企业实战:轻松实现思科路由器限速


思科路由器限速设置:

在思科设备中,只有支持思科快速转发CEF,Cisco Express Forward)的路由器或交换机才能使用rate-limit来限制流量,具体设置分三步:

  1. rate-limit input 2048000 8000 16000 conform-action transmit exceed-action drop  
  2.  
  3. rate-limit output 2048000 8000 16000 conform-action transmit exceed-action drop 

1. 在全局模式下开启cef:http://www.18mac.com

  1. configure terminal  
  2.  
  3. Router(config)#ip cef 

2. 定义标准或者扩展访问列表定义一个方向就可以了):

Router(config)#access-list 111 permit ip 192.168.1.0 0.0.0.255 any

3. 在希望限制的端口上进行rate-limit:

  1. Router(config)#interface FastEthernet 0/1  
  2.  
  3. Rounter(config-if)#rate-limit input access-group 111 2000000 40000 60000 conform-action transmit exceed-action drop 

这样我们就对192.168.1.0网段进行了路由器限速,速率为2Mbps。注意,是对整个网段,因为你定义的ACL就是针对整个网段的。

思科rate-limit命令格式分析:

#rate-limit {input|output} [access-group number] bps burst-normal burst-max conform-action action exceed-action action

input|output:这是定义数据流量的方向。

access-group number:定义的访问列表的号码。

bps:定义流量速率的上限,单位是bps。

burst-normal burst-max:定义的数据容量的大小,一般采用8000,16000,32000,单位是字节,当到达的数据超过此容量时,将触发某个动作,丢弃或转发等,从而达到路由器限速的目的。

conform-action和exceed-action:分别指在速率限制以下的流量和超过速率限制的流量的处理策略。

action:是处理策略,包括drop和transmit等

阻止非法地址的命令是:

  1. Router(config)# interface <interface> 
  2.  
  3. Router(if-config)# no ip unreachables 

如果此命令不能禁止,可参考下面这个命令:

Elab(config)# ip icmp rate-limit unreachable <millisecond>

路由器限速命令分析:

1、指定需限速范围:

  1. access-list 110 permit ip 192.168.1.0 0.0.0.255 any  
  2.  
  3. access-list 110 permit ip any 192.168.1.0 0.0.0.255 

2、在wan口指定速率:   www.360ito.com

  1. rate-limit input access-group 110 1024000 128000 128000 conform-action transmit exceed-action drop  
  2. rate-limit output access-group 110 1024000 128000 128000 conform-action transmit exceed-action drop 

3、设置完成

路由器限速限恶意端口分析:

1、定义扩展访问控制列表:

  1. ip access-list extended BLOCK  
  2.  
  3. deny   tcp any any range 135 139  
  4. deny   tcp any range 135 139 any  
  5. deny   udp any any range 135 netbios-ss  
  6. deny   udp any range 135 netbios-ss any  
  7. deny   tcp any any eq 445  
  8. deny   udp any eq 445 any  
  9. deny   tcp any any eq 1433  
  10. deny   tcp any eq 1433 any  
  11. deny   udp any any eq 1434  
  12. deny   udp any eq 1434 any  
  13. permit ip any any 

2、把它放在各各端口in方向:

  1. #int f0/0  
  2.  
  3. #ip access-group block in  
  4.  
  5. #int f0/1  
  6.  
  7. #ip access-group block in 

路由器限速设置到这里大功告成,我们用思科解决了区域限速问题。现在相信大家不会再为老板对全公司大吼‘很卡’担忧了,赶快试试吧!

相关内容

    暂无相关文章