- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-連接數限製配置
本章節下載: 14-連接數限製配置 (195.38 KB)
WX1800H係列、WX2500H係列和WX3000H係列不支持slot參數。
設備各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
係列 |
型號 |
產品代碼 |
命令 |
描述 |
|
WX1800H係列 |
WX1804H |
EWP-WX1804H-PWR-CN |
連接數限製 |
支持 |
|
WX2500H係列 |
WX2510H WX2510H-F WX2540H WX2540H-F WX2560H |
EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
支持 |
|
|
WX3000H係列 |
WX3010H WX3010H-X WX3010H-L WX3024H WX3024H-L WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
WX3010H支持 WX3010H-X支持 WX3010H-L不支持 WX3024H支持 WX3024H-L不支持 WX3024H-F支持 |
|
|
WX3500H係列 |
WX3508H WX3510H WX3520H WX3520H-F WX3540H |
EWP-WX3508H EWP-WX3510H EWP-WX3520H EWP-WX3520H-F EWP-WX3540H |
支持 |
|
|
WX5500E係列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
支持 |
|
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
支持 |
|
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
支持 |
圖1-1所示的組網環境中,通常會遇到以下兩類網絡問題:某內網用戶在短時間內經過設備向外部網絡發起大量連接,導致設備係統資源迅速消耗,其它內網用戶無法正常使用網絡資源;某內部服務器在短時間內接收到大量的連接請求,導致該服務器忙於處理這些連接請求,以至於不能再接受其它客戶端的正常連接請求。
連接數限製通過對設備上建立的連接數進行統計和限製,能夠有效解決以上問題,實現保護內部網絡資源(主機或服務器)以及合理分配設備係統資源的目的。
目前,設備僅支持基於接口的連接數限製:通過將已經配置好的連接數限製策略應用到全局或指定的接口上,對指定接口或所有接口上的用戶連接數進行限製。
表1-1 基於接口的連接數限製配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
創建連接數限製策略 |
必選 |
|
|
配置連接數限製策略 |
必選 |
|
|
應用連接數限製策略 |
必選 |
連接數限製策略用於定義具體的連接數限製規則,其中的規則規定了策略生效的範圍和實施的參數。
表1-2 創建連接數限製策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建連接數限製策略,並進入連接數限製策略視圖 |
connection-limit { ipv6-policy | policy } policy-id |
缺省情況下,不存在任何連接數限製策略 |
一個連接數限製策略中可定義多條連接數限製規則,每條連接數限製規則中指定一個連接數限製的用戶範圍,屬於該範圍的用戶可建立的連接數及新建連接速率將受到該規則中指定參數的限製。當某類型的連接數達到上限值(max-amount)時,設備將不接受該類型的新建連接請求並發送日誌,直到設備上已有連接因老化而刪除,使得當前該類型的連接數低於連接數下限(min-amount)後,才允許新建連接並發送日誌。對於未匹配連接數限製規則的用戶所建立的連接,設備不對其連接數進行限製。也可以選擇對新建連接的速率進行限製(rate),每秒新建的連接數不能超過限製值。
目前,連接數限製支持根據ACL來限定用戶範圍,對匹配ACL規則的用戶連接數進行統計和限製。
設備對於某一範圍內的用戶連接,可根據不同的控製粒度,按照如下各類型進行連接數限製:
· per-destination:按目的IP地址統計和限製,即到同一個目的IP地址的連接數目將受到指定閾值的限製。
· per-service:按服務統計和限製,即同一種服務(具有相同傳輸層協議和服務端口)的連接數目受限將受到指定閾值的限製。
· per-source:按源地址統計和限製,即同一個源IP地址發起的連接數目受限將受到指定閾值的限製。
如果在一條規則中同時指定per-destination、per-service、per-source類型中的多個,則多種統計和限製類型同時生效。例如,同時指定per-destination和per-service類型,則表示對到同一個目的地址的同一種服務的連接數進行統計和限製。若一條規則中不指定以上任何一種限製類型,則表示指定範圍內的所有用戶連接將整體受到指定的閾值限製。
對設備上建立的連接與某連接數限製策略進行匹配時,將按照規則編號從小到大的順序依次遍曆該策略中的所有規則,因此在配置連接限製規則時,需要從整體策略考慮,根據各規則的內容來合理安排規則的編號順序,推薦按照限製粒度和範圍由小到大的順序來設置規則序號。
表1-3 配置IPv4連接數限製策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入IPv4連接數限製策略視圖 |
connection-limit policy policy-id |
- |
|
配置連接數限製規則 |
limit limit-id acl { acl-number | name acl-name } [ per-destination | per-service | per-source ] * { amount max-amount min-amount | rate rate } * [ description text ] |
缺省情況下,連接數策略中不存在任何規則 |
|
(可選)配置連接數限製策略的描述信息 |
description text |
缺省情況下,連接數限製策略未配置任何描述信息 |
表1-4 配置IPv6連接數限製策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入IPv6連接數限製策略視圖 |
connection-limit ipv6-policy policy-id |
- |
|
配置連接數限製規則 |
limit limit-id acl ipv6 { acl-number | name acl-name } [ per-destination | per-service | per-source ] * { amount max-amount min-amount | rate rate } * [ description text ] |
缺省情況下,連接數策略中不存在任何規則 |
|
(可選)配置連接數限製策略的描述信息 |
description text |
缺省情況下,連接數限製策略未配置任何描述信息 |
將已經配置好的連接數限製策略應用到全局或不同的接口上,實現對用戶的連接數限製。接口上應用的連接數限製策略僅對本接口上處理的指定連接生效,全局應用的連接數限製策略對本設備處理的所有指定的連接生效。
如果在入接口、全局和出接口上分別應用了不同的連接數限製策略,則經過設備的連接將會依次受到入接口、全局、出接口連接數限製策略的多重限製,隻要該連接的數目達到任何一處連接數上限,都不允許新建連接。
表1-5 在接口上應用連接數限製策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
在接口上應用連接限製策略 |
connection-limit apply { ipv6-policy | policy } policy-id |
缺省情況下,接口上沒有應用任何連接數限製策略 同一個接口上同時隻能應用一個IPv4連接數限製策略和一個IPv6連接數限製策略,後配置的IPv4或IPv6連接數限製策略會覆蓋已配置的對應類型的策略 |
表1-6 全局應用連接限製策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
全局應用連接限製策略 |
connection-limit apply global { ipv6-policy | policy } policy-id |
缺省情況下,全局沒有應用任何連接數限製策略 全局最多隻能應用一個IPv4連接數限製策略和一個IPv6連接數限製策略,後配置的IPv4或IPv6連接數限製策略會覆蓋已配置的對應類型的策略 |
在完成上述配置後,在任意視圖下執行display命令可以顯示連接數限製配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令清除連接數限製的相關信息。
|
操作 |
命令 |
|
顯示連接數限製策略的配置信息 |
display connection-limit { ipv6-policy | policy } { all | policy-id } |
|
顯示連接數限製在全局或接口的統計信息 |
display connection-limit statistics { global | interface interface-type interface-number } [ slot slot-number ] |
|
顯示連接數限製在全局或接口的的統計節點列表 |
display connection-limit { ipv6-stat-nodes | stat-nodes } { global | interface interface-type interface-number } [ slot slot-number ] [ destination destination-ip | service-port port-number | source source-ip ] * [ count ] |
|
清除連接數限製在全局或接口的統計信息 |
reset connection-limit statistics { global | interface interface-type interface-number } [ slot slot-number ] |
某辦公室內部所有主機通過無線網絡訪問Web服務器,所在網段地址為192.168.1.0/24。為保障服務器資源的可用性,通過在AC上配置連接數限製功能,限製每台主機最多同時可與該Web服務器建立100條HTTP連接。
圖1-2 連接限製典型配置組網
# 創建ACL 3000,定義規則允許訪問Web Server的HTTP請求報文通過。
<AC> system-view
[AC] acl advanced 3000
[AC-acl-ipv4-adv-3000] rule permit tcp source 192.168.1.0 0.0.0.255 destination-port eq 80
[AC-acl-ipv4-adv-3000] quit
# 創建連接數限製策略1。
[AC] connection-limit policy 1
# 配置連接數限製規則1,允許匹配ACL 3000的每台主機最多隻能與外網建立100條連接,超過100時,需要等連接數恢複到50以下才允許建立新的連接。
[AC-connection-limit-policy-1] limit 1 acl 3000 per-source amount 100 50
[AC-connection-limit-policy-1] quit
# 在全局應用連接數限製策略1。
[AC] connection-limit apply global policy 1
上述配置完成後,執行display connection-limit policy命令顯示連接數限製的配置情況,具體內容如下。
[AC] display connection-limit policy 1
IPv4 connection limit policy 1 has been applied 1 times, and has 1 limit rules.
Limit rule list:
Policy Rule Stat Type HiThres LoThres rate ACL
-------------------------------------------------------------------------------
1 1 Src 100 50 0 3000
Application list:
Global
在AC上進行如下配置,希望限製主機192.168.0.100/24最多向某公網服務器發起100條連接請求,以及192.168.0.0/24網段的其他主機最多向某公網服務器發起10條連接請求。
<AC> system-view
[AC] acl basic 2001
[AC-acl-ipv4-basic-2001] rule permit source 192.168.0.0 0.0.0.255
[AC-acl-ipv4-basic-2001] quit
[AC] acl basic 2002
[AC-acl-ipv4-basic-2002] rule permit source 192.168.0.100 0
[AC-acl-ipv4-basic-2002] quit
[AC] connection-limit policy 1
[AC-connection-limit-policy-1] limit 1 acl 2001 per-destination amount 10 5
[AC-connection-limit-policy-1] limit 2 acl 2002 per-destination amount 100 10
實際運行過程中,主機192.168.0.100最多隻能同時向外部網絡的同一個目的地址發起10條連接,後續連接被拒絕。
在上述配置中,limit 1和limit 2中指定的源IP地址範圍存在包含關係,192.168.0.100發起的連接既符合limit 1又符合limit 2。由於在進行連接限製規則的匹配時,設備根據規則編號由小到大的順序進行匹配,且以匹配到的第一條有效規則為準,因此對192.168.0.100向外部網絡發起的連接將隻按照limit 1進行限製,而不會使用limit 2來限製。
為實現本需求,需要對limit 2與limit 1的順序重新安排,將兩個規則的序號進行調換,即將限製粒度更細、限製範圍更精確的規則置前。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
