Cisco CAR 实现方法和机制

一、什么是CAR
CAR是Committed Access Rate的简写,意思是:承诺访问速率。
1.CAR的作用
CAR主要有两个作用:对一个端口或子端口(subinterface)的进出流量速率按某个标准上限进行限制;对流量进行分类,划分出不同的QoS优先级。
2.CAR的适用范围
CAR只能对IP包起作用,对非IP流量不能进行限制,另外CAR只能在支持CEF交换(Cisco Express Forward)的路由器或交换机上使用。所以只有Cisco 2600系列以上的型号才可以使用CAR。以下这些interface上也不能使用CAR:
Fast EtherChannel interface
Tunnel Interface
PRI interface
3.CAR的运作机制
CAR可以看成是数据包分类识别(packet classification)和流量控制(access rate limiting)的结合。其工作流程可以从下图指出:
第一步的Traffic Matching是首先从数据流中识别出感兴趣的流量。所谓感兴趣的流量,是指用户希望对其进行流量控制的数据包类型。用户可以选择以下几种不同的方式来进行流量识别:
(1)全部的IP流量,这样可以把所有的IP流量采用统一的流量控制策略。
(2)基于IP前缀,此种方式是通过rate-limit access list来定义的。
(3)QoS 分组
(4)MAC地址,此种方式通过rate-limit  access list来定义。
(5)IP access list,可通过standard或extended access list来定义。
在第一步采用上述方法识别到了感兴趣的流量后,进行第二步的流量衡量(traffic measurement)。CAR采用一种名为token bucket的机制来进行流量衡量。见下图:
图中的token可以看成是第一步的traffic matching所识别到的感兴趣流量,该种流量的数据包进入一个bucket(桶)内,该bucket的深度则由用户定义,在进入该token bucket后,以用户希望控制的流量速率(此流量速率并非该类流量的实际速率,而是用户希望该类流量的速率上限)离开该bucket,执行下一部操作(conform action)。在这里,对于实际流量速率的不同,可以看到会有两种情况发生:
(1)实际流量小于或等于用户希望速率,这样,明显地,token离开bucket的实际速率将和其来到的速率一样,bucket内可以看作是空的。流量不会超过用户的希望值。
(2)实际流量大于用户希望速率。这样,token进入bucket的速率比其离开bucket的速率快,这样在一段时间内,token将填满该bucket,继续到来的token将溢出(excess)bucket,则CAR采取相应的动作(一般是丢弃或将其IP前缀改变以改变该token的优先级)。这样就保证了数据流量速率保证在用户定义的希望值内。
二、如何配置CAR
一般来说,CAR比较适合部署在网络的边缘部分,我们的一般做法也是在分关路由器上部署CAR。配置CAR主要包括以下几部分:
1.确定“感兴趣”的流量类型,主要通过下列方式确定:
(1)所有的IP流量
(2)基于IP前缀
(3)基于QoS分组
(4)基于MAC地址
(5)基于standard或extended的IP access list
一般最常用的是第五种方式。用户可以使用standard ip access list来确定哪些进行访问(被访问)的IP的流量需要进行rate-limit,也可以用extended ip access list来确定哪些访问(被访问)的IP的协议类型流量(如HTTP,FTP)需要进行rate-limit。例如我们想限制用户到内部网站上浏览网页的速度,则可以采用如下的access list来定义流量:
access-list 101 permit tcp any eq www any
这里值得注意的一点是在配置时要配成any eq www any而不是any any eq www。因为主要的流量不是用户向http server发送的请求(这类请求流量的源端口号为随机,目的端口号为80),而是http server收到用户的请求后发给用户方的网页内容的流量(这部分流量的源端口号为80,目的端口号为发起方的端口号),如果在这个小细节上不加注意则不能对下载的流量进行有效的限制。
2.在相应的端口配置rate-limit:
一般的写法是:
interface X
rate-limit {input|output} [access-group number ] bps burst-normal burst-max conform-action action exceed-action action
命令解释如下:
interface: 用户希望进行流量控制的端口,可以是Ethernet也可以是serial口,但是不同类型的interface在下面的input output上选择有所不同,需要注意一下。
Input|output:用户希望限制输入或输出的流量。还是以限制浏览网页为例子,如果在以太网端口配置,则该流量为output;如果在serial端口配置,则该流量为input。
Access-group number: number是前面用户用access list定义流量的access list号码。
Bps:用户希望该流量的速率上限,单位是bps。
Burst-normal burst-max:这个是指token bucket的大小,一般采用8000,16000,32000这些值,视乎bps值的大小而定。
Conform-action :在速率限制以下的流量的处理策略。
Exceed-action:超过速率限制的流量的处理策略。
Action:处理策略,包括以下几种:
  • Transmit:传输
  • Drop:丢弃
  • Set precedence and transmit:修改IP前缀然后传输
  • Set QoS group and transmit:将该流量划入一个QoS group内传输
  • Continue:不动作,看下一条rate-limit命令中有无流量匹配和处理策略,如无,则transmit
  • Set precedence and continue:修改IP前缀然后continue
  • Set QoS group and continue:划入QoS group然后continue
这里需要指出的是,在一个interface内,可以配置多条rate-limit命令,如果action里面有continue,则顺序执行下一条rate-limit命令,若某种流量在continue之后没有被某条rate-limit命令丢弃,则它将进行传输。一个端口最多可配20条rate-limit命令。
那么对于我们进行http限制的例子,相应的配置为:
interface e0
rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop
这里我们把下载的流量定义在128Kbps,token bucket的大小为16000字节。如果把token bucket定得太小(如4000),则用户端的速率将显得不够平滑。
三、如何检查CAR是否在相应端口起了作用
采用命令show interface XX rate-limit可以检查端口XX的CAR实际效果,见如下实例:
Fddi2/1/0
Input
matches: access-group 101
params: 80000000 bps, 72000 limit, 72000 extended limit
conformed 0 packets, 0 bytes; action: set-prec-transmit 5
exceeded 0 packets, 0 bytes; action: set-prec-transmit 0
last packet: 4738036ms ago, current burst: 0 bytes
last cleared 01:02:05 ago, conformed 0 bps, exceeded 0 bps
matches: all traffic
params: 50000000 bps, 64000 limit, 64000 extended limit
conformed 0 packets, 0 bytes; action: set-prec-transmit 5
exceeded 0 packets, 0 bytes; action: set-prec-transmit 0
last packet: 4738036ms ago, current burst: 0 bytes
last cleared 01:00:22 ago, conformed 0 bps, exceeded 0 bps
Output
matches: all traffic
params: 80000000 bps, 80000 limit, 80000 extended limit
conformed 0 packets, 0 bytes; action: transmit
exceeded 0 packets, 0 bytes; action: drop
last packet: 4809528ms ago, current burst: 0 bytes
last cleared 00:59:42 ago, conformed 0 bps, exceeded 0 bps
这里解释一下show interface rate-limit看到的结果。
Matches是表示该interface配置的traffic matching规则,有多个matches表示该interface配置了多条rate-limit命令,采用了多条matching规则。下面的params表示该规则定义的各项参数,xxx bps表示设定速率值,limit和extended limit表示token bucket的容量。Conformed x packets,y bytes表示对速率限制内的包数量和字节数,action表示对符合规则的包采用的处理方式;exceeded x packets这行也类似地是表示对超过速率限制的包的数量和字节数,action是其处理方式。下面的last packet是表示最新的到来数据包的是多久前到达的,current burst是当前token bucket内的数据大小,last cleared是最近一次清记数器到现在的时间,conform x bps表示速率限制内的包的实际流量速率,exceed y bps 表示超过部分的速率。
我们可以用这条命令检查我们配置CAR的实际效果,如果发现没有conform的流量,则一般情况下是traffic matching的规则设置有问题,又或者是在interface上的input output设得不正确。
四、CAR的其他用途
CAR除了可以象我们提供的范例所示来限制某种流量的速率之外,还可以用来抵挡某些类型的网络攻击。
DOS网络攻击的一个特征是网络中会充斥着大量带有非法源地址的ICMP包,我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络。
范例如下:
interface xy
rate-limit output access-group 2020 3000000 80000 80000 conform-action transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
这样可以限制ICMP包的转发速率和大小,减少对网络和主机造成的破坏。
 
注:在CAR里面会用到access-list rate-limit xx mask 0-FF (00表示不匹配任意precedence,FF表示匹配任意precedence),它的作用是通过使用掩码来匹配被设置了优先权(0~7)的包,其使用方法有这么几个步骤:
一:Decide which precedence's you want to assign to this rate-limit access list(决定你要分配给rate-limit ACL的precedence)
二:Convert the precedence's into an 8-bit numbers with each bit corresponding to one
precedence. For example, an IP precedence of 0 corresponds to 00000001, 1 corresponds
to 00000010, 6 corresponds to 01000000, and 7 corresponds to 10000000.(把precedence转换成一个8位数,每一位都对应一个precedence值,如:precedence0 对应00000001,precedence1对应00000010,precedence6对应01000000,precedence7对应10000000,仔细看不难发现其规律)
三: Add the 8-bit numbers for the selected precedence's together. For example, the
mask for precedence's 1 and 6 is 01000010.(把相应的precedence值0~7加到一起组成8位数如:1:00000010+6:01000000=01000010)
四:Convert the binary mark into the corresponding hexadecimal number.(把得到的二进制数转换成相应的十六进制数,如:01000010=0x42)不知道大家明白没有这里我把原文贴出来共享:
Use the mask keyword to assign multiple IP precedence's to the same rate-limit list. To
determine the mask value, perform the following steps:
Step 1 Decide which precedence's you want to assign to this rate-limit access list.
Step 2 Convert the precedence's into an 8-bit numbers with each bit corresponding to one
precedence. For example, an IP precedence of 0 corresponds to 00000001, 1 corresponds
to 00000010, 6 corresponds to 01000000, and 7 corresponds to 10000000.
Step 3 Add the 8-bit numbers for the selected precedence's together. For example, the
mask for precedence's 1 and 6 is 01000010.
Step 4 Convert the binary mark into the corresponding hexadecimal number. For
example, 01000010 becomes 0x42. This value is used in the access-list rate-limit
command. Any packets that have an IP precedence of 1 or 6 will match this access list. A
mask of FF matches any precedence, and 00 does not match any precedence.
In this example, a mask of 07 translates to 00000111, so IP precedence 0, 1, and 2 will be
policed.

你可能感兴趣的:(职场,Cisco,休闲,car)