- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-連接數限製配置
本章節下載: 15-連接數限製配置 (219.35 KB)
圖1-1所示的組網環境中,通常會遇到以下兩類網絡問題:某內網用戶在短時間內經過設備向外部網絡發起大量連接,導致設備係統資源迅速消耗,其它內網用戶無法正常使用網絡資源;某內部服務器在短時間內接收到大量的連接請求,導致該服務器忙於處理這些連接請求,以至於不能再接受其它客戶端的正常連接請求。
連接數限製通過對設備上建立的連接數進行統計和限製,能夠有效解決以上問題,實現保護內部網絡資源(主機或服務器)以及合理分配設備係統資源的目的。
(1) 創建連接數限製策略
(2) 配置連接數限製策略
(3) 應用連接數限製策略
(1) 進入係統視圖。
system-view
(2) 創建連接數限製策略,並進入連接數限製策略視圖。
connection-limit { ipv6-policy | policy } policy-id
一個連接數限製策略中可定義多條連接數限製規則,每條連接數限製規則中指定一個連接數限製的用戶範圍,屬於該範圍的用戶可建立的連接數及新建連接速率將受到該規則中指定參數的限製。當某類型的連接數達到上限值(max-amount)或新建連接速率達到最大值(rate)時,設備將根據用戶配置的動作允許或拒絕該類型的新建連接請求。若動作配置為拒絕新建連接,則需要等到設備上已有連接因老化而刪除,使得當前該類型的連接數低於連接數下限(min-amount)或新建連接速率低於最大值後,才允許新建連接。連接數達到觸發限製閾值時,設備將記錄日誌;連接數下降到連接數下限時,隻有動作配置為拒絕新建連接時才會記錄日誌。對於未匹配連接數限製規則的用戶所建立的連接,設備不對其連接數進行限製。
目前,連接數限製支持根據ACL來限定用戶範圍,對匹配ACL規則的用戶連接數進行統計和限製。
設備對於某一範圍內的用戶連接,可根據不同的控製粒度,按照如下各類型進行連接數限製:
· per-destination:按目的IP地址統計和限製,即到同一個目的IP地址的連接數目將受到指定閾值的限製。
· per-service:按服務統計和限製,即同一種服務(具有相同傳輸層協議和服務端口)的連接數目將受到指定閾值的限製。
· per-source:按源地址統計和限製,即同一個源IP地址發起的連接數目將受到指定閾值的限製。
如果在一條規則中同時指定per-destination、per-service、per-source類型中的多個,則多種統計和限製類型同時生效。例如,同時指定per-destination和per-service類型,則表示對到同一個目的地址的同一種服務的連接數進行統計和限製。若一條規則中不指定以上任何一種限製類型,則表示指定範圍內的所有用戶連接將整體受到指定的閾值限製。
對設備上建立的連接與某連接數限製策略進行匹配時,將按照規則編號從小到大的順序依次遍曆該策略中的所有規則,因此在配置連接限製規則時,需要從整體策略考慮,根據各規則的內容來合理安排規則的編號順序,推薦按照限製粒度和範圍由小到大的順序來設置規則序號。
(1) 進入係統視圖。
system-view
(2) 進入IPv4連接數限製策略視圖。
connection-limit policy policy-id
(3) 配置連接數限製規則。
¡ 配置基於目的IP地址、服務或源IP地址的連接數限製規則。
limit limit-id acl { acl-number | name acl-name } [ per-destination | per-service | per-source ] * { amount max-amount min-amount | rate rate } * [ description text | permit-new ] *
(4) (可選)配置連接數限製策略的描述信息。
description text
缺省情況下,未配置描述信息。
(1) 進入係統視圖。
system-view
(2) 進入IPv6連接數限製策略視圖。
connection-limit ipv6-policy policy-id
(3) 配置連接數限製規則。
limit limit-id acl ipv6 { acl-number | name acl-name } [ per-destination | per-service | per-source ] * { amount max-amount min-amount | rate rate } * [ description text | permit-new ] *
(4) (可選)配置連接數限製策略的描述信息。
description text
缺省情況下,未配置描述信息。
將已經配置好的連接數限製策略應用到全局或不同的接口上,實現對用戶的連接數限製。接口上應用的連接數限製策略僅對本接口上處理的指定連接生效,全局應用的連接數限製策略對本設備處理的所有指定的連接生效。
如果在入接口、全局和出接口上分別應用了不同的連接數限製策略,則經過設備的連接將會依次受到入接口、全局、出接口連接數限製策略的多重限製,隻要該連接的數目達到任何一處連接數上限,都不允許新建連接。
· 應用或修改連接數限製策略後,僅對新創建的連接生效,已經創建的連接不受此限製。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 在接口上應用連接限製策略。
connection-limit apply { ipv6-policy | policy } policy-id
缺省情況下,接口上未應用連接數限製策略。
同一個接口上同時隻能應用一個IPv4連接數限製策略和一個IPv6連接數限製策略,後配置的IPv4或IPv6連接數限製策略會覆蓋已配置的對應類型的策略。
(1) 進入係統視圖。
system-view
(2) 全局應用連接限製策略。
connection-limit apply global { ipv6-policy | policy } policy-id
缺省情況下,全局未應用連接數限製策略。
全局最多隻能應用一個IPv4連接數限製策略和一個IPv6連接數限製策略,後配置的IPv4或IPv6連接數限製策略會覆蓋已配置的對應類型的策略。
在完成上述配置後,在任意視圖下執行display命令可以顯示連接數限製配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令清除連接數限製的相關信息。
|
操作 |
命令 |
|
顯示連接數限製策略的配置信息 |
display connection-limit { ipv6-policy | policy } { all | policy-id } |
|
顯示連接數限製在全局或接口的統計信息 |
display connection-limit statistics { global | interface interface-type interface-number } [ slot slot-number ] |
|
顯示連接數限製在全局或接口的IPv4統計節點列表 |
display connection-limit stat-nodes { global | interface interface-type interface-number } [ slot slot-number ] [ { deny-new | permit-new } | destination destination-ip | service-port port-number | source source-ip ] * [ count ] display connection-limit stat-nodes { global | interface interface-type interface-number } [ slot slot-number ] dslite-peer b4-address [ count ] |
|
顯示連接數限製在全局或接口的IPv6統計節點列表 |
display connection-limit ipv6-stat-nodes { global | interface interface-type interface-number } [ slot slot-number ] [ { deny-new | permit-new } | destination destination-ip | service-port port-number | source source-ip ] * [ count ] |
|
清除連接數限製在全局或接口的統計信息 |
reset connection-limit statistics { global | interface interface-type interface-number } [ slot slot-number ] |
在Device上進行如下配置,希望限製主機192.168.0.100/24最多向某公網服務器發起100條連接請求,以及192.168.0.0/24網段的其他主機最多向某公網服務器發起10條連接請求。
<Device> system-view
[Device] acl basic 2001
[Device-acl-ipv4-basic-2001] rule permit source 192.168.0.0 0.0.0.255
[Device-acl-ipv4-basic-2001] quit
[Device] acl basic 2002
[Device-acl-ipv4-basic-2002] rule permit source 192.168.0.100 0
[Device-acl-ipv4-basic-2002] quit
[Device] connection-limit policy 1
[Device-connlmt-policy-1] limit 1 acl 2001 per-destination amount 10 5
[Device-connlmt-policy-1] limit 2 acl 2002 per-destination amount 100 10
實際運行過程中,主機192.168.0.100最多隻能同時向外部網絡的同一個目的地址發起10條連接,後續連接被拒絕。
在上述配置中,limit 1和limit 2中指定的源IP地址範圍存在包含關係,192.168.0.100發起的連接既符合limit 1又符合limit 2。由於在進行連接限製規則的匹配時,設備根據規則編號由小到大的順序進行匹配,且以匹配到的第一條有效規則為準,因此對192.168.0.100向外部網絡發起的連接將隻按照limit 1進行限製,而不會使用limit 2來限製。
為實現本需求,需要對limit 2與limit 1的順序重新安排,將兩個規則的序號進行調換,即將限製粒度更細、限製範圍更精確的規則置前。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
