在Cisco裝置中,隻有支援思科快速轉發(CEF,Cisco Express Forward)的路由器或交換機才能使用
rate-limit來限制流量,具體設定分三步
rate-limit input 2048000 8000 16000 conform-action transmit exceed-action drop
rate-limit output 2048000 8000 16000 conform-action transmit exceed-action drop
1. 在全局模式下開啟cef:
configure terminal
Router(config)#ip cef
2. 定義标準或者擴充通路清單(定義一個方向就可以了):
Router(config)#access-list 111 permit ip 192.168.1.0 0.0.0.255 any
3. 在希望限制的端口上進行rate-limit:
Router(config)#interface FastEthernet 0/1
Rounter(config-if)#rate-limit input access-group 111 2000000 40000 60000 conform-action transmit exceed-action drop
這樣我們就對192.168.1.0網段進行了限速,速率為2Mbps。注意,是對整個網段,因為你定義的ACL就是針對整個網段的。
rate-limit指令格式:
#rate-limit {input|output} [access-group number] bps burst-normal burst-max conform-action action exceed-action action
input|output:這是定義資料流量的方向。
access-group number:定義的通路清單的号碼。
bps:定義流量速率的上限,機關是bps。
burst-normal burst-max:定義的資料容量的大小,一般采用8000,16000,32000,機關是位元組,當到
達的資料超過此容量時,将觸發某個動作,丢棄或轉發等,進而達到限速的目的。
conform-action和exceed-action:分别指在速率限制以下的流量和超過速率限制的流量的處理政策。
action:是處理政策,包括drop和transmit等
另外,阻止非法位址的指令是
Router(config)# interface <interface>
Router(if-config)# no ip unreachables
如果此指令不能禁止,可參考下面這個指令
Elab(config)# ip icmp rate-limit unreachable <millisecond
CISCO 路由器簡單指令:
1.看流量: #sh int
2.看内網發包: #sh ip acco
3.清除内網發包記錄:#clear ip acco
注意:一般檢視當時的發包記錄,是先清除再檢視。
4.看cpu占用率:
#sh proc cpu