登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

09-典型配置舉例

目錄

19-IP限速典型配置舉例

本章節下載 19-IP限速典型配置舉例  (152.81 KB)

19-IP限速典型配置舉例

IP限速典型配置舉例

本章包含如下內容:

·     簡介

·     配置前提

·     公網IP限速配置舉例

·     內網IP限速配置舉例

 

本文檔介紹IP限速功能的典型配置舉例。

IP限速可對設備上的新建會話速率進行限製,防止DDoS攻擊造成大量新建連接消耗設備的處理性能,影響正常業務。

設備支持配置公網防護和內網防護兩種類型的IP限速:

·     公網防護:用來對公網主動訪問內網的連接進行限製,基於報文目的IP地址進行新建會話數統計,向同一個目的IP地址發起的連接數目將受到指定閾值的限製。

·     內網防護:用來對內網主動訪問公網的連接進行限製,基於報文源IP地址進行新建會話數統計,同一個源IP地址發起的連接數目將受到指定閾值的限製。

配置前提

 

本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置與以下舉例中的配置不衝突。

本文檔假設您已了解IP限速特性。

公網IP限速配置舉例

組網需求

-1所示,公司網絡出口處部署了一台DeviceDevice上的接口GigabitEthernet1/0/2與內部網絡連接,接口GigabitEthernet1/0/1與外部網絡連接。通過在Device上配置公網IP限速功能,限製外網主動向內網單個Server發起的連接速率為10/秒,防止來自外網的DDoS攻擊造成的大量新建連接消耗設備的處理資源,影響正常業務。

圖-1 公網IP限速配置組網圖

 

使用版本

本舉例是在F1000-AI-55R8860版本上進行配置和驗證的。

配置步驟

Device配置

1.     配置接口的IP地址和安全域

# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。

·     安全域:Untrust

·     選擇“IPv4地址”頁簽,配置IP地址/掩碼:10.0.0.1/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2,配置如下。

·     安全域:Trust

·     選擇“IPv4地址”頁簽,配置IP地址/掩碼:192.168.1.1/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。

2.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。

# 新建安全策略,並進行如下配置:

·     名稱:Secpolicy

·     源安全域:Untrust

·     目的安全域:Trust

·     類型:IPv4

·     動作:允許

·     目的IPv4地址:192.168.1.10192.168.1.11192.168.1.12

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成安全策略的配置。

3.     配置IP限速

# 選擇“策略 > 安全防護 > IP限速 > 公網防護。

# 配置公網IP限速參數,配置如下圖所示。

圖-2 配置公網IP限速參數

 

# 單擊<確定>按鈕,完成IP限速配置。

驗證配置

每台內網Server每秒最多接收來自外網的10條連接。

內網IP限速配置舉例

組網需求

圖-3所示,公司網絡出口處部署了一台DeviceDevice上的接口GigabitEthernet1/0/2與內部網絡連接,接口GigabitEthernet1/0/1與外部網絡連接。通過在Device上配置內網IP限速功能,限製由內網單個Server主動向公網發起連接的速率為10/秒,防止來自內網的DDoS攻擊造成的大量新建連接消耗設備的處理資源,影響正常業務。

圖-3 內網IP限速配置組網圖

 

使用版本

本舉例是在F1000-AI-55R8860版本上進行配置和驗證的。

配置步驟

Device配置

1.     配置接口的IP地址和安全域

# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。

·     安全域:Untrust

·     選擇“IPv4地址”頁簽,配置IP地址/掩碼:10.0.0.1/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2,配置如下。

·     安全域:Trust

·     選擇“IPv4地址”頁簽,配置IP地址/掩碼:192.168.1.1/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。

2.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。

# 新建安全策略,並進行如下配置:

·     名稱:Secpolicy

·     源安全域:Trust

·     目的安全域:Untrust

·     類型:IPv4

·     動作:允許

·     IPv4地址:192.168.1.10192.168.1.11192.168.1.12

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成安全策略的配置。

3.     配置IP限速

# 選擇“策略 > 安全防護 > IP限速 > 內網防護。

# 配置內網IP限速參數,配置如下圖所示。

圖-4 配置公網IP限速參數

 

# 單擊<確定>按鈕,完成IP限速配置。

驗證配置

每台內網Server每秒最多與外網建立10條連接。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們