Cisco公司的CAR流量控制策略
網(wǎng)絡(luò)上的應(yīng)用類型種類繁多,為了保障主要應(yīng)用的良好運(yùn)作,必然要在網(wǎng)絡(luò)上進(jìn)行流量控制。網(wǎng)絡(luò)流量控制的方法各網(wǎng)絡(luò)設(shè)備廠商不完全一樣,除Cisco的CAR(承諾訪問速率)外,還有如NEC的Rich-QoS,HiPER的CBQ等,當(dāng)然是Cisco(思科)公司的CAR流量控制策略應(yīng)用最廣。本文就要介紹Cisco這種CAR路由器流量控制策略,同時在后面將介紹Cisco公司具有CAR流量控制功能的代表性產(chǎn)品。
一、什么是CAR
CAR是Committed Access Rate的簡寫,意思是:承諾訪問速率。它是Cisco公司IOS軟件中QoS功能的一個子功能,它是自v12.0版本中新添加的。它的
主要有兩個作用:(1)對一個端口或子端口(subinterface)的進(jìn)出流量速率按某個標(biāo)準(zhǔn)上限進(jìn)行限制;(2)對流量進(jìn)行分類,劃分出不同的QoS優(yōu)先級。
注意:CAR只能對IP包起作用,對非IP流量不能進(jìn)行限制。另外CAR只能在支持CEF交換(Cisco Express Forward)的路由器或交換機(jī)上使用。以下這些接口上也不能使用CAR:
* Fast EtherChannel interface
* Tunnel Interface
* PRI interface
CAR的工作原理可以看成是數(shù)據(jù)包分類識別(packet classification)和流量控制(access rate limiting)的結(jié)合。其工作流程可以從圖1所示。
圖1
在這個流程中,主要分三步進(jìn)行。第一步的Traffic Matching是首先從數(shù)據(jù)流中識別出用戶希望對其進(jìn)行流量控制的數(shù)據(jù)包類型(也稱“感興趣”流量類型)。用戶可以選擇以下幾種不同的方式來進(jìn)行流量識別:
* 全部的IP流量,這樣可以把所有的IP流量采用統(tǒng)一的流量控制策略。
* 基于IP前綴,此種方式是通過rate-limit access list來定義的。
* QoS 分組。
* MAC地址,此種方式通過rate-limit access list來定義。
* IP access list(IP ACL,IP訪問控制列表),可通過標(biāo)準(zhǔn)的或擴(kuò)展的訪問控制列表來定義。
用上述方法識別到了用戶希望進(jìn)行流量控制的數(shù)據(jù)包類型后,接下來的第二步就是進(jìn)行流量衡量(traffic measurement)。CAR采用一種名為token bucket的機(jī)制來進(jìn)行流量衡量,如圖2所示。
圖2
圖中的token可以看成是第一步的traffic matching所識別到的感興趣流量,該種流量的數(shù)據(jù)包進(jìn)入一個bucket(桶)內(nèi),該bucket的深度則由用戶定義。在進(jìn)入該token bucket后,以用戶希望控制的流量速率離開該bucket,執(zhí)行下一部操作(conform action)。在這里,對于實(shí)際流量速率的不同,可以看到會有兩種情況發(fā)生:
(1)實(shí)際流量小于或等于用戶希望速率,這樣,明顯地,token離開bucket的實(shí)際速率將和其來到的速率一樣,bucket內(nèi)可以看作是空的。流量不會超過用戶的希望值。
(2)實(shí)際流量大于用戶希望速率。這樣,token進(jìn)入bucket的速率比其離開bucket的速率快,這樣在一段時間內(nèi),token將填滿該bucket,繼續(xù)到來的token將溢出(excess)bucket,則CAR采取相應(yīng)的動作(一般是丟棄或?qū)⑵銲P前綴改變以改變該token的優(yōu)先級)。這樣就保證了數(shù)據(jù)流量速率保證在用戶定義的希望值內(nèi)。
二、如何配置CAR
一般來說,CAR比較適合部署在網(wǎng)絡(luò)的邊緣部分,我們的一般做法也是在邊界路由器上部署CAR。配置CAR可以選擇前面介紹的五種流量類型識別方法,而常用的則是最后一種“IP access list(IP ACL,IP訪問控制列表)”方法。
用戶可以使用標(biāo)準(zhǔn)的“ip access list”命令來確定哪些IP流量數(shù)據(jù)需要進(jìn)行rate-limit(速率限制),也可以用擴(kuò)展“ip access list”來確定哪些IP協(xié)議類型流量(如HTTP,F(xiàn)TP)需要進(jìn)行rate-limit。例如我們想限制用戶到內(nèi)部網(wǎng)站上瀏覽網(wǎng)頁的速度,則可以采用如下的access list來定義流量:
access-list 101 permit tcp any eq www any
這里值得注意的一點(diǎn)是在配置時要配成“any eq www any”,而不是“any any eq www”。因為這里要限制的主要流量不是用戶向http server發(fā)送的請求(這類請求流量的源端口號為隨機(jī)(any),目的端口號為80),而是http server收到用戶的請求后發(fā)給用戶方的網(wǎng)頁內(nèi)容的流量(這部分流量的源端口號為80,目的端口號為發(fā)起方的端口號),如果在這個細(xì)節(jié)上不加注意則不能對下載的流量進(jìn)行有效的限制。#p#
在相應(yīng)的端口配置rate-limit的語句格式
如下:
interface X # 聚集用戶希望限制的端口
rate-limit {input|output} [access-group number ] bps burst-normal burst-max conform-action action exceed-action action
這里的interface可以是Ethernet interface(以太網(wǎng)端口)也可以是serial interface(串行接口),但是不同類型的interface在下面的rate-limit語句中的{input|output}選項上選擇有所不同,需要注意一下。因為以太網(wǎng)端口既可以是輸入(input)端口,又可是輸出(output)端口;而串行接口則只能為輸入接口。
[access-group number ]
選項是用戶用access list定義流量的access list號碼。
Bps:用戶希望該流量的速率上限,單位是bps。
Burst-normal burst-max:這個是指token bucket的大小,一般采用8000、16000、32000等值,根據(jù)前面設(shè)置的Bps值大小而定。
Conform-action :在速率限制以下的流量的處理策略。
Exceed-action:超過速率限制的流量的處理策略。
Action:處理策略,包括以下幾種:
* Transmit:傳輸
* Drop:丟棄
* Set precedence and transmit:修改IP前綴然后傳輸
* Set QoS group and transmit:將該流量劃入一個QoS group內(nèi)傳輸
* Continue:不動作,看下一條rate-limit命令中有無流量匹配和處理策略,如無,則transmit
* Set precedence and continue:修改IP前綴然后continue(繼續(xù))
* Set QoS group and continue:劃入QoS group然后continue
注意,在一個interface內(nèi),可以配置多條rate-limit命令,如果action里面有continue,則順序執(zhí)行下一條rate-limit命令,若某種流量在continue之后沒有被某條rate-limit命令丟棄,則它將進(jìn)行傳輸。一個端口最多可配20條rate-limit命令。
下面語句是一個對用戶進(jìn)行http應(yīng)用限制的例子:
interface e0 # 聚集0號以太網(wǎng)端口
rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop
這里我們對用戶進(jìn)行http訪問所下載的網(wǎng)頁流量控制在傳輸速率上限為128Kbps,token bucket包的大小為16000字節(jié)。
CAR除了可以提供用來限制某種流量的速率之外,還可以用來抵擋某些類型的網(wǎng)絡(luò)攻擊。如
DOS網(wǎng)絡(luò)攻擊的一個特征是網(wǎng)絡(luò)中會充斥著大量帶有非法源地址的ICMP包,我們可以通過在路由器上對ICMP包通過配置CAR來設(shè)置速率上限的方法來保護(hù)網(wǎng)絡(luò)。
示例如下:
interface x
rate-limit output access-group 1000 3000000 80000 80000 conform-action transmit exceed-action drop
access-list 1000 permit icmp any any echo-reply
這樣就可以限制ICMP包的轉(zhuǎn)發(fā)速率和大小,減少對網(wǎng)絡(luò)和主機(jī)造成的威脅。
【編輯推薦】
