所謂的CAR意思為承諾訪問速率，對(duì)一個(gè)端口或子端口的進(jìn)出流量速率按某個(gè)標(biāo)準(zhǔn)上限進(jìn)行，對(duì)流量進(jìn)行分類，劃分出不同的QoS優(yōu)先級(jí)，只能對(duì)IP包起作用，對(duì)非IP流量不能進(jìn)行。

一、想要對(duì)流量進(jìn)行控制我們首先要做的是對(duì)數(shù)據(jù)包分類識(shí)別，然后再對(duì)其進(jìn)行流量控制，要對(duì)其進(jìn)行流量控制的數(shù)據(jù)包類型，限流器使用tokenbucket的算法流量flow的帶寬利用率。在每個(gè)流入的幀到達(dá)的時(shí)候，就把它們的長(zhǎng)度加到tokenbucket上，每隔0.25毫秒就從tokenbucket減去CIR或者說是平均限流速率的值。

二、限流器允許流量速率突發(fā)超出平均速率一定的量。tokenbucket增長(zhǎng)到突發(fā)值(以字節(jié)為單位)水平之間的質(zhì)量是允許的有效突發(fā)量，這也叫做in-profiletraffic，當(dāng)tokenbucket的大小超過了突發(fā)值，限流器就認(rèn)為流量過大了，當(dāng)流量超出最大突發(fā)值達(dá)到PIR的時(shí)候，限流器就認(rèn)為流量違規(guī)，這類流量也叫做out-of-profiletraffic。

三、我們通常在網(wǎng)絡(luò)的邊緣路由器上配置CAR。配置CAR主要包括以下幾部分：

1、確定流量類型也就是我們需要監(jiān)視的流量，主要通過下列方式確定：

(1)基于IP前綴，此種方式是通過rate-limitaccesslist來定義的。

(2)基于QoS分組。

(3)基于MAC地址。

(4)基于standard或extended的IPaccesslist。

2、在相應(yīng)的端口配置rate-limit：

interfaceXrate-limit{inputoutput}[access-groupnumber]bpsburst-normalburst-maxconform- actionactionexceed-actionaction。

(1)Interface：用戶希望進(jìn)行流量控制的端口，可以是Ethernet也可以是serial口，但是不同類型的interface在下面的input、output上選擇有所不同。

(2)Inputoutput：確定需要限制輸入或輸出的流量。如果在以太網(wǎng)端口配置，則該流量為output;如果在serial端口配置，則該流量為input。

(3)conform-action：在速率限制以下的流量的處理策略，exceed-action:超過速率限制的流量的處理策略。

四、CAR限制某種流量的速率之外，還可以用來抵擋DoS型攻擊，諸如Smurf攻擊使得網(wǎng)絡(luò)上充斥著大量帶有非法源地址的ICMP，占用網(wǎng)絡(luò)的資源。我們可以通過在路由器上對(duì)ICMP包通過配置CAR來設(shè)置速率上限的方法來保護(hù)網(wǎng)絡(luò)。

經(jīng)地上述設(shè)置后，在一定程度上我們可以限制ICMP包的轉(zhuǎn)發(fā)速率和大小，減少對(duì)網(wǎng)絡(luò)和主機(jī)造成的破壞，CAR限速策略要只有這樣才能有效地被使用，針對(duì)攻擊的不同類型采取相應(yīng)的防范措施。