- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-連接數限製
本章節下載: 09-連接數限製 (274.34 KB)
本幫助主要介紹以下內容:
· 特性簡介
· 配置指南
為了實現保護內部網絡資源(主機或服務器)以及合理分配設備係統資源的目的,通常采用連接數限製對設備上建立的連接數進行統計和限製。
設備支持創建IPv4和IPv6兩種類型的連接數限製策略,將配置好的連接數限製策略應用到整機或接口上,實現對用戶的連接數限製。
接口上應用的連接數限製策略僅對本接口上處理的指定連接生效,整機應用的連接數限製策略對本設備處理的所有指定的連接生效。
如果在入接口、整機和出接口上分別應用了不同的連接數限製策略,則經過設備的連接將會依次受到入接口、整機、出接口連接數限製策略的多重限製,隻要該連接的數目達到任何一處連接數上限,都將受到連接數限製策略的限製。
一個連接數限製策略中可定義多條連接數限製規則,每條連接數限製規則中指定一個連接數限製的用戶範圍,屬於該範圍的用戶可建立的連接數及新建連接速率將受到該規則中指定參數的限製。具體如下:
· 連接數限製:對某類型的連接數進行限製,達到觸發限製閾值時,設備將根據用戶配置的動作允許或拒絕新建連接請求。若動作配置為拒絕新建連接,則需要等到設備上已有連接因老化而刪除,使得當前該類型的連接數低於解除限製閾值後,才允許新建連接。連接數達到觸發限製閾值時,設備將記錄日誌;連接數下降到解除限製閾值時,隻有動作配置為拒絕新建連接時才會記錄日誌。
· 新建速率限製:對新建連接的速率進行限製,每秒新建的連接數達到限製值時,設備將根據用戶配置的動作允許或拒絕新建連接請求並記錄日誌。
對於未匹配連接數限製規則的用戶所建立的連接,設備不對其進行限製。
目前,連接數限製支持根據ACL來限定用戶範圍,對匹配ACL規則的用戶連接數進行統計和限製。
設備對於某一範圍內的用戶連接,可根據不同的控製粒度,按照如下各類型進行連接數限製:
· 按源IP地址進行統計和限製,即同一個源IP地址發起的連接數目將受到指定閾值的限製。
· 按目的IP地址進行統計和限製,即到同一個目的IP地址的連接數目將受到指定閾值的限製。
· 按服務端口進行統計和限製,即同一種服務(具有相同傳輸層協議和服務端口)的連接數目將受到指定閾值的限製。
如果在一條規則中同時指定以上三種類型中的多個,則多種統計和限製類型同時生效。例如,同時指定“按目的IP地址進行統計和限製”和“按服務端口進行統計和限製”,則表示對到同一個目的地址的同一種服務的連接數進行統計和限製。若一條規則中不指定以上任何一種限製類型,則表示指定範圍內的所有用戶連接將整體受到指定的閾值限製。
對設備上建立的連接與某連接數限製策略進行匹配時,將按照規則編號從小到大的順序依次遍曆該策略中的所有規則,因此在配置連接數限製規則時,需要從整體策略考慮,根據各規則的內容來合理安排規則的編號順序,推薦按照限製粒度和範圍由小到大的順序來設置規則序號。
· 對於支持多安全業務板的設備,以安全業務板為單元按照配置的連接數閾值進行限製。
· 應用發連接限製策略後,僅對新創建的連接生效,已經創建的連接不受此限製。
· 在雙機熱備組網環境中,從主設備切換到備份設備的會話,不受備份設備上連接數限製策略的限製。
· 一條ACL規則在同一個連接數限製策略中僅能應用一次,在不同策略中可多次應用。
連接數限製功能的配置思路如下圖所示。
圖-1 連接數限製配置指導圖
配置連接數限製規則時,觸發限製閾值需要大於設備CPU核數,建議該閾值大於32。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
