CAR的配置 我们通常在网络的边缘路由器上配置CAR 。配置CAR主要包括以下几部分: 1. 确定“感兴趣”的流量类型也就是我们需要监视的流量,主要通过下列方式确定: (1)基于IP前缀,此种方式是通过rate-limit access list来定义的。 (2)基于QoS分组。 (3)基于MAC地址。(4)基于standard或extended的IP access list。
2.在相应的端口配置rate-limit: 一般的写法是: interface X rate-limit {input output} [access-group number ] bps burst-normal burst-max conform- action action exceed-action action 上述命令的含义是: interface: 用户希望进行流量控制的端口,可以是Ethernet也可以是serial口,但是不同类型的interface在下面的input、output上选择有所不同。 Input output:确定需要限制输入或输出的流量。如果在以太网端口配置,则该流量为output;如果在serial端口配置,则该流量为input。 access-group number: number是前面用access list定义流量的access list号码。 bps:用户希望该流量的速率上限,单位是bps。 burst-normal burst-max:这个是指token bucket的大小,一般采用8000、16000、32000这些值,视bps值的大小而定。 conform-action:在速率限制以下的流量的处理策略。 exceed-action:超过速率限制的流量的处理策略。
action:处理策略,包括以下几种: ◆ transmit:传输。 ◆ drop:丢弃。 ◆ set precedence and transmit:修改IP前缀然后传输。 ◆ set QoS group and transmit:将该流量划入一个QoS group内传输。 ◆ continue:不动作,看下一条rate-limit命令中有无流量匹配和处理策略,如无,则transmit。 ◆ set precedence and continue:修改IP前缀然后continue。 ◆ set QoS group and continue:划入QoS group然后continue。
具体应用 CAR限制某种流量的速率之外,还可以用来抵挡DoS型攻击,诸如Smurf攻击使得网络上充斥着大量带有非法源地址的ICMP,占用网络的资源。我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络(如图3所示)。
客户端边界路由器上的配置: interface s0 rate-limit input access-group 200 300 80000 conform-action transmit exceed-action drop 这里我们把icmp包的流量定义在3Mbps,token bucket的大小为8000字节。 access-list 200 permit icmp any any echo-reply 这样一旦受到Smurf攻击时,在一定程度上我们可以限制ICMP包的转发速率和大小,减少对网络和主机造成的破坏。 为了更好地运用CAR限速策略,我们需要弄清楚DoS攻击的原理,这样才能针对DoS攻击的不同类型采取相应的防范措施。