这里解释一下show interface rate-limit看到的结果 。
Matches是表示该interface配置的traffic matching规则,有多个matches表示该interface配置了多条rate-limit命令,采用了多条matching规则 。下面的params表示该规则定义的各项参数,xxx bps表示设定速率值,limit和extended limit表示token bucket的容量 。Conformed x packets,y bytes表示对速率限制内的包数量和字节数,action表示对符合规则的包采用的处理方式;exceeded x packets这行也类似地是表示对超过速率限制的包的数量和字节数,action是其处理方式 。
下面的last packet是表示最新的到来数据包的是多久前到达的,current burst是当前token bucket内的数据大小,last cleared是最近一次清记数器到现在的时间,conform x bps表示速率限制内的包的实际流量速率,exceed y bps 表示超过部分的速率 。
我们可以用这条命令检查我们配置CAR的实际效果,假如发现没有conform的流量,则一般情况下是traffic matching的规则设置有问题,又或者是在interface上的input output设得不正确 。
四、CAR的其他用途
CAR除了可以象我们提供的范例所示来限制某种流量的速率之外,还可以用来反抗某些类型的网络攻击 。
DOS网络攻击的一个特征是网络中会充斥着大量带有非法源地址的ICMP包,我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络 。
范例如下:
interface xy
rate-limit output access-group 2020 3000000 80000 80000 conform-action transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
这样可以限制ICMP包的转发速率和大小,减少对网络和主机造成的破坏 。
推荐阅读
- 笑傲江湖、集线器、路由器……
- Cisco路由器的基本配置
- 管辖权异议上诉状需要交费吗
- 路由器配置之预备知识
- 苹果11可以快充吗
- Cisco 2511路由器的PPP配置
- inspire座椅记忆怎么设置
- 在低端路由器上做aaaradius认证试验
- 龙虎榜上榜条件
- 详解:华为MSR路由器密码恢复功略