安全技巧：用CAR控制思科路由器非法通信

【原創翻譯，版權所有，合作網站如欲轉載，請註明原創翻譯作者「freedom」，及文章出處（賽迪網）。謝絕非合作網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

約定訪問速率（Committed access rate （CAR））或稱「速率限制」是一種管理非法網絡通信的方法，它能夠確保不會影響重要的網絡通信。

例如，如果某人正在從一個Web站點下載大量的Web資料通信，他或她就會阻止必需的通信進入，從而潛在地使生產伺服器不能通過網絡得以訪問。下面讓我們討論一下如何使用CAR來防止這種事情的發生。

你只能將CAR用於IP通信，CAR對非IP通信並不能起作用。要使用CAR，你必須在路由器上啟用CEF。

從本質上講，CAR控制著某種類型通信的帶寬，而一個訪問控制列表（ACL）定義了它所控制的通信。一旦你創建了ACL，根據你運用CAR的接口，你就可以設置CAR在進入或轉出的方向上對通信帶寬速率強制實施。

CAR作為一個基本的QoS功能是非常有用的。例如，讓我們假定你通過一個128Kb的WAN連接在一個遠程位置擁有一個實際的應用程序。這個應用程序一直工作良好，直到有一天，一位新的僱員弄了一台電腦，使用了瀏覽器和互聯網訪問，事情發生了改變。

在使用時，由於通過128Kb的網絡連接下載Web頁面和文檔，這個員工的瀏覽器降低了整個遠程網絡的速度。那麼你如何防止Web瀏覽佔據WAN連接從而降低應用伺服器的速度呢？

在一台思科路由器上有許多QoS功能，也有許多第三方的應用程序和設備可以幫助解決這個問題。不過，對這個問題的最簡單方案卻不需要花費什麼。使用思科的IOS和CAR只需要兩分鐘就可以搞定。

使用CAR需要兩個簡單的步驟：

1、創建一個ACL來定義你想實施速率限制的通信。

2、參考與通信源最近接口上的ACL，並參考適當的方向和恰當的帶寬數量，使用rate-limit命令。

回到我們例子中，我們假定你在總部位置通過WAN連接可以提供這台PC的互聯網訪問。即使瀏覽Web是一個必需的企業功能，它也會消極地影響遠程網絡上實際應用的性能。

讓我們看看你如何控制這種Web通信。首先，在總部的路由器上定義你想限制速率的通信。下面是一個例子：

HQ-Router(config)# access-list 120 permit tcp any eq www host    10.200.200.200

在這個例子中，遠程PC的IP地址為10.200.200.200。因此，源伺服器可以是在80號端口上提供Web服務的任何一台Web伺服器。

下一步在此接口上使用rate-limit命令。下面給出一個例子：

HQ-Router(config)# interface Serial0/0HQ-Router(config-if)# rate-limit output access-group 120 50000    10000 20000 conform-action transmit exceed-action drop

根據ACL 12O, 此命令就將速率限制運用到了接口上。我們將其用於向外發送資料的方向，因為我們將其運用到了總部的路由器上（而不是遠程路由器）。那是因為我們想阻止非法的Web通信通過WAN到達遠程站點。

5000、10000、20000代表著這種通信的正常位速率，通信的一般速率大小和最大速率。 為了讓路由器傳輸之，這種通信必須遵循這些數字。如果通信超過了這些帶寬設置，路由器會將其丟棄。

在總部路由器的Serial0/0接口（也就是連接遠位置的接口）上配置這些設置可以將非正常的Web通信限制為僅消耗128kb速率網絡連接的50kb以下。

雖然你可將CAR用於許多情況中，不過需要記住CAR只能限制你用ACL告訴它可以限制的東西。此外，你的帶寬設置可以限制在ACL中所涉及到的所有通信。

(