本文主要給大家詳細的介紹了什么是CAR，如何進行CAR的配置，如何檢查CAR是否在相應端口起了作用等問題，相信看過此文會對你有所幫助。

許多單位因為工作需要，都建立了單位的內部網絡，大型的企業(yè)和單位可能還建立了廣域網(WAN)。網絡上的應用類型種類繁多，為了保障主要應用的良好運作，必然要在網絡上進行流量控制。一種方法是購買一些流量控制的產品如PacketShaper，但是這類產品價格比較昂貴，使得用戶不能大面積的在全網范圍內部署;第二種方法就是在企業(yè)網廣泛使用的CISCO路由器上使用CAR流量控制策略。

一、什么是CAR

CAR是Committed Access Rate的簡寫，意思是：承諾訪問速率。

1.CAR的作用

CAR主要有兩個作用：對一個端口或子端口(subinterface)的進出流量速率按某個標準上限進行限制;對流量進行分類，劃分出不同的QoS優(yōu)先級。

2.CAR的適用范圍

CAR只能對IP包起作用，對非IP流量不能進行限制，另外CAR只能在支持CEF交換(Cisco Express Forward)的路由器或交換機上使用。所以只有Cisco 2600系列以上的型號才可以使用CAR。以下這些interface上也不能使用CAR：

Fast EtherChannel interface

Tunnel Interface

PRI interface

3.CAR的運作機制

CAR可以看成是數據包分類識別(packet classification)和流量控制(access rate limiting)的結合。其工作流程可以從下圖指出：

第一步的Traffic Matching是首先從數據流中識別出感興趣的流量。所謂感興趣的流量，是指用戶希望對其進行流量控制的數據包類型。用戶可以選擇以下幾種不同的方式來進行流量識別：

(1)全部的IP流量，這樣可以把所有的IP流量采用統(tǒng)一的流量控制策略。

(2)基于IP前綴，此種方式是通過rate-limit access list來定義的。

(3)QoS 分組

(4)MAC地址，此種方式通過rate-limitaccess list來定義。

(5)IP access list，可通過standard或extended access list來定義。

在第一步采用上述方法識別到了感興趣的流量后，進行第二步的流量衡量(traffic measurement)。CAR采用一種名為token bucket的機制來進行流量衡量。

圖中的token可以看成是第一步的traffic matching所識別到的感興趣流量，該種流量的數據包進入一個bucket(桶)內，該bucket的深度則由用戶定義，在進入該token bucket后，以用戶希望控制的流量速率(此流量速率并非該類流量的實際速率，而是用戶希望該類流量的速率上限)離開該bucket，執(zhí)行下一部操作(conform action)。在這里，對于實際流量速率的不同，可以看到會有兩種情況發(fā)生：

(1)實際流量小于或等于用戶希望速率，這樣，明顯地，token離開bucket的實際速率將和其來到的速率一樣，bucket內可以看作是空的。流量不會超過用戶的希望值。

(2)實際流量大于用戶希望速率。這樣，token進入bucket的速率比其離開bucket的速率快，這樣在一段時間內，token將填滿該bucket，繼續(xù)到來的token將溢出(excess)bucket，則CAR采取相應的動作(一般是丟棄或將其IP前綴改變以改變該token的優(yōu)先級)。這樣就保證了數據流量速率保證在用戶定義的希望值內。

二、如何配置CAR

一般來說，CAR比較適合部署在網絡的邊緣部分，我們的一般做法也是在分關路由器上部署CAR。配置CAR主要包括以下幾部分：

1.確定“感興趣”的流量類型，主要通過下列方式確定：

(1)所有的IP流量

(2)基于IP前綴

(3)基于QoS分組

(4)基于MAC地址

(5)基于standard或extended的IP access list

一般最常用的是第五種方式。用戶可以使用standard ip access list來確定哪些進行訪問(被訪問)的IP的流量需要進行rate-limit，也可以用extended ip access list來確定哪些訪問(被訪問)的IP的協(xié)議類型流量(如HTTP，FTP)需要進行rate-limit。例如我們想限制用戶到內部網站上瀏覽網頁的速度，則可以采用如下的access list來定義流量：

access-list 101 permit tcp any eq www any

這里值得注意的一點是在配置時要配成any eq www any而不是any any eq www。因為主要的流量不是用戶向http server發(fā)送的請求(這類請求流量的源端口號為隨機，目的端口號為80)，而是http server收到用戶的請求后發(fā)給用戶方的網頁內容的流量(這部分流量的源端口號為80，目的端口號為發(fā)起方的端口號)，如果在這個小細節(jié)上不加注意則不能對下載的流量進行有效的限制。

2.在相應的端口配置rate-limit:

一般的寫法是：

interface X

rate-limit [access-group number ] bps burst-normal burst-max conform-action action exceed-action action

命令解釋如下：

interface: 用戶希望進行流量控制的端口，可以是Ethernet也可以是serial口，但是不同類型的interface在下面的input output上選擇有所不同，需要注意一下。

Input|output:用戶希望限制輸入或輸出的流量。還是以限制瀏覽網頁為例子，如果在以太網端口配置，則該流量為output;如果在serial端口配置，則該流量為input。

Access-group number: number是前面用戶用access list定義流量的access list號碼。

Bps:用戶希望該流量的速率上限，單位是bps。

Burst-normal burst-max：這個是指token bucket的大小，一般采用8000，16000，32000這些值，視乎bps值的大小而定。

Conform-action ：在速率限制以下的流量的處理策略。

Exceed-action:超過速率限制的流量的處理策略。

Action:處理策略，包括以下幾種：

Transmit:傳輸

Drop:丟棄

Set precedence and transmit:修改IP前綴然后傳輸

Set QoS group and transmit:將該流量劃入一個QoS group內傳輸

Continue:不動作，看下一條rate-limit命令中有無流量匹配和處理策略，如無，則transmit

Set precedence and continue:修改IP前綴然后continue

Set QoS group and continue:劃入QoS group然后continue

這里需要指出的是，在一個interface內，可以配置多條rate-limit命令，如果action里面有continue，則順序執(zhí)行下一條rate-limit命令，若某種流量在continue之后沒有被某條rate-limit命令丟棄，則它將進行傳輸。一個端口最多可配20條rate-limit命令。

那么對于我們進行http限制的例子，相應的配置為：

interface e0

rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop

這里我們把下載的流量定義在128Kbps，token bucket的大小為16000字節(jié)。如果把token bucket定得太小(如4000)，則用戶端的速率將顯得不夠平滑。

三、如何檢查CAR是否在相應端口起了作用

采用命令show interface XX rate-limit可以檢查端口XX的CAR實際效果，見如下實例：

Fddi2/1/0

Input

matches: access-group 101

params: 80000000 bps， 72000 limit， 72000 extended limit

conformed 0 packets， 0 bytes; action: set-prec-transmit 5

exceeded 0 packets， 0 bytes; action: set-prec-transmit 0

last packet: 4738036ms ago， current burst: 0 bytes

last cleared 01:02:05 ago， conformed 0 bps， exceeded 0 bps

matches: all traffic

params: 50000000 bps， 64000 limit， 64000 extended limit

conformed 0 packets， 0 bytes; action: set-prec-transmit 5

exceeded 0 packets， 0 bytes; action: set-prec-transmit 0

last packet: 4738036ms ago， current burst: 0 bytes

last cleared 01:00:22 ago， conformed 0 bps， exceeded 0 bps

Output

matches: all traffic

params: 80000000 bps， 80000 limit， 80000 extended limit

conformed 0 packets， 0 bytes; action: transmit

exceeded 0 packets， 0 bytes; action: drop

last packet: 4809528ms ago， current burst: 0 bytes

last cleared 00:59:42 ago， conformed 0 bps， exceeded 0 bps

這里解釋一下show interface rate-limit看到的結果。

Matches是表示該interface配置的traffic matching規(guī)則，有多個matches表示該interface配置了多條rate-limit命令，采用了多條matching規(guī)則。下面的params表示該規(guī)則定義的各項參數，xxx bps表示設定速率值，limit和extended limit表示token bucket的容量。Conformed x packets，y bytes表示對速率限制內的包數量和字節(jié)數，action表示對符合規(guī)則的包采用的處理方式;exceeded x packets這行也類似地是表示對超過速率限制的包的數量和字節(jié)數，action是其處理方式。下面的last packet是表示最新的到來數據包的是多久前到達的，current burst是當前token bucket內的數據大小，last cleared是最近一次清記數器到現在的時間，conform x bps表示速率限制內的包的實際流量速率，exceed y bps 表示超過部分的速率。

我們可以用這條命令檢查我們配置CAR的實際效果，如果發(fā)現沒有conform的流量，則一般情況下是traffic matching的規(guī)則設置有問題，又或者是在interface上的input output設得不正確。

四、CAR的其他用途

CAR除了可以象我們提供的范例所示來限制某種流量的速率之外，還可以用來抵擋某些類型的網絡攻擊。

DOS網絡攻擊的一個特征是網絡中會充斥著大量帶有非法源地址的ICMP包，我們可以通過在路由器上對ICMP包通過配置CAR來設置速率上限的方法來保護網絡。