本文主要給大家詳細(xì)的介紹了什么是CAR，如何進(jìn)行CAR的配置，如何檢查CAR是否在相應(yīng)端口起了作用等問(wèn)題，相信看過(guò)此文會(huì)對(duì)你有所幫助。

許多單位因?yàn)楣ぷ餍枰冀⒘藛挝坏膬?nèi)部網(wǎng)絡(luò)，大型的企業(yè)和單位可能還建立了廣域網(wǎng)(WAN)。網(wǎng)絡(luò)上的應(yīng)用類型種類繁多，為了保障主要應(yīng)用的良好運(yùn)作，必然要在網(wǎng)絡(luò)上進(jìn)行流量控制。一種方法是購(gòu)買一些流量控制的產(chǎn)品如PacketShaper，但是這類產(chǎn)品價(jià)格比較昂貴，使得用戶不能大面積的在全網(wǎng)范圍內(nèi)部署;第二種方法就是在企業(yè)網(wǎng)廣泛使用的CISCO路由器上使用CAR流量控制策略。

一、什么是CAR

CAR是Committed Access Rate的簡(jiǎn)寫，意思是：承諾訪問(wèn)速率。

1.CAR的作用

CAR主要有兩個(gè)作用：對(duì)一個(gè)端口或子端口(subinterface)的進(jìn)出流量速率按某個(gè)標(biāo)準(zhǔn)上限進(jìn)行限制;對(duì)流量進(jìn)行分類，劃分出不同的QoS優(yōu)先級(jí)。

2.CAR的適用范圍

CAR只能對(duì)IP包起作用，對(duì)非IP流量不能進(jìn)行限制，另外CAR只能在支持CEF交換(Cisco Express Forward)的路由器或交換機(jī)上使用。所以只有Cisco 2600系列以上的型號(hào)才可以使用CAR。以下這些interface上也不能使用CAR：

Fast EtherChannel interface

Tunnel Interface

PRI interface

3.CAR的運(yùn)作機(jī)制

CAR可以看成是數(shù)據(jù)包分類識(shí)別(packet classification)和流量控制(access rate limiting)的結(jié)合。其工作流程可以從下圖指出：

第一步的Traffic Matching是首先從數(shù)據(jù)流中識(shí)別出感興趣的流量。所謂感興趣的流量，是指用戶希望對(duì)其進(jìn)行流量控制的數(shù)據(jù)包類型。用戶可以選擇以下幾種不同的方式來(lái)進(jìn)行流量識(shí)別：

(1)全部的IP流量，這樣可以把所有的IP流量采用統(tǒng)一的流量控制策略。

(2)基于IP前綴，此種方式是通過(guò)rate-limit access list來(lái)定義的。

(3)QoS 分組

(4)MAC地址，此種方式通過(guò)rate-limitaccess list來(lái)定義。

(5)IP access list，可通過(guò)standard或extended access list來(lái)定義。

在第一步采用上述方法識(shí)別到了感興趣的流量后，進(jìn)行第二步的流量衡量(traffic measurement)。CAR采用一種名為token bucket的機(jī)制來(lái)進(jìn)行流量衡量。

圖中的token可以看成是第一步的traffic matching所識(shí)別到的感興趣流量，該種流量的數(shù)據(jù)包進(jìn)入一個(gè)bucket(桶)內(nèi)，該bucket的深度則由用戶定義，在進(jìn)入該token bucket后，以用戶希望控制的流量速率(此流量速率并非該類流量的實(shí)際速率，而是用戶希望該類流量的速率上限)離開(kāi)該bucket，執(zhí)行下一部操作(conform action)。在這里，對(duì)于實(shí)際流量速率的不同，可以看到會(huì)有兩種情況發(fā)生：

(1)實(shí)際流量小于或等于用戶希望速率，這樣，明顯地，token離開(kāi)bucket的實(shí)際速率將和其來(lái)到的速率一樣，bucket內(nèi)可以看作是空的。流量不會(huì)超過(guò)用戶的希望值。

(2)實(shí)際流量大于用戶希望速率。這樣，token進(jìn)入bucket的速率比其離開(kāi)bucket的速率快，這樣在一段時(shí)間內(nèi)，token將填滿該bucket，繼續(xù)到來(lái)的token將溢出(excess)bucket，則CAR采取相應(yīng)的動(dòng)作(一般是丟棄或?qū)⑵銲P前綴改變以改變?cè)搕oken的優(yōu)先級(jí))。這樣就保證了數(shù)據(jù)流量速率保證在用戶定義的希望值內(nèi)。

二、如何配置CAR

一般來(lái)說(shuō)，CAR比較適合部署在網(wǎng)絡(luò)的邊緣部分，我們的一般做法也是在分關(guān)路由器上部署CAR。配置CAR主要包括以下幾部分：

1.確定“感興趣”的流量類型，主要通過(guò)下列方式確定：

(1)所有的IP流量

(2)基于IP前綴

(3)基于QoS分組

(4)基于MAC地址

(5)基于standard或extended的IP access list

一般最常用的是第五種方式。用戶可以使用standard ip access list來(lái)確定哪些進(jìn)行訪問(wèn)(被訪問(wèn))的IP的流量需要進(jìn)行rate-limit，也可以用extended ip access list來(lái)確定哪些訪問(wèn)(被訪問(wèn))的IP的協(xié)議類型流量(如HTTP，F(xiàn)TP)需要進(jìn)行rate-limit。例如我們想限制用戶到內(nèi)部網(wǎng)站上瀏覽網(wǎng)頁(yè)的速度，則可以采用如下的access list來(lái)定義流量：

access-list 101 permit tcp any eq www any

這里值得注意的一點(diǎn)是在配置時(shí)要配成any eq www any而不是any any eq www。因?yàn)橹饕牧髁坎皇怯脩粝騢ttp server發(fā)送的請(qǐng)求(這類請(qǐng)求流量的源端口號(hào)為隨機(jī)，目的端口號(hào)為80)，而是http server收到用戶的請(qǐng)求后發(fā)給用戶方的網(wǎng)頁(yè)內(nèi)容的流量(這部分流量的源端口號(hào)為80，目的端口號(hào)為發(fā)起方的端口號(hào))，如果在這個(gè)小細(xì)節(jié)上不加注意則不能對(duì)下載的流量進(jìn)行有效的限制。

2.在相應(yīng)的端口配置rate-limit:

一般的寫法是：

interface X

rate-limit [access-group number ] bps burst-normal burst-max conform-action action exceed-action action

命令解釋如下：

interface: 用戶希望進(jìn)行流量控制的端口，可以是Ethernet也可以是serial口，但是不同類型的interface在下面的input output上選擇有所不同，需要注意一下。

Input|output:用戶希望限制輸入或輸出的流量。還是以限制瀏覽網(wǎng)頁(yè)為例子，如果在以太網(wǎng)端口配置，則該流量為output;如果在serial端口配置，則該流量為input。

Access-group number: number是前面用戶用access list定義流量的access list號(hào)碼。

Bps:用戶希望該流量的速率上限，單位是bps。

Burst-normal burst-max：這個(gè)是指token bucket的大小，一般采用8000，16000，32000這些值，視乎bps值的大小而定。

Conform-action ：在速率限制以下的流量的處理策略。

Exceed-action:超過(guò)速率限制的流量的處理策略。

Action:處理策略，包括以下幾種：

Transmit:傳輸

Drop:丟棄

Set precedence and transmit:修改IP前綴然后傳輸

Set QoS group and transmit:將該流量劃入一個(gè)QoS group內(nèi)傳輸

Continue:不動(dòng)作，看下一條rate-limit命令中有無(wú)流量匹配和處理策略，如無(wú)，則transmit

Set precedence and continue:修改IP前綴然后continue

Set QoS group and continue:劃入QoS group然后continue

這里需要指出的是，在一個(gè)interface內(nèi)，可以配置多條rate-limit命令，如果action里面有continue，則順序執(zhí)行下一條rate-limit命令，若某種流量在continue之后沒(méi)有被某條rate-limit命令丟棄，則它將進(jìn)行傳輸。一個(gè)端口最多可配20條rate-limit命令。

那么對(duì)于我們進(jìn)行http限制的例子，相應(yīng)的配置為：

interface e0

rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop

這里我們把下載的流量定義在128Kbps，token bucket的大小為16000字節(jié)。如果把token bucket定得太小(如4000)，則用戶端的速率將顯得不夠平滑。

三、如何檢查CAR是否在相應(yīng)端口起了作用

采用命令show interface XX rate-limit可以檢查端口XX的CAR實(shí)際效果，見(jiàn)如下實(shí)例：

Fddi2/1/0

Input

matches: access-group 101

params: 80000000 bps， 72000 limit， 72000 extended limit

conformed 0 packets， 0 bytes; action: set-prec-transmit 5

exceeded 0 packets， 0 bytes; action: set-prec-transmit 0

last packet: 4738036ms ago， current burst: 0 bytes

last cleared 01:02:05 ago， conformed 0 bps， exceeded 0 bps

matches: all traffic

params: 50000000 bps， 64000 limit， 64000 extended limit

conformed 0 packets， 0 bytes; action: set-prec-transmit 5

exceeded 0 packets， 0 bytes; action: set-prec-transmit 0

last packet: 4738036ms ago， current burst: 0 bytes

last cleared 01:00:22 ago， conformed 0 bps， exceeded 0 bps

Output

matches: all traffic

params: 80000000 bps， 80000 limit， 80000 extended limit

conformed 0 packets， 0 bytes; action: transmit

exceeded 0 packets， 0 bytes; action: drop

last packet: 4809528ms ago， current burst: 0 bytes

last cleared 00:59:42 ago， conformed 0 bps， exceeded 0 bps

這里解釋一下show interface rate-limit看到的結(jié)果。

Matches是表示該interface配置的traffic matching規(guī)則，有多個(gè)matches表示該interface配置了多條rate-limit命令，采用了多條matching規(guī)則。下面的params表示該規(guī)則定義的各項(xiàng)參數(shù)，xxx bps表示設(shè)定速率值，limit和extended limit表示token bucket的容量。Conformed x packets，y bytes表示對(duì)速率限制內(nèi)的包數(shù)量和字節(jié)數(shù)，action表示對(duì)符合規(guī)則的包采用的處理方式;exceeded x packets這行也類似地是表示對(duì)超過(guò)速率限制的包的數(shù)量和字節(jié)數(shù)，action是其處理方式。下面的last packet是表示最新的到來(lái)數(shù)據(jù)包的是多久前到達(dá)的，current burst是當(dāng)前token bucket內(nèi)的數(shù)據(jù)大小，last cleared是最近一次清記數(shù)器到現(xiàn)在的時(shí)間，conform x bps表示速率限制內(nèi)的包的實(shí)際流量速率，exceed y bps 表示超過(guò)部分的速率。

我們可以用這條命令檢查我們配置CAR的實(shí)際效果，如果發(fā)現(xiàn)沒(méi)有conform的流量，則一般情況下是traffic matching的規(guī)則設(shè)置有問(wèn)題，又或者是在interface上的input output設(shè)得不正確。

四、CAR的其他用途

CAR除了可以象我們提供的范例所示來(lái)限制某種流量的速率之外，還可以用來(lái)抵擋某些類型的網(wǎng)絡(luò)攻擊。

DOS網(wǎng)絡(luò)攻擊的一個(gè)特征是網(wǎng)絡(luò)中會(huì)充斥著大量帶有非法源地址的ICMP包，我們可以通過(guò)在路由器上對(duì)ICMP包通過(guò)配置CAR來(lái)設(shè)置速率上限的方法來(lái)保護(hù)網(wǎng)絡(luò)。