例1 :
使用CAR限制DOS攻击流量。本例假设主机10.10.0.10正在被攻击,攻击流量从s0/0接口进入的。使用CAR把与该主机握手的TCP同步数据流量限制在8kbps,超出规定流量的TCP同步数据全部丢弃。
access-list 103 deny tcp any host 10.0.0.1 established
access-list 103 permit tcp any host 10.0.0.1
interface serial 0/0
rate-limit input access-group 103 8000 8000 8000 conform-action transmit
exceed-action drop
已经建立起TCP会话的数据匹配了访问列表中的第一个条件,这种数据流量是不被检测的。如果是TCP初始握手的数据,不匹配第一个条件,但匹配第二个条件,这种数据的流量是需要检测的,使其不能超过8kbps。
提示:在这里使用访问列表不是为了过滤数据,而是用来分类数据的。匹配Deny语句的数据,其流量不被检测,只检测匹配permit语句的数据流量是否超出规定值。
例2:如果计划保护整个网络或网段不受DOS攻击的严重影响,可以这么配置CAR。
access-list 104 deny tcp any any established
access-list 104 permit tcp any any
interface serial 0/0
rate-limit input
access-group 104 64000 8000 8000 conform-action transmit exceed-action drop
以上配置把所有自s0/0接口进入的TCP SYN数据的流量限制在64kbps。
例3:在较高版本的IOS上,例1可以简化成如下配置。
access-list 105 permit tcp any host 10.0.0.1 syn
interface serial 0/0
rate-limit input
access-group 105 8000 8000 8000 conform-action transmit exceed-action drop
例4:在较高版本的IOS上,例2可以简化成如下配置。
access-list 106 permit tcp any any syn
interface serial 0/0