您现在的位置 : 路由人 > 路由器设置 > 正文 IP地址冲突 路由人教你更换IP地址 / 如何防蹭网的终极解决办法 / 连接上192.168.1.1没有账号、密码输入框 /

磊科路由器之路由策略

所谓的DoS是DenialofService的简称,即拒绝服务,它的一个重要特征是网络中会着大量带有非法源地址的ICMP包,针对此特征,可以通过在路由器上对ICMP包配置CAR来设置速率上限的方法来网络。一、CAR工作机制1、CAR...

所谓的DoS是DenialofService的简称,即拒绝服务,它的一个重要特征是网络中会着大量带有非法源地址的ICMP包,针对此特征,可以通过在路由器上对ICMP包配置CAR来设置速率上限的方法来网络。

一、CAR工作机制

1、CAR中文为承诺访问速率,其主要作用有二个,一是对一个端口或子端口的进出流量速率按某个标准上限进行,二是对流量进行分类,划分出不同的QoS优先级。

2、CAR只能对IP包起作用,对非IP流量不能进行,另外CAR只能在支持CEF交换的路由器或交换机上使用。

3、如果想要对流量进行控制,首先要做的是对数据包分类识别,接着对其进行流量控制,CAR就是两者的结合。

4、通常我们可以选择以下几种不同的方式来进行流量识别:

(1)基于IP前缀,此种方式是通过rate-limitaccesslist来定义的;

(2)QoS分组;

(3)IPaccesslist,可通过standard或extendedaccesslist来定义。

5、限流器使用tokenbucket的算法流量flow的带宽利用率,在每个流入的帧到达的时候,就把它们的长度加到tokenbucket上,每隔0.25毫秒,就从tokenbucket减去CIR或者说是平均限流速率的值,这样做的思是,保持tokenbucket等于0,从而稳定数据速率,当流量超出最大突发值达到PIR的时候,限流器就认为流量违规,所以当实际的流量通过限流器后,会有两种情况发生:

(1)实际流量小于或等于希望速率,帧离开bucket的实际速率将和其来到的速率一样,bucket内可以看作是空的,流量不会超过希望值。

(2)实际流量大于希望速率,帧进入bucket的速率比其离开bucket的速率快,这样在一段时间内,帧将填满该bucket,继续到来的帧将溢出bucket,则CAR采取相应的动作,这样就了数据流量速率在希望值内。

二、CAR的配置

一般是在网络的边缘路由器上配置CAR,主要包括以下几部分:

1、需要监视的流量,主要通过下列方式确定:

(1)基于IP前缀,此种方式是通过rate-limitaccesslist来定义的;

(2)基于QoS分组;

(3)基于MAC地址;

(4)基于standard或extended的IPaccesslist。

2、在相应的端口配置rate-limit

interfaceX  

rate-limit{inputoutput}[access-groupnumber]bpsburst-normalburst-maxconform-  

actionactionexceed-actionaction 

以上命令的含义:

(1)interface:用户希望进行流量控制的端口,可以是Ethernet也可以是serial口,但是不同类型的interface在下面的input、output上选择有所不同。

(2)Inputoutput:确定需要限制输入或输出的流量。如果在以太网端口配置,则该流量为output;如果在serial端口配置,则该流量为input。

(3)access-groupnumber:number是前面用accesslist定义流量的accesslist号码。

bps:用户希望该流量的速率上限,单位是bps。

(4)burst-normalburst-max:这个是指tokenbucket的大小,一般采用8000、16000、32000这些值,视bps值的大小而定。

CAR限制某种流量的速率之外,还可以用来抵挡DoS型攻击,CAR限速策略要想有效地被使用,我们需要弄清楚DoS攻击的原理,这样才能针对DoS攻击的不同类型采取相应的防范措施。

延伸阅读:
  • 本月热点
  • 随机推荐
路由人提示:如需转载本站无线连接及路由器设置等技术文章请您注明出处,谢谢!
Copyright © www.LuYouRen.com, All Rights Reserved.
  苏ICP备12075116号