路由器CAR限速策略 防范DoS攻击2

路由器CAR限速策略 防范DoS攻击2

　采用上述方法定义了感兴趣的流量后，进行第二步的流量限制（Traffic Limitation）。CAR采用一种名为token bucket的机制来进行流量限制（如图2所示）。

　　图2

　　限流器使用token bucket的算法监视流量flow的带宽利用率。在每个流入的帧到达的时候，就把它们的长度加到token bucket (记号桶)上。每隔0.25毫秒（四千分之一秒），就从token bucket减去CIR（Committed Information Rate,承诺信息速率）或者说是平均限流速率的值。这样做的思路是，保持token bucket等于0，从而稳定数据速率。

　　限流器允许流量速率突发超出平均速率一定的量。token bucket增长到突发值（以字节为单位）水平之间的质量是允许的有效突发量，这也叫做in-profile traffic(限内流量)。当token bucket 的大小超过了突发值，限流器就认为流量“过大”了。这时我们可以定义一个PIR（Peak Information Rate,峰值信息速率）。当流量超出最大突发值达到PIR的时候，限流器就认为流量违规，这类流量也叫做out-of-profile traffic(限外流量)。所以当实际的流量通过限流器（token bucket）后, 可以看到会有两种情况发生：

　　（1）实际流量小于或等于用户希望速率，帧离开bucket的实际速率将和其来到的速率一样，bucket内可以看作是空的。流量不会超过用户的希望值。

　　（2）实际流量大于用户希望速率。帧进入bucket的速率比其离开bucket的速率快，这样在一段时间内，帧将填满该bucket，继续到来的帧将溢出(excess)bucket，则CAR采取相应的动作（一般是丢弃或将其IP前缀改变以改变该token的优先级）。这样就保证了数据流量速率保证在用户定义的希望值内。