• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

安全技巧:用CAR控制思科路由器非法通信

【原創翻譯,版權所有,合作網站如欲轉載,請註明原創翻譯作者「freedom」,及文章出處(賽迪網)。謝絕非合作網站轉載,違者,賽迪網將保留追究其法律責任的權利!】

約定訪問速率(Committed access rate (CAR))或稱「速率限制」是一種管理非法網絡通信的方法,它能夠確保不會影響重要的網絡通信。

例如,如果某人正在從一個Web站點下載大量的Web資料通信,他或她就會阻止必需的通信進入,從而潛在地使生產伺服器不能通過網絡得以訪問。下面讓我們討論一下如何使用CAR來防止這種事情的發生。

你只能將CAR用於IP通信,CAR對非IP通信並不能起作用。要使用CAR,你必須在路由器上啟用CEF。

從本質上講,CAR控制著某種類型通信的帶寬,而一個訪問控制列表(ACL)定義了它所控制的通信。一旦你創建了ACL,根據你運用CAR的接口,你就可以設置CAR在進入或轉出的方向上對通信帶寬速率強制實施。

CAR作為一個基本的QoS功能是非常有用的。例如,讓我們假定你通過一個128Kb的WAN連接在一個遠程位置擁有一個實際的應用程序。這個應用程序一直工作良好,直到有一天,一位新的僱員弄了一台電腦,使用了瀏覽器和互聯網訪問,事情發生了改變。

在使用時,由於通過128Kb的網絡連接下載Web頁面和文檔,這個員工的瀏覽器降低了整個遠程網絡的速度。那麼你如何防止Web瀏覽佔據WAN連接從而降低應用伺服器的速度呢?

在一台思科路由器上有許多QoS功能,也有許多第三方的應用程序和設備可以幫助解決這個問題。不過,對這個問題的最簡單方案卻不需要花費什麼。使用思科的IOS和CAR只需要兩分鐘就可以搞定。

使用CAR需要兩個簡單的步驟:

1、創建一個ACL來定義你想實施速率限制的通信。

2、參考與通信源最近接口上的ACL,並參考適當的方向和恰當的帶寬數量,使用rate-limit命令。

回到我們例子中,我們假定你在總部位置通過WAN連接可以提供這台PC的互聯網訪問。即使瀏覽Web是一個必需的企業功能,它也會消極地影響遠程網絡上實際應用的性能。

讓我們看看你如何控制這種Web通信。首先,在總部的路由器上定義你想限制速率的通信。下面是一個例子:

HQ-Router(config)# access-list 120 permit tcp any eq www host    10.200.200.200

在這個例子中,遠程PC的IP地址為10.200.200.200。因此,源伺服器可以是在80號端口上提供Web服務的任何一台Web伺服器。

下一步在此接口上使用rate-limit命令。下面給出一個例子:

HQ-Router(config)# interface Serial0/0HQ-Router(config-if)# rate-limit output access-group 120 50000    10000 20000 conform-action transmit exceed-action drop

根據ACL 12O, 此命令就將速率限制運用到了接口上。我們將其用於向外發送資料的方向,因為我們將其運用到了總部的路由器上(而不是遠程路由器)。那是因為我們想阻止非法的Web通信通過WAN到達遠程站點。

5000、10000、20000代表著這種通信的正常位速率,通信的一般速率大小和最大速率。 為了讓路由器傳輸之,這種通信必須遵循這些數字。如果通信超過了這些帶寬設置,路由器會將其丟棄。

在總部路由器的Serial0/0接口(也就是連接遠位置的接口)上配置這些設置可以將非正常的Web通信限制為僅消耗128kb速率網絡連接的50kb以下。

雖然你可將CAR用於許多情況中,不過需要記住CAR只能限制你用ACL告訴它可以限制的東西。此外,你的帶寬設置可以限制在ACL中所涉及到的所有通信。

(

加入好友line@vga9721w
線上客服
@hd119