实验流量管制实验.docx
- 文档编号:29829215
- 上传时间:2023-07-27
- 格式:DOCX
- 页数:21
- 大小:2.20MB
实验流量管制实验.docx
《实验流量管制实验.docx》由会员分享,可在线阅读,更多相关《实验流量管制实验.docx(21页珍藏版)》请在冰豆网上搜索。
实验流量管制实验
实验:
流量管制实验
一、实验目的
(1)验证流量管制器的配置过程
(2)验证通过流量管制阻止拒接服务攻击的过程
(3)验证流量管制的工作原理
二、实验内容
黑客通过向Web服务器发送大量报文,导致Web服务器连接网络的链路过载,从而使得Web服务器无法正常提供服务。
为了解决上述问题,需要限制某个网络发送给Web服务器的流量,以此阻止对Web服务器实施的拒绝服务攻击。
对于如下图所示的互联网结构,分别在路由器R1接口1和路由器R2接口2配置流量管制器,对网络192.1.1.0/24和网络192.1.3.0/24中的终端发送给Web服务器的流量进行管制。
三、实验原理
1、信息流分类
信息流分类是指通过规则从IP分组中鉴别出一组IP分组,规则由一组属性值组成,如果某个IP分组携带的信息和构成规则的一组属性值匹配,意味着该IP分组和该规则匹配。
构成规则的属性值通常由下述字段组成:
源IP地址,用于匹配IP分组IP首部中的源IP地址字段值。
目的IP地址,用于匹配IP分组首部中的目的IP地址字段值。
源和目的端口号,用于匹配作为IP分组净荷的传输层报文首部中源和目的端口号字段值。
协议类型,用于匹配IP分组首部中的协议字段值。
如分离出如上图中网络192.1.1.0/24中终端发送给Web服务器的流量的规则如下:
协议类型=TCP;
源IP地址=192.1.1.0/24;
源端口号:
任意;
目的IP地址=192.1.2.1/32;
目的端口号=80。
2、流量管制
流量管制通过定义4个参数实现,这4个参数分别是承诺信息速率(CommittedInformationRate,CIR)、承诺突发尺寸(CommittedBurstSize,CBS)、峰值信息速率(PeakInformationRate,PIR)和峰值突发尺寸(PeakBurstSize,PBS)。
它们必须满足以下关系:
PIR>CIR,且PBS>CBS。
流量管制过程如下图所示,流量管制的核心是两个令牌桶。
一是C桶,C桶的容量等于CBS,生成令牌的速度等于CIR。
当C桶令牌数TC小于CBS时,以CIR速度产生令牌。
当C桶令牌数TC大于CBS时,丢弃新产生的令牌。
二是P桶,P桶的容量等于PBS,生成令牌的速度等于PIR。
当P桶令牌数TP小于PBS时,以PIR速度产生令牌,当P桶令牌数TP大于PBS时,丢弃新产生的令牌。
当到达长度为X的报文时,进行以下操作。
(1)如果X<=TC,且X<=TP;TC=TC-X,TP=TP-X,报文颜色设置为绿色。
(2)如果TC (3)如果TP 通常情况下,允许传输绿色和黄色报文,丢弃红色报文。 四、关键命令说明 1、配置流分类 trafficclassifierr1 if-matchacl3000acl的编号为3000 2、配置流行为 trafficbehaviorr1 remarkdscp31将IP报文的DSCP优先级重新标记为31 carcir200pir400cbs40000pbs80000cir=200kb/s,pir=400kp/s,cbs=40000B,pbs=80000B 3、配置流策略 trafficpolicyr1 classifierr1behaviorr1 4、应用流策略 traffic-policyr1inbound输入方向 五、实验步骤 1、启动eNSP,构建如下图所示的网络拓扑结构,启动所有的设备, 2、完成路由器R1和R2各个接口的IP地址和子网掩码的配置过程,如下图示, 路由器R1和R2的接口状态分别如下图所示, 3、完成路由器R1和R2的RIP配置过程,如下图所示, 路由器R1和R2生成的完整路由表如下图所示, 4、完成路由器R1和R2流策略配置过程,路由器R1和R2配置的流策略分别如下图所示, 4、配置所有终端的IP地址、子网掩码和默认网关,如下图所示, 5、配置服务器的IP地址,子网掩码和默认网关,如下图所示, 六、实验结果 1、配置Web服务器的服务器功能,Web服务器的服务器功能配置界面如下图所示,D盘根目录下存储Web默认主页default.htm。 单击启动按钮启动Web服务器 2、由于路由器R1配置的流策略对属于网络192.1.1.0/24的客户端访问Web服务器的信息流实施管制,并重新标记IP分组中的DSCP字段值。 因此分别在路由器R1连接网络192.1.1.0/24的接口和连接Web服务器所在网络的接口在Client1访问Web服务器过程中捕获报文序列分别如下图所示, 路由器R1连接网络192.1.1.0/24的接口捕获的报文中,IP分组首部DSCP字段值为0,路由器R1连接Web服务器所在网络的接口捕获的报文中,IP分组首部DSCP字段值为31(十六进制值为0x1f),配置的流策略对Client1访问Web服务器过程产生的信息流发生作用。 3、为了验证路由器R1配置的流策略只对属于网络192.1.1.0/24的客户端访问Web服务器产生的信息流发生作用,启动WebServer的FTP服务器功能,并启动如下图所示的Client1访问FTP服务器的过程,路由器R1连接网络192.1.1.0/24的接口和连接Web服务器所在网络的接口在Client1访问FTP服务器过程中捕获的报文序列分别如下图所示, 路由器R1连接网络192.1.1.0/24的接口捕获的报文中,IP分组首部DSCP字段值为0,路由器R1连接Web服务器所在网络的接口捕获的报文中,IP分组首部DSCP字段值依然为0,配置的流策略对Client1访问FTP服务器过程产生的信息流不起作用。 4、由于路由器R2配置的流策略对属于网络192.1.3.0/24的客户端访问Web服务器的信息流实施管制,并重新标记IP分组中的DSCP字段值。 因此,分别在路由器R2连接网络192.1.3.0/24的接口和连接Web服务器所在网络的接口启动报文捕获功能,启动如下图所示的Client3访问Web服务器的过程, 路由器R1连接网络192.1.3.0/24的接口和连接Web服务器所在网络的接口在Client3访问Web服务器过程中捕获的报文序列分别如下图所示, 路由器R2连接网络192.1.3.0/24的接口捕获的报文中,IP分组首部DSCP字段值为56(十六进制值为0x38),配置的流策略对Client3访问Web服务器过程产生的信息流发生作用。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 流量 管制