000010+6:01000000=01000010)
四:Convert the binary mark into the corresponding hexadecimal number.(把得到的二进制数转换成相应的十六进制数,如:01000010=0x42)不知道大家明白没有这里我把原文贴出来共享:
Use the mask keyword to assign multiple IP precedence's to the same rate-limit list. To
determine the mask value, perform the following steps:
Step 1 Decide which precedence's you want to assign to this rate-limit access list.
Step 2 Convert the precedence's into an 8-bit numbers with each bit corresponding to one
precedence. For example, an IP precedence of 0 corresponds to 00000001, 1 corresponds
to 00000010, 6 corresponds to 01000000, and 7 corresponds to 10000000.
Step 3 Add the 8-bit numbers for the selected precedence's together. For example, the
mask for precedence's 1 and 6 is 01000010.
Step 4 Convert the binary mark into the corresponding hexadecimal number. For
example, 01000010 becomes 0x42. This value is used in the access-list rate-limit
command. Any packets that have an IP precedence of 1 or 6 will match this access list. A
mask of FF matches any precedence, and 00 does not match any precedence.
In this example, a mask of 07 translates to 00000111, so IP precedence 0, 1, and 2 will be
policed.
本文出自 51CTO.COM技术博客 |
Cisco CAR 实现方法和机制
kendy
博客统计信息
热门文章
最新评论
友情链接