二、如何配置CAR：

    一般来说，CAR比较适合部署在网络的边缘部分，我们的一般做法也是在边界路由器上部署CAR。配置CAR可以选择前面介绍的五种流量类型识别方法，而常用的则是最后一种“IP　access list（IP ACL，IP访问控制列表）”方法。

    用户可以使用标准的ip access list来确定哪些IP流量数据需要进行rate-limit（速率限制），也可以用扩展ip access list来确定哪些IP协议类型流量（如HTTP，FTP）需要进行rate-limit。例如我们想限制用户到内部网站上浏览网页的速度，则可以采用如下的access list来定义流量：

access-list 101 permit tcp any eq www any

    这里值得注意的一点是在配置时要配成any eq www any而不是any any eq www。因为这里要限制的主要流量不是用户向http server发送的请求（这类请求流量的源端口号为随机（any），目的端口号为80），而是http server收到用户的请求后发给用户方的网页内容的流量（这部分流量的源端口号为80，目的端口号为发起方的端口号），如果在这个小细节上不加注意则不能对下载的流量进行有效的限制。

    在相应的端口配置rate-limit的语句格式如下：

    interface X  # 聚集用户希望限制的端口

    rate-limit {input|output} [access-group number ] bps burst-normal burst-max conform-action action exceed-action action

    这里的interface可以是Ethernet interface（以太网端口）也可以是serial interface（串行接口），但是不同类型的interface在下面的rate-limit语句中的{input|output}选项上选择有所不同，需要注意一下。因为以太网端口既可以是输入（input）端口，又可是输出(output)端口；而串行接口则只能为输入接口。

    [access-group number ]选项是用户用access list定义流量的access list号码。

    Bps:用户希望该流量的速率上限，单位是bps。

    Burst-normal burst-max：这个是指token bucket的大小，一般采用8000、16000、32000等值，根据前面设置的Bps值大小而定。

    Conform-action ：在速率限制以下的流量的处理策略。
    Exceed-action:超过速率限制的流量的处理策略。
    Action:处理策略，包括以下几种：
 Transmit:传输
 Drop:丢弃
 Set precedence and transmit：修改IP前缀然后传输
 Set QoS group and transmit：将该流量划入一个QoS group内传输
 Continue：不动作，看下一条rate-limit命令中有无流量匹配和处理策略，如无，则transmit
 Set precedence and continue：修改IP前缀然后continue（继续）
 Set QoS group and continue：划入QoS group然后continue

    注意，在一个interface内，可以配置多条rate-limit命令，如果action里面有continue，则顺序执行下一条rate-limit命令，若某种流量在continue之后没有被某条rate-limit命令丢弃，则它将进行传输。一个端口最多可配20条rate-limit命令。

    下面语句是一个对用户进行http应用限制的例子：
interface e0    # 聚集0号以太网端口
rate-limit output access-group 101 128000 16000 16000 conform-action transmit exceed-action drop

    这里我们对用户进行http访问所下载的网页流量控制在传输速率上限为128Kbps,token bucket包的大小为16000字节。

    CAR除了可以提供用来限制某种流量的速率之外，还可以用来抵挡某些类型的网络攻击。如DOS网络攻击的一个特征是网络中会充斥着大量带有非法源地址的ICMP包，我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络。示例如下：

interface x
rate-limit output access-group 1000 3000000 80000 80000 conform-action transmit exceed-action drop
access-list 1000 permit icmp any any echo-reply

    这样就可以限制ICMP包的转发速率和大小，减少对网络和主机造成的威胁。