网络安全设计通常包含下列因素:
1.设备安全特性,如管理员密码和不同网络组建中的SSH
2.防火墙
3.远程访问VPN服务器
4.入侵检测
5.安全AAA服务器和网络上相关的AAA服务
6.不同网络设备上的访问控制和访问控制机制,比如ACL和CAR
什么是CAR:
Committed Access Rate 承诺访问速率
主要有两个作用
1.对一个端口或者子端口的进出流量速率安某个标准上限进行限制;
2.对流量进行分类,划分出不同的Qos优先级;
CAR只能对IP包起作用,对非IP流量不能进行限制。另外CAR只能支持CEF(Cisco Express Forward)交换的路由器或者交换机上使用。
不能在这些接口上使用CAR
Fast EtherChannel interface
Tunnel Interface
PRI interface
CAR工作原理数据包分类识别和流量控制的结合;
流程如下:
1.先从数据流中识别出希望进行流量控制的流量类型,
可以通过以下方式进行识别:
全部IP流量
基于IP前缀,通过rate-limit access list 来定义
Qos分组
MAC地址 通过rate-limit access list 来定义
IP access list 访问控制列表
2.识别出流量以后,进行流量均衡,(traffic measurement) 采用一种名为token bucket的机制
token即识别到