Cisco路由器上的CAR的機制和實現(xiàn)方法

2019-11-05 00:20:15

字體：大中小

供稿：網(wǎng)友

　　前言
　　許多單位因為工作需要，都建立了單位的內(nèi)部網(wǎng)絡(luò)，大型的企業(yè)和單位可能還建立了廣域網(wǎng)（WAN）。網(wǎng)絡(luò)上的應(yīng)用類型種類繁多，為了保障主要應(yīng)用的良好運作，必然要在網(wǎng)絡(luò)上進行流量控制。

一種方法是購買一些流量控制的產(chǎn)品如PacketShaper，但是這類產(chǎn)品價格比較昂貴，使得用戶不能大面積的在全網(wǎng)范圍內(nèi)部署；第二種方法就是在企業(yè)網(wǎng)廣泛使用的CISCO路由器上使用CAR流量控制策略。
　　一、什么是CAR
　　CAR是Committed access Rate的簡寫，意思是：承諾訪問速率。
　　1．CAR的作用
　　CAR主要有兩個作用：對一個端口或子端口(subinterface)的進出流量速率按某個標準上限進行限制；對流量進行分類，劃分出不同的QoS優(yōu)先級。
　　2．CAR的適用范圍
　　CAR只能對ip包起作用，對非IP流量不能進行限制，另外CAR只能在支持CEF交換（Cisco ExPRess Forward）的路由器或交換機上使用。所以只有Cisco 2600系列以上的型號才可以使用CAR。以下這些interface上也不能使用CAR：
　　Fast EtherChannel interface
　　Tunnel Interface
　　PRI interface
　　3．CAR的運作機制
　　CAR可以看成是數(shù)據(jù)包分類識別(packet classification)和流量控制(access rate limiting)的結(jié)合。其工作流程可以從下圖指出：
　　　

　　第一步的Traffic Matching是首先從數(shù)據(jù)流中識別出感愛好的流量。所謂感愛好的流量，是指用戶希望對其進行流量控制的數(shù)據(jù)包類型。用戶可以選擇以下幾種不同的方式來進行流量識別：
　　（1）全部的IP流量，這樣可以把所有的IP流量采用統(tǒng)一的流量控制策略。
　　（2）基于IP前綴，此種方式是通過rate-limit　access list來定義的。
　　（3）QoS 分組
　　（4）MAC地址，此種方式通過rate-limit 　access list來定義。
　　（5）IP　access list，可通過standard或extended　access list來定義。
　　在第一步采用上述方法識別到了感愛好的流量后，進行第二步的流量衡量（traffic measurement）。CAR采用一種名為token bucket的機制來進行流量衡量。見下圖：
　　

　　圖中的token可以看成是第一步的traffic matching所識別到的感愛好流量，該種流量的數(shù)據(jù)包進入一個bUCket（桶）內(nèi)，該bucket的深度則由用戶定義，在進入該token bucket后，以用戶希望控制的流量速率（此流量速率并非該類流量的實際速率，而是用戶希望該類流量的速率上限）離開該bucket，執(zhí)行下一部操作（conform action）。在這里，對于實際流量速率的不同，可以看到會有兩種情況發(fā)生：
　　（1）實際流量小于或等于用戶希望速率，這樣，明顯地，token離開bucket的實際速率將和其來到的速率一樣，bucket內(nèi)可以看作是空的。流量不會超過用戶的希望值。
　　（2）實際流量大于用戶希望速率。這樣，token進入bucket的速率比其離開bucket的速率快，這樣在一段時間內(nèi)，token將填滿該bucket，繼續(xù)到來的token將溢出(excess)bucket，則CAR采取相應(yīng)的動作（一般是丟棄或?qū)⑵銲P前綴改變以改變該token的優(yōu)先級）。這樣就保證了數(shù)據(jù)流量速率保證在用戶定義的希望值內(nèi)。
　　二、如何配置CAR
　　一般來說，CAR比較適合部署在網(wǎng)絡(luò)的邊緣部分，我們的一般做法也是在分關(guān)路由器上部署CAR。配置CAR主要包括以下幾部分：
　　1.確定“感愛好”的流量類型，主要通過下列方式確定：
　　（1）所有的IP流量
　　（2）基于IP前綴
　　（3）基于QoS分組
　　（4）基于MAC地址
　　（5）基于standard或extended的IP Access list
　　一般最常用的是第五種方式。用戶可以使用standard ip access list來確定哪些進行訪問（被訪問）的IP的流量需要進行rate-limit，也可以用extended ip access list來確定哪些訪問（被訪問）的IP的協(xié)議類型流量（如HTTP，F(xiàn)TP）需要進行rate-limit。例如我們想限制用戶到內(nèi)部網(wǎng)站上瀏覽網(wǎng)頁的速度，則可以采用如下的access list來定義流量：
　　access-list 101 permit tcp any eq www any
　　這里值得注重的一點是在配置時要配成any eq www any而不是any any eq www。
因為主要的流量不是用戶向http server發(fā)送的請求（這類請求流量的源端口號為隨機，目的端口號為80），而是http server收到用戶的請求后發(fā)給用戶方的網(wǎng)頁內(nèi)容的流量（這部分流量的源端口號為80，目的端口號為發(fā)起方的端口號），假如在這個小細節(jié)上不加注重則不能對下載的流量進行有效的限制。
　　2.在相應(yīng)的端口配置rate-limit:
　　一般的寫法是：
　　interface X
　　rate-limit {inputoutput} [access-group number ] bps burst-normal burst-max conform-action action exceed-action action
　　命令解釋如下：
　　interface: 用戶希望進行流量控制的端口，可以是Ethernet也可以是serial口，但是不同類型的interface在下面的input　output上選擇有所不同，需要注重一下。
　　Inputoutput:用戶希望限制輸入或輸出的流量。還是以限制瀏覽網(wǎng)頁為例子，假如在以太網(wǎng)端口配置，則該流量為output；假如在serial端口配置，則該流量為input。
　　Access-group number: number是前面用戶用access list定義流量的access list號碼。
　　Bps:用戶希望該流量的速率上限，單位是bps。
　　Burst-normal burst-max：這個是指token bucket的大小，一般采用8000,16000,32000這些值，視乎bps值的大小而定。
　　Conform-action ：在速率限制以下的流量的處理策略。
　　Exceed-action:超過速率限制的流量的處理策略。
　　Action:處理策略，包括以下幾種：
　　Transmit:傳輸
　　Drop:丟棄
　　Set precedence and transmit:修改IP前綴然后傳輸
　　Set QoS group and transmit:將該流量劃入一個QoS group內(nèi)傳輸
　　Continue:不動作，看下一條rate-limit命令中有無流量匹配和處理策略，如無，則transmit
　　Set precedence and continue:修改IP前綴然后continue
　　Set QoS group and continue:劃入QoS group然后continue
　　
　　這里需要指出的是，在一個interface內(nèi)，可以配置多條rate-limit命令，假如action里面有continue，則順序執(zhí)行下一條rate-limit命令，若某種流量在continue之后沒有被某條rate-limit命令丟棄，則它將進行傳輸。一個端口最多可配２０條rate-limit命令。
　　那么對于我們進行http限制的例子，相應(yīng)的配置為：
　　interface e0
　　rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop
　　這里我們把下載的流量定義在128Kbps,token bucket的大小為16000字節(jié)。假如把token bucket定得太小（如4000）,則用戶端的速率將顯得不夠平滑。
　　三、如何檢查CAR是否在相應(yīng)端口起了作用
　　采用命令show interface XX rate-limit可以檢查端口XX的CAR實際效果，見如下實例：
　　Fddi2/1/0
　　Input
　　matches: access-group 101
　　params: 80000000 bps, 72000 limit, 72000 extended limit
　　conformed 0 packets, 0 bytes; action: set-prec-transmit 5
　　exceeded 0 packets, 0 bytes; action: set-prec-transmit 0
　　last packet: 4738036ms ago, current burst: 0 bytes
　　last cleared 01:02:05 ago, conformed 0 bps, exceeded 0 bps
　　matches: all traffic
　　params: 50000000 bps, 64000 limit, 64000 extended limit
　　conformed 0 packets, 0 bytes; action: set-prec-transmit 5
　　exceeded 0 packets, 0 bytes; action: set-prec-transmit 0
　　last packet: 4738036ms ago, current burst: 0 bytes
　　last cleared 01:00:22 ago, conformed 0 bps, exceeded 0 bps
　　Output
　　matches: all traffic
　　params: 80000000 bps, 80000 limit, 80000 extended limit
　　conformed 0 packets, 0 bytes; action: transmit
　　exceeded 0 packets, 0 bytes; action: drop
　　last packet: 4809528ms ago, current burst: 0 bytes
　　last cleared 00:59:42 ago, conformed 0 bps, exceeded 0 bps
　　這里解釋一下show interface rate-limit看到的結(jié)果。
　　Matches是表示該interface配置的traffic matching規(guī)則，有多個matches表示該interface配置了多條rate-limit命令，采用了多條matching規(guī)則。下面的params表示該規(guī)則定義的各項參數(shù)，xxx bps表示設(shè)定速率值，limit和extended limit表示token bucket的容量。Conformed x packets,y bytes表示對速率限制內(nèi)的包數(shù)量和字節(jié)數(shù)，action表示對符合規(guī)則的包采用的處理方式；exceeded x packets這行也類似地是表示對超過速率限制的包的數(shù)量和字節(jié)數(shù)，action是其處理方式。
下面的last packet是表示最新的到來數(shù)據(jù)包的是多久前到達的，current burst是當(dāng)前token bucket內(nèi)的數(shù)據(jù)大小，last cleared是最近一次清記數(shù)器到現(xiàn)在的時間，conform x bps表示速率限制內(nèi)的包的實際流量速率，exceed y bps　表示超過部分的速率。
　　我們可以用這條命令檢查我們配置CAR的實際效果，假如發(fā)現(xiàn)沒有conform的流量，則一般情況下是traffic matching的規(guī)則設(shè)置有問題，又或者是在interface上的input output設(shè)得不正確。
　　四、CAR的其他用途
　　CAR除了可以象我們提供的范例所示來限制某種流量的速率之外，還可以用來反抗某些類型的網(wǎng)絡(luò)攻擊。
　　DOS網(wǎng)絡(luò)攻擊的一個特征是網(wǎng)絡(luò)中會充斥著大量帶有非法源地址的ICMP包，我們可以通過在路由器上對ICMP包通過配置CAR來設(shè)置速率上限的方法來保護網(wǎng)絡(luò)。
　　范例如下：
　　interface xy
　　rate-limit output access-group 2020 3000000 80000 80000 conform-action transmit exceed-action drop
　　access-list 2020 permit icmp any any echo-reply
　　這樣可以限制ICMP包的轉(zhuǎn)發(fā)速率和大小，減少對網(wǎng)絡(luò)和主機造成的破壞。

上一篇：笑傲江湖、集線器、路由器……

下一篇：ISDN路由器的設(shè)置