Input|output:确定需要限制输入或输出的流量。如果在以太网端口配置，则该流量为output;如果在serial端口配置，则该流量为input。

　　access-group number: number是前面用access list定义流量的access list号码。

　　bps:用户希望该流量的速率上限，单位是bps。

　　burst-normal burst-max：这个是指token bucket的大小，一般采用8000、16000、32000这些值，视bps值的大小而定。

　　conform-action：在速率限制以下的流量的处理策略。

　　exceed-action:超过速率限制的流量的处理策略。

　　action:处理策略，包括以下几种：

　　◆ transmit:传输。

　　◆ drop:丢弃。

　　◆ set precedence and transmit:修改IP前缀然后传输。

　　◆ set QoS group and transmit:将该流量划入一个QoS group内传输。

　　◆ continue:不动作，看下一条rate-limit命令中有无流量匹配和处理策略，如无，则transmit。

　　◆ set precedence and continue:修改IP前缀然后continue。

　　◆ set QoS group and continue:划入QoS group然后continue。

　　具体应用

　　CAR限制某种流量的速率之外，还可以用来抵挡DoS型攻击，诸如Smurf攻击使得网络上充斥着大量带有非法源地址的ICMP，占用网络的资源。我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络(如图3所示)。

　　图3

　　客户端边界路由器上的配置：

　　interface s0 rate-limit input access-group 200 3000000 80000 80000

　　conform-action transmit exceed-action drop

　　这里我们把icmp包的流量定义在3Mbps，token bucket的大小为8000字节。

　　access-list 200 permit icmp any any echo-reply

　　这样一旦受到Smurf攻击时，在一定程度上我们可以限制ICMP包的转发速率和大小，减少对网络和主机造成的破坏。

　　为了更好地运用CAR限速策略，我们需要弄清楚DoS攻击的原理，这样才能针对DoS攻击的不同类型采取相应的防范措施。