首页 > 学院 > 网络通信 > 正文

Cisco路由器上的CAR的机制和实现方法

2019-11-05 00:20:15
字体:
来源:转载
供稿:网友

  前言
  许多单位因为工作需要,都建立了单位的内部网络,大型的企业和单位可能还建立了广域网(WAN)。网络上的应用类型种类繁多,为了保障主要应用的良好运作,必然要在网络上进行流量控制。
一种方法是购买一些流量控制的产品如PacketShaper,但是这类产品价格比较昂贵,使得用户不能大面积的在全网范围内部署;第二种方法就是在企业网广泛使用的CISCO路由器上使用CAR流量控制策略。
  一、什么是CAR
  CAR是Committed access Rate的简写,意思是:承诺访问速率。
  1.CAR的作用
  CAR主要有两个作用:对一个端口或子端口(subinterface)的进出流量速率按某个标准上限进行限制;对流量进行分类,划分出不同的QoS优先级。
  2.CAR的适用范围
  CAR只能对ip包起作用,对非IP流量不能进行限制,另外CAR只能在支持CEF交换(Cisco ExPRess Forward)的路由器或交换机上使用。所以只有Cisco 2600系列以上的型号才可以使用CAR。以下这些interface上也不能使用CAR:
  Fast EtherChannel interface
  Tunnel Interface
  PRI interface
  3.CAR的运作机制
  CAR可以看成是数据包分类识别(packet classification)和流量控制(access rate limiting)的结合。其工作流程可以从下图指出:
   
  第一步的Traffic Matching是首先从数据流中识别出感爱好的流量。所谓感爱好的流量,是指用户希望对其进行流量控制的数据包类型。用户可以选择以下几种不同的方式来进行流量识别:
  (1)全部的IP流量,这样可以把所有的IP流量采用统一的流量控制策略。
  (2)基于IP前缀,此种方式是通过rate-limit access list来定义的。
  (3)QoS 分组
  (4)MAC地址,此种方式通过rate-limit  access list来定义。
  (5)IP access list,可通过standard或extended access list来定义。
  在第一步采用上述方法识别到了感爱好的流量后,进行第二步的流量衡量(traffic measurement)。CAR采用一种名为token bucket的机制来进行流量衡量。见下图:
  
  图中的token可以看成是第一步的traffic matching所识别到的感爱好流量,该种流量的数据包进入一个bUCket(桶)内,该bucket的深度则由用户定义,在进入该token bucket后,以用户希望控制的流量速率(此流量速率并非该类流量的实际速率,而是用户希望该类流量的速率上限)离开该bucket,执行下一部操作(conform action)。在这里,对于实际流量速率的不同,可以看到会有两种情况发生:
  (1)实际流量小于或等于用户希望速率,这样,明显地,token离开bucket的实际速率将和其来到的速率一样,bucket内可以看作是空的。流量不会超过用户的希望值。
  (2)实际流量大于用户希望速率。这样,token进入bucket的速率比其离开bucket的速率快,这样在一段时间内,token将填满该bucket,继续到来的token将溢出(excess)bucket,则CAR采取相应的动作(一般是丢弃或将其IP前缀改变以改变该token的优先级)。这样就保证了数据流量速率保证在用户定义的希望值内。
  二、如何配置CAR
  一般来说,CAR比较适合部署在网络的边缘部分,我们的一般做法也是在分关路由器上部署CAR。配置CAR主要包括以下几部分:
  1.确定“感爱好”的流量类型,主要通过下列方式确定:
  (1)所有的IP流量
  (2)基于IP前缀
  (3)基于QoS分组
  (4)基于MAC地址
  (5)基于standard或extended的IP Access list
  一般最常用的是第五种方式。用户可以使用standard ip access list来确定哪些进行访问(被访问)的IP的流量需要进行rate-limit,也可以用extended ip access list来确定哪些访问(被访问)的IP的协议类型流量(如HTTP,FTP)需要进行rate-limit。例如我们想限制用户到内部网站上浏览网页的速度,则可以采用如下的access list来定义流量:
  access-list 101 permit tcp any eq www any
  这里值得注重的一点是在配置时要配成any eq www any而不是any any eq www。
因为主要的流量不是用户向http server发送的请求(这类请求流量的源端口号为随机,目的端口号为80),而是http server收到用户的请求后发给用户方的网页内容的流量(这部分流量的源端口号为80,目的端口号为发起方的端口号),假如在这个小细节上不加注重则不能对下载的流量进行有效的限制。
  2.在相应的端口配置rate-limit:
  一般的写法是:
  interface X
  rate-limit {inputoutput} [access-group number ] bps burst-normal burst-max conform-action action exceed-action action
  命令解释如下:
  interface: 用户希望进行流量控制的端口,可以是Ethernet也可以是serial口,但是不同类型的interface在下面的input output上选择有所不同,需要注重一下。
  Inputoutput:用户希望限制输入或输出的流量。还是以限制浏览网页为例子,假如在以太网端口配置,则该流量为output;假如在serial端口配置,则该流量为input。
  Access-group number: number是前面用户用access list定义流量的access list号码。
  Bps:用户希望该流量的速率上限,单位是bps。
  Burst-normal burst-max:这个是指token bucket的大小,一般采用8000,16000,32000这些值,视乎bps值的大小而定。
  Conform-action :在速率限制以下的流量的处理策略。
  Exceed-action:超过速率限制的流量的处理策略。
  Action:处理策略,包括以下几种:
  Transmit:传输
  Drop:丢弃
  Set precedence and transmit:修改IP前缀然后传输
  Set QoS group and transmit:将该流量划入一个QoS group内传输
  Continue:不动作,看下一条rate-limit命令中有无流量匹配和处理策略,如无,则transmit
  Set precedence and continue:修改IP前缀然后continue
  Set QoS group and continue:划入QoS group然后continue
  
  这里需要指出的是,在一个interface内,可以配置多条rate-limit命令,假如action里面有continue,则顺序执行下一条rate-limit命令,若某种流量在continue之后没有被某条rate-limit命令丢弃,则它将进行传输。一个端口最多可配20条rate-limit命令。
  那么对于我们进行http限制的例子,相应的配置为:
  interface e0
  rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop
  这里我们把下载的流量定义在128Kbps,token bucket的大小为16000字节。假如把token bucket定得太小(如4000),则用户端的速率将显得不够平滑。
  三、如何检查CAR是否在相应端口起了作用
  采用命令show interface XX rate-limit可以检查端口XX的CAR实际效果,见如下实例:
  Fddi2/1/0
  Input
  matches: access-group 101
  params: 80000000 bps, 72000 limit, 72000 extended limit
  conformed 0 packets, 0 bytes; action: set-prec-transmit 5
  exceeded 0 packets, 0 bytes; action: set-prec-transmit 0
  last packet: 4738036ms ago, current burst: 0 bytes
  last cleared 01:02:05 ago, conformed 0 bps, exceeded 0 bps
  matches: all traffic
  params: 50000000 bps, 64000 limit, 64000 extended limit
  conformed 0 packets, 0 bytes; action: set-prec-transmit 5
  exceeded 0 packets, 0 bytes; action: set-prec-transmit 0
  last packet: 4738036ms ago, current burst: 0 bytes
  last cleared 01:00:22 ago, conformed 0 bps, exceeded 0 bps
  Output
  matches: all traffic
  params: 80000000 bps, 80000 limit, 80000 extended limit
  conformed 0 packets, 0 bytes; action: transmit
  exceeded 0 packets, 0 bytes; action: drop
  last packet: 4809528ms ago, current burst: 0 bytes
  last cleared 00:59:42 ago, conformed 0 bps, exceeded 0 bps
  这里解释一下show interface rate-limit看到的结果。
  Matches是表示该interface配置的traffic matching规则,有多个matches表示该interface配置了多条rate-limit命令,采用了多条matching规则。下面的params表示该规则定义的各项参数,xxx bps表示设定速率值,limit和extended limit表示token bucket的容量。Conformed x packets,y bytes表示对速率限制内的包数量和字节数,action表示对符合规则的包采用的处理方式;exceeded x packets这行也类似地是表示对超过速率限制的包的数量和字节数,action是其处理方式。
下面的last packet是表示最新的到来数据包的是多久前到达的,current burst是当前token bucket内的数据大小,last cleared是最近一次清记数器到现在的时间,conform x bps表示速率限制内的包的实际流量速率,exceed y bps 表示超过部分的速率。
  我们可以用这条命令检查我们配置CAR的实际效果,假如发现没有conform的流量,则一般情况下是traffic matching的规则设置有问题,又或者是在interface上的input output设得不正确。
  四、CAR的其他用途
  CAR除了可以象我们提供的范例所示来限制某种流量的速率之外,还可以用来反抗某些类型的网络攻击。
  DOS网络攻击的一个特征是网络中会充斥着大量带有非法源地址的ICMP包,我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络。
  范例如下:
  interface xy
  rate-limit output access-group 2020 3000000 80000 80000 conform-action transmit exceed-action drop
  access-list 2020 permit icmp any any echo-reply
  这样可以限制ICMP包的转发速率和大小,减少对网络和主机造成的破坏。

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表