网络——网络安全设备部署

网络安全设计通常包含下列因素：

1.设备安全特性，如管理员密码和不同网络组建中的SSH

2.防火墙

3.远程访问VPN服务器

4.入侵检测

5.安全AAA服务器和网络上相关的AAA服务

6.不同网络设备上的访问控制和访问控制机制，比如ACL和CAR

 

什么是CAR：

Committed Access Rate 承诺访问速率

主要有两个作用

1.对一个端口或者子端口的进出流量速率安某个标准上限进行限制；

2.对流量进行分类，划分出不同的Qos优先级；

 

CAR只能对IP包起作用，对非IP流量不能进行限制。另外CAR只能支持CEF(Cisco Express Forward)交换的路由器或者交换机上使用。

不能在这些接口上使用CAR

Fast EtherChannel interface

Tunnel Interface

PRI interface

 

CAR工作原理数据包分类识别和流量控制的结合；

流程如下：

1.先从数据流中识别出希望进行流量控制的流量类型，

可以通过以下方式进行识别：

全部IP流量

基于IP前缀，通过rate-limit access list 来定义

Qos分组

MAC地址 通过rate-limit access list 来定义

IP access list 访问控制列表

 

2.识别出流量以后，进行流量均衡，（traffic measurement） 采用一种名为token bucket的机制

token即识别到的感兴趣流量，这种流量数据进入一个bucket（桶）中，该bucket深度有用户定义，进入bucket以后，以用户希望控制的速率离开该bucket，执行下一步操作（conform actin）；

 

3.可能会发生两种情况：

实际流量小于或等于用户希望速率，bucket可看作是空的

实际流量大于用户希望速率，这样token进入bucket的速率比离开bucket的速率快，过了一段时间后，tken将填满bucket，继续到来的tken将溢出bucket，则CAR采取相应动作（一般是丢弃或将IP前缀改变以改变该token的优先级）