目  錄

1 連接限製

1.1 連接限製配置命令

1.1.1 connection-limit default action

1.1.2 connection-limit default amount

1.1.3 connection-limit policy

1.1.4 display connection-limit policy

1.1.5 display connection-limit statistics

1.1.6 display nat connection-limit

1.1.7 limit acl

1.1.8 nat connection-limit-policy

 

1 連接限製

1.1  連接限製配置命令

1.1.1  connection-limit default action

【命令】

connection-limit default action { deny | permit }

undo connection-limit default action [ permit ]

【視圖】

連接限製策略視圖

【缺省級別】

2：係統級

【參數】

deny：禁止對用戶連接進行統計和限製。

permit：允許對用戶連接進行統計和限製。

【描述】

connection-limit default action命令用來設置缺省連接限製動作，即對於在連接限製策略規則中未指定的連接是否進行統計和限製。undo connection-limit default action命令用來恢複缺省情況。

缺省情況下，不對用戶連接進行統計和限製。

【舉例】

# 設置缺省的連接限製動作為permit，即允許對連接進行統計和限製。

<Sysname> system-view

[Sysname] connection-limit policy 1

[Sysname-connection-limit-policy-1] connection-limit default action permit

1.1.2  connection-limit default amount

【命令】

connection-limit default amount upper-limit max-amount lower-limit min-amount

undo connection-limit default amount [ upper-limit max-amount lower-limit min-amount ]

【視圖】

連接限製策略視圖

【缺省級別】

2：係統級

【參數】

upper-limit max-amount：指定連接數上限值。取值範圍為1～4294967295。

lower-limit min-amount：指定連接數下限值。取值範圍為0～4294967294，且min-amount應小於max-amount。

【描述】

connection-limit default amount命令用來設置缺省連接限製參數。undo connection-limit default amount命令用來恢複缺省情況。

缺省情況下，連接數上限值為50，下限製為20。

【舉例】

# 設置缺省連接數上限值為200，下限值為50。

<Sysname> system-view

[Sysname] connection-limit policy 1

[Sysname-connection-limit-policy-1] connection-limit default amount upper-limit 200 lower-limit 50

1.1.3  connection-limit policy

【命令】

connection-limit policy policy-number

undo connection-limit policy { policy-number | all }

【視圖】

係統視圖

【缺省級別】

2：係統級

【參數】

policy-number：連接限製策略編號，取值範圍為0～19。

all：表示所有的連接限製策略。

【描述】

connection-limit policy命令用來創建一個連接限製策略，並進入連接限製策略視圖。undo connection-limit policy命令用來刪除一個或全部連接限製策略。

需要注意的是：

·     一個連接限製策略由一係列的連接限製規則組成，在規則中指明了對指定用戶的連接數進行限製。缺省情況下，策略采用缺省的連接限製參數。

·     創建一個連接限製策略需要指定策略的編號，此編號用來唯一標識此策略。策略匹配按照編號從大到小順序匹配。

·     如果連接限製策略已應用於NAT模塊，則不允許修改策略中已配置的連接限製規則，但可以在該策略中添加或刪除連接限製規則。

【舉例】

# 創建編號為1的連接限製策略，並進入連接限製策略視圖。

<Sysname> system-view

[Sysname] connection-limit policy 1

[Sysname-connection-limit-policy-1]

1.1.4  display connection-limit policy

【命令】

display connection-limit policy { policy-number | all } [ | { begin | exclude | include } regular-expression ]

【視圖】

任意視圖

【缺省級別】

1：監控級

【參數】

policy-number：顯示指定編號的連接限製策略，取值範圍為0～19。

all：顯示所有的策略。

|：使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹，請參見“基礎配置指導”中的“CLI”。

begin：從包含指定正則表達式的行開始顯示。

exclude：隻顯示不包含指定正則表達式的行。

include：隻顯示包含指定正則表達式的行。

regular-expression：表示正則表達式，為1～256個字符的字符串，區分大小寫。

【描述】

display connection-limit policy命令用來顯示連接限製策略的配置信息。

相關配置可參考命令limit acl。

【舉例】

# 顯示所有連接限製策略的配置信息。

<Sysname> display connection-limit policy all

 There is 1 policy:

 Connection-limit policy 1, refcount 0 ,3 limits

  limit 1 acl 2000 per-source amount 1111 10

  limit 2 acl 2001 per-destination amount 300 20

  limit 3 acl 2002 per-service amount 400 50

表1-1 display connection-limit policy all命令顯示信息描述表

字段	描述
Connection-limit policy	連接限製策略編號
refcount 1, 2 limits	策略被引用的次數及策略中包含的規則數目
limit	策略下配置的連接限製規則，規則的具體含義請參考連接限製策略視圖下的命令limit acl

 

1.1.5  display connection-limit statistics

【命令】

display connection-limit statistics [ source src-address { mask-length | mask } ] [ destination dst-address { mask-length | mask } ] [ destination-port { eq | gt | lt | neq | range } port-number ] [ vpn-instance vpn-instance-name ] [ | { begin | exclude | include } regular-expression ]

【視圖】      

任意視圖

【缺省級別】

1：監控級

【參數】

source src-address：顯示指定源IP地址的連接限製統計信息。

destination dst-address：顯示指定目的IP地址的連接限製統計信息。

mask-length：網絡掩碼的長度，取值範圍為1～32。

mask：網絡掩碼。

destination-port：按目的端口顯示連接限製統計信息。

{ eq | gt | lt | neq | range }：表示限定端口範圍的條件，包括以下幾項：

·     eq：表示等於指定的端口號；

·     gt：表示大於指定的端口號；

·     lt：表示小於指定的端口號；

·     neq：表示不等於指定的端口號；

·     range：表示指定端口號範圍。

port-number：表示端口號，取值範圍為0～65535。參數為range時，port-number為<start-port，end-port>表示的一個端口範圍，需要先後輸入start-port和end-port，且start-port不能大於end-port。

vpn-instance vpn-instance-name：指定用戶連接所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示待查詢連接統計的用戶連接屬於公網。

|：使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹，請參見“基礎配置指導”中的“CLI”。

begin：從包含指定正則表達式的行開始顯示。

exclude：隻顯示不包含指定正則表達式的行。

include：隻顯示包含指定正則表達式的行。

regular-expression：表示正則表達式，為1～256個字符的字符串，區分大小寫。

【描述】

display connection-limit statistics命令用來顯示連接限製統計信息。

【舉例】

# 顯示所有連接限製統計信息。

<Sysname> display connection-limit statistics

      source-ip       dest-ip         dest-port       vpn-instance

      192.168.0.210   ---             ---             ---

--------------------------------------------------------------------------

 NAT       amount         upper-limit    lower-limit    limit-flag

           2              200            100            0

表1-2 display connection-limit statistics命令顯示信息描述表

字段	描述
source-ip	源IP地址，為“---”時表示連接中無該信息
dest-ip	目的IP地址，為“---”時表示連接中無該信息
dest-port	目的端口號，為“---”時表示連接中無該信息
vpn-instance	用戶連接所屬MPLS L3VPN，為“---”時表示連接屬於公網
NAT	應用連接限製策略的NAT模塊
amount	當前用戶的實際連接數
upper-limit	用戶可建連接數上限值
lower-limit	用戶可建連接數下限值
limit-flag	新連接是否還能建立標誌，為0時可以再建，為1時不能再建

1.1.6  display nat connection-limit

【命令】

display nat connection-limit [ source src-address { mask-length | mask } ] [ destination dst-address { mask-length | mask } ] [ destination-port { eq | gt | lt | neq | range } port-number ] [ vpn-instance vpn-instance-name ] [ | { begin | exclude | include } regular-expression ]

【視圖】

任意視圖

【缺省級別】

1：監控級

【參數】

source src-address：顯示指定源IP地址的連接限製統計信息。

destination dst-address：顯示指定目的IP地址的連接限製統計信息。

mask-length：網絡掩碼的長度，取值範圍為1～32。

mask：網絡掩碼。

destination-port：按目的端口號顯示連接限製統計信息。

{ eq | gt | lt | neq | range }：表示限定端口範圍的條件，包括以下幾項：

·     eq：表示等於指定的端口號；

·     gt：表示大於指定的端口號；

·     lt：表示小於指定的端口號；

·     neq：表示不等於指定的端口號；

·     range：表示指定端口號範圍。

port-number：表示端口號，取值範圍為0～65535。參數為range時，port-number為<start-port，end-port>表示的一個端口範圍，需要先後輸入start-port和end-port，且start-port不能大於end-port。

vpn-instance vpn-instance-name：指定用戶連接所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串。如果未指定本參數，則表示待查詢連接統計的用戶位於公網中。

|：使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹，請參見“基礎配置指導”中的“CLI”。

begin：從包含指定正則表達式的行開始顯示。

exclude：隻顯示不包含指定正則表達式的行。

include：隻顯示包含指定正則表達式的行。

regular-expression：表示正則表達式，為1～256個字符的字符串，區分大小寫。

【描述】

display nat connection-limit命令用來顯示NAT模塊的連接限製統計信息。

【舉例】

# 顯示NAT模塊的連接限製統計信息。

<Sysname> display nat connection-limit

      source-ip       dest-ip         dest-port       vpn-instance

      192.168.0.210   ---             ---             ---

--------------------------------------------------------------------------

 NAT       amount         upper-limit    lower-limit    limit-flag

           2              50             20             0

表1-3 display nat connection-limit命令顯示信息描述表

字段	描述
source-ip	連接的源IP地址，為“---”時表示連接中無該信息
dest-ip	連接的目的IP地址，為“---”時表示連接中無該信息
dest-port	連接的目的端口，為“---”時表示連接中無該信息
vpn-instance	連接所屬的MPLS L3VPN，為“---”時表示連接屬於公網
NAT	連接是通過NAT建立起來的
amount	當前用戶實際連接數
upper-limit	用戶可建連接上限值
lower-limit	用戶可建連接下限值
limit-flag	用戶能否再建連接標誌，為0時表示用戶還可再建連接，為1時表示用戶不能再建連接

 

1.1.7  limit acl

【命令】

limit limit-id acl acl-number [ { per-destination | per-service | per-source } * amount max-amount min-amount ]

undo limit limit-id [ acl acl-number [ { per-destination | per-service | per-source } * amount max-amount min-amount ] ]

【視圖】

連接限製策略視圖

【缺省級別】

2：係統級

【參數】

limit-id：連接限製策略的規則編號，取值範圍為0～255。

acl-number：訪問控製列表號，取值範圍為2000～3999。ACL用來匹配用戶的範圍，對匹配ACL的用戶的連接數進行統計和限製。

per-destination：按目的IP地址方式統計和限製，即到同一個目的IP地址的連接數目受限。

per-service：按服務方式統計和限製，即同一種服務（或應用）的連接數目受限。

per-source：按源IP地址方式統計和限製，即同一個源IP地址發起的連接數目受限。

amount：設置連接數限製。

max-amount：連接數上限值，取值範圍為1～4294967295。

min-mount：連接數下限值，取值範圍為0～4294967294。min-mount必須小於max-amount。

【描述】

limit acl命令用來配置基於ACL的連接限製規則。undo limit命令用來刪除指定的連接限製規則。

需要注意的是：

·     如果隻指定acl參數，不指定其它參數，則按照源IP地址方式，采用策略缺省的連接限製參數（連接數上下限值）進行統計和限製。缺省的連接限製參數配置請參見命令connection-limit default amount。

·     如果同時指定per-destination、per-service、per-source參數中的多個，則各種統計和限製方式組合生效。例如，per-destination per-service表示到同一個目的IP地址的同一種服務。

相關配置可參考命令connection-limit policy、display connection-limit policy和display nat connection-limit。

【舉例】

# 配置編號為1的連接限製規則，限製192.168.0.0/24網段的用戶到同一個目的IP地址的連接數的上、下限值分別為200和100。例如，如果此時內網有192.168.0.1和192.168.0.100兩個用戶訪問某公網服務器，則按目的IP地址進行限製和統計，即要求與該公網服務器建立的連接數不超過200，在連接數下降到100後允許新建連接。

<Sysname> system-view

[Sysname] acl number 2001

[Sysname-acl-basic-2001] rule permit source 192.168.0.0 0.0.0.255

[Sysname-acl-basic-2001] quit

[Sysname] connection-limit policy 1

[Sysname-connection-limit-policy-1] limit 1 acl 2001 per-destination amount 200 100

1.1.8  nat connection-limit-policy

【命令】

nat connection-limit-policy policy-number

undo nat connection-limit-policy policy-number

【視圖】

係統視圖

【缺省級別】

2：係統級

【參數】

policy-number：指定連接限製策略編號，取值範圍為0～19。該連接限製策略必須已經存在。

【描述】

nat connection-limit-policy命令用來在NAT模塊上應用連接限製策略，即配置連接限製策略與NAT模塊的綁定。undo nat connection-limit-policy命令用來取消連接限製策略的應用。

需要注意的是，若要修改已經被NAT應用的連接限製策略的規則，需要先使用undo nat connection-limit policy命令取消已有的應用。

【舉例】

# 將策略1與NAT模塊綁定。

<Sysname> system-view

[Sysname] nat connection-limit-policy 1

# 刪除策略1與NAT模塊的綁定。

<Sysname> system-view

[Sysname] undo nat connection-limit-policy 1