- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
18-連接數限製命令
本章節下載: 18-連接數限製命令 (288.24 KB)
目 錄
1.1.3 connection-limit apply global
1.1.5 display connection-limit
1.1.6 display connection-limit ipv6-stat-nodes
1.1.7 display connection-limit statistics
1.1.8 display connection-limit stat-nodes
1.1.10 reset connection-limit statistics
connection-limit命令用來創建連接數限製策略,並進入連接數限製策略視圖。如果指定的連接數限製策略已經存在,則直接進入連接數限製策略視圖。
undo connection-limit命令用來刪除連接數限製策略。
【命令】
connection-limit { ipv6-policy | policy } policy-id
undo connection-limit { ipv6-policy | policy } policy-id
【缺省情況】
不存在連接數限製策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-policy:指定IPv6連接數限製策略。
policy:指定IPv4連接數限製策略。
policy-id:連接數限製策略編號(IPv4、IPv6連接數限製策略的編號空間各自獨立),取值範圍為1~32。
【舉例】
# 創建編號為1的IPv4連接數限製策略,並進入IPv4連接數限製策略視圖。
<Sysname> system-view
[Sysname] connection-limit policy 1
[Sysname-connlmt-policy-1]
# 創建編號為12的IPv6連接數限製策略,並進入IPv6連接數限製策略視圖。
<Sysname> system-view
[Sysname] connection-limit ipv6-policy 12
[Sysname-connlmt-ipv6-policy-12]
【相關命令】
· connection-limit apply
· connection-limit apply global
· display connection-limit
· limit
connection-limit apply命令用來在接口上應用連接數限製策略。
undo connection-limit apply命令用來在接口上取消應用的連接數限製策略。
【命令】
connection-limit apply { ipv6-policy | policy } policy-id
undo connection-limit apply { ipv6-policy | policy }
【缺省情況】
接口上未應用連接數限製策略。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-policy:指定IPv6連接數限製策略。
policy:指定IPv4連接數限製策略。
policy-id:連接數限製策略編號,取值範圍為1~32。
【使用指導】
同一個接口上同時隻能應用一個IPv4連接數限製策略和一個IPv6連接數限製策略,後配置的IPv4或IPv6連接數限製策略會覆蓋已配置的對應類型的策略。
【相關命令】
· connection-limit
· limit
connection-limit apply global命令用來在全局應用連接數限製策略。
undo connection-limit apply global命令用來在全局取消應用的連接數限製策略。
【命令】
connection-limit apply global { ipv6-policy | policy } policy-id
undo connection-limit apply global { ipv6-policy | policy }
【缺省情況】
全局未應用連接數限製策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-policy:指定IPv6連接數限製策略。
policy:指定IPv4連接數限製策略。
policy-id:連接數限製策略編號,取值範圍為1~32。
【使用指導】
全局最多隻能應用一個IPv4連接數限製策略和一個IPv6連接數限製策略,後配置的IPv4或IPv6連接數限製策略會覆蓋已配置的對應類型的策略。
【舉例】
# 在全局應用編號為1的IPv4連接數限製策略。
<Sysname> system-view
[Sysname] connection-limit apply global policy 1
# 在全局應用編號為12的IPv6連接數限製策略。
<Sysname> system-view
[Sysname] connection-limit apply global ipv6-policy 12
【相關命令】
· connection-limit
· limit
description命令用來配置連接數限製策略的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
未配置描述信息。
【視圖】
IPv4連接數限製策略視圖
IPv6連接數限製策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:表示連接數限製策略的描述信息,為1~127個字符的字符串,區分大小寫。
【使用指導】
使用description命令時,如果當前連接數限製策略沒有描述信息,則為其添加描述信息,否則修改其現有的描述信息。
【舉例】
# 配置編號為1的IPv4連接數限製策略的描述信息為CenterToA。
<Sysname> system-view
[Sysname] connection-limit policy 1
[Sysname-connlmt-policy-1] description CenterToA
【相關命令】
· display connection-limit
display connection-limit命令用來顯示連接數限製策略的配置信息。
【命令】
display connection-limit { ipv6-policy | policy } { policy-id | all }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ipv6-policy:顯示IPv6連接數限製策略。
policy:顯示IPv4連接數限製策略。
policy-id:連接數限製策略編號,取值範圍為1~32。
all:顯示所有指定類型的連接數限製策略。
【舉例】
# 顯示所有IPv4連接數限製策略的配置信息。
<Sysname> display connection-limit policy all
3 policies in total:
Policy Rule Stat Type HiThres LoThres Rate PermitNew ACL
--------------------------------------------------------------------------------
1 2 Dst-Port 800 70 0 Yes 3010
3 Src-Dst 100 90 0 No 3000
10 Src-Dst-Port 50 45 0 No 3003
11 Src 200 200 0 No 3004
200 -- 500000 498000 0 No 2002
28 4 Port 1500 1400 0 No 3100
5 Dst 3000 280 0 No 3101
21 Src-Dst 200 180 0 No 3102
25 Src-Port 50 35 0 No 3200
Description list:
Policy Description
--------------------------------------------------------------------------------
1 IPv4Description1
28 Description for IPv4 28
# 顯示編號為1的IPv4連接數策略的配置信息。
<Sysname> display connection-limit policy 1
IPv4 connection limit policy 1 has been applied 5 times, and has 5 limit rules.
Description: IPv4Description1
Limit rule list:
Policy Rule Stat Type HiThres LoThres Rate PermitNew ACL
--------------------------------------------------------------------------------
1 2 Dst-Port 800 70 0 Yes 3010
3 Src-Dst 100 90 0 No 3000
10 Src-Dst-Port 50 45 0 No 3003
11 Src 200 200 0 No 3004
200 -- 500000 498000 0 No 2002
Application list:
GigabitEthernet1/0/1
GigabitEthernet1/0/2
Vlan-interface2
Global
# 顯示所有IPv6連接數限製策略的配置信息。
<Sysname> display connection-limit ipv6-policy all
2 policies in total:
Policy Rule Stat Type HiThres LoThres Rate PermitNew ACL
--------------------------------------------------------------------------------
3 1 Src-Dst 1000 800 10 Yes 3010
2 Dst 500 450 0 Yes 3001
4 2 Src-Dst-Port 800 700 0 No 3010
3 Src 100 90 0 No 3020
200 -- 100000 89000 0 No 2005
Description list:
Policy Description
--------------------------------------------------------------------------------
3 IPv6Description3
4 Description for IPv6 4
# 顯示編號為3的IPv6連接數限製策略的配置信息。
<Sysname> display connection-limit ipv6-policy 3
IPv6 connection limit policy 3 has been applied 3 times, and has 2 limit rules.
Description: IPv6Description3
Limit rule list:
Policy Rule Stat Type HiThres LoThres Rate PermitNew ACL
--------------------------------------------------------------------------------
3 1 Src-Dst 1000 800 0 Yes 3010
2 Dst 500 450 0 No 3001
Application list:
GigabitEthernet1/0/1
Vlan-interface2
表1-1 display connection-limit命令顯示信息描述表
|
字段 |
描述 |
|
Limit rule list |
連接數限製策略信息列表 |
|
Policy |
連接數限製策略編號 |
|
Rule |
連接數限製規則編號 |
|
Stat Type |
統計方式,有如下取值: · Src-Dst-Port:按源IP-目的IP-服務的組合進行統計和限製 · Src-Dst:按源IP-目的IP的組合進行統計和限製 · Src-Port:按源IP-服務的組合進行統計和限製 · Dst-Port:按目的IP-服務的組合進行統計和限製 · Src:按源IP進行統計和限製 · Dst:按目的IP進行統計和限製 · Port:按服務進行統計和限製 · Dslite:按DS-Lite隧道的B4設備進行統計和限製 · --:不按照具體的IP地址、服務進行統計和限製,與本規則引用的ACL相匹配的所有連接將整體受到指定的閾值限製 |
|
HiThres |
連接數上限 |
|
LoThres |
連接數下限 |
|
Rate |
每秒新建連接速率值 |
|
ACL |
規則引用的ACL編號或ACL名稱 |
|
PermitNew |
連接數或者新建速率超過設定的上限時,允許用戶繼續新建連接 |
|
Application list |
連接數限製策略應用列表,包括接口名稱和Global,其中Global表示該連接數限製策略應用在全局 |
|
Description |
連接數限製策略描述信息 |
|
Description list |
連接數限製策略描述信息列表 |
【相關命令】
· connection-limit
· connection-limit apply
· connection-limit apply global
· limit
display connection-limit ipv6-stat-nodes命令用來顯示連接數限製在全局或接口的IPv6統計節點列表。
【命令】
display connection-limit ipv6-stat-nodes { global | interface interface-type interface-number } [ slot slot-number ] [ { deny-new | permit-new } | destination destination-ip | service-port port-number | source source-ip ] * [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
global:顯示全局的IPv6統計節點列表。
interface interface-type interface-number:顯示指定接口的IPv6統計節點列表,interface-type interface-number表示接口類型和接口編號。
slot slot-number:顯示指定成員設備上全局或全局接口的IPv6統計節點列表,slot-number表示設備在IRF中的成員編號。該參數僅在指定顯示全局統計節點列表,或上述指定的接口為全局類型的接口(例如VLAN接口、Tunnel接口)時可見。
deny-new:顯示禁止創建新連接的IPv6統計節點列表。
permit-new:顯示允許創建新連接的IPv6統計節點列表。
destination destination-ip:顯示指定目的IP地址的IPv6統計節點列表。
service-port port-number:顯示指定服務端口號的IPv6統計節點列表。
source source-ip:顯示指定源IP地址的IPv6統計節點列表。
count:顯示IPv6統計節點的個數。如果配置本參數,將僅顯示符合條件的(由count前麵的參數決定)IPv6統計節點的數量,而不顯示IPv6統計節點的具體內容。如果不指定本參數,則顯示符合條件的IPv6統計節點的具體內容。
【使用指導】
一個統計節點標識了連接數限製進行統計和限製的一個對象(一個連接或一類連接),包括該連接的報文特征(源/目的IP地址、服務端口號、傳輸層協議類型等)、對該連接所應用的連接限製策略、當前連接數目以及當前是否允許創建新的連接。
如果指定source、destination、service-port、deny-new、permit-new中的一個或多個參數,則表示將按照多個條件來顯示統計節點列表,比如指定了source和destination,則顯示同時符合指定源IP地址和目的IP地址的統計節點列表。
如果不指定source、destination、service-port、deny-new、permit-new中任何一個參數,則表示顯示所有的統計節點列表。
修改或刪除連接數限製策略後,由該策略產生且已經生效的連接數限製統計節點不會受到影響。這些節點將在所統計的連接都斷開後自動刪除。
【舉例】
# 顯示2號成員設備上全局的IPv6連接數限製統計節點列表。
<Sysname> display connection-limit ipv6-stat-nodes global slot 2
Slot 2:
Src IP address : Any
VPN instance : --
Dst IP address : Any
VPN instance : --
DS-Lite tunnel peer : --
Service : icmp/0
Limit rule ID : 22(ACL: 3666)
Sessions threshold Hi/Lo: 3500/3000
Sessions count : 3100
Sessions limit rate : 0
New session flag : Permit
# 顯示2號成員設備上的IPv6連接數限製統計節點個數。
<Sysname> display connection-limit ipv6-stat-nodes global slot 2 count
Slot 2:
Current limit statistic nodes count is 0.
表1-2 display connection-limit stat-nodes命令顯示信息描述表
|
字段 |
描述 |
|
Src IP address |
源IP地址 |
|
Dst IP address |
目的IP地址 |
|
VPN instance |
該地址所屬的MPLS L3VPN的VPN實例名稱,“--”表示屬於公網 |
|
DS-Lite tunnel peer |
DS Lite隧道對端的IP地址,“--”表示不屬於任何DS Lite Tunnel |
|
Service |
協議名及服務端口號。如果不是知名協議則顯示為“unknown(xx)”,xx為協議編號,此時不顯示服務端口號。其中,對於ICMP協議,括弧內的數字為ICMP的type和code字段組合表示的十六進製數所對應的十進製數 |
|
Limit rule ID |
匹配的規則編號,括號裏為匹配的ACL編號 |
|
Sessions threshold Hi/Lo |
連接數限製的上限值及下限值 |
|
Sessions count |
當前連接計數 |
|
Sessions limit rate |
每秒新建連接的最大數目 |
|
New session flag |
是否允許創建新連接,Permit表示允許創建,Deny表示不允許創建
當連接數增長到上限值(max-amount)時,New session flag仍顯示為Permit,但此時不允許創建新連接。隻有連接數超過上限值,New session flag才會顯示為Deny |
【相關命令】
· connection-limit apply global ipv6-policy
· connection-limit apply ipv6-policy
· connection-limit ipv6-policy
· limit
display connection-limit statistics命令用來顯示連接數限製在全局或接口的統計信息。
【命令】
display connection-limit statistics { global | interface interface-type interface-number } [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
global:顯示全局的連接數限製統計信息。
interface interface-type interface-number:顯示指定接口的連接數限製統計信息,interface-type interface-number表示接口類型和接口編號。
slot slot-number:顯示指定成員設備上全局或全局接口的連接數限製統計信息,slot-number表示設備在IRF中的成員編號。該參數僅在指定顯示全局的連接數限製統計信息,或上述指定的接口為全局類型的接口(例如VLAN接口、Tunnel接口)時可見。
【舉例】
# 顯示2號成員設備上全局的連接數限製統計信息。
<Sysname> display connection-limit statistics global slot 2
Connection limit statistics (Global, slot 2):
Dropped IPv4 packets: 74213
Dropped IPv6 packets: 58174
表1-3 display connection-limit statistics命令顯示信息描述表
|
字段 |
描述 |
|
Dropped IPv4 packet |
匹配全局或接口IPv4連接數限製策略,因連接數超過指定上限而被丟棄的報文個數 |
|
Dropped IPv6 packet |
匹配全局或接口IPv6連接數限製策略,因連接數超過指定上限而被丟棄的報文個數 |
【相關命令】
· connection-limit
· connection-limit apply
· connection-limit apply global
· limit
display connection-limit stat-nodes命令用來顯示連接數限製在全局或接口的IPv4統計節點列表。
【命令】
display connection-limit stat-nodes { global | interface interface-type interface-number } [ slot slot-number ] [ { deny-new | permit-new } | destination destination-ip | service-port port-number | source source-ip ] * [ count ]
display connection-limit stat-nodes { global | interface interface-type interface-number } [ slot slot-number ] dslite-peer b4-address [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
global:顯示全局的IPv4統計節點列表。
interface interface-type interface-number:顯示指定接口的IPv4統計節點列表,interface-type interface-number表示接口類型和接口編號。
slot slot-number:顯示指定成員設備上全局或全局接口的IPv4統計節點列表,slot-number表示設備在IRF中的成員編號。該參數僅在指定顯示全局統計節點列表,或上述指定的接口為全局類型的接口(例如VLAN接口、Tunnel接口)時可見。
deny-new:顯示禁止創建新連接的IPv4統計節點列表。
permit-new:顯示允許創建新連接的IPv4統計節點列表。
destination destination-ip:顯示指定目的IP地址的IPv4統計節點列表。
service-port port-number:顯示指定服務端口號的IPv4統計節點列表。
source source-ip:顯示指定源IP地址的IPv4統計節點列表。
dslite-peer b4-address:顯示指定DS-Lite B4設備的IPv4統計節點列表,b4-address表示B4設備的IPv6地址。
count:顯示IPv4統計節點的個數。如果配置本參數,將僅顯示符合條件的(由count前麵的參數決定)IPv4統計節點的數量,而不顯示IPv4統計節點的具體內容。如果不指定本參數,則顯示符合條件的IPv4統計節點的具體內容。
【使用指導】
一個統計節點標識了連接數限製進行統計和限製的一個對象(一個連接或一類連接),包括該連接的報文特征(源/目的IP地址、服務端口號、傳輸層協議類型等)、對該連接所應用的連接限製策略、當前連接數目的統計值,以及當前是否允許創建新的連接。
如果指定source、destination、service-port、deny-new、permit-new中的一個或多個參數,則表示將按照多個條件來顯示統計節點列表,比如指定了source 和destination,則顯示同時符合指定源IP地址和目的IP地址的統計節點列表。.
如果不指定source、destination、service-port、deny-new、permit-new中任何一個參數,則表示顯示所有的統計節點列表。
修改或刪除連接數限製策略後,由該策略產生且已經生效的連接數限製統計節點不會受到影響。這些節點將在所統計的連接都斷開後自動刪除。
【舉例】
# 顯示2號成員設備上全局的IPv4連接數限製統計節點列表。
<Sysname> display connection-limit stat-nodes global slot 2
Slot 2:
Src IP address : Any
VPN instance : Vpn1
Dst IP address : 202.113.16.117
VPN instance : Vpn2
DS-Lite tunnel peer : --
Service : icmp/0
Limit rule ID : 7(ACL: 3102)
Sessions threshold Hi/Lo: 4000/3800
Sessions count : 1001
Sessions limit rate : 0
New session flag : Permit
# 顯示2號成員設備上源IP地址為1.1.1.1的IPv4連接數限製統計節點個數。
<Sysname> display connection-limit stat-nodes global slot 2 source 1.1.1.1 count
Slot 2:
Current limit statistic nodes count is 0.
表1-4 display connection-limit stat-nodes命令顯示信息描述表
|
字段 |
描述 |
|
Src IP address |
源IP地址 |
|
Dst IP address |
目的IP地址 |
|
VPN instance |
該地址所屬的MPLS L3VPN的VPN實例名稱,“--”表示不屬於任何VPN |
|
DS-Lite tunnel peer |
DS Lite隧道對端的IP地址,“--”表示不屬於任何DS Lite Tunnel |
|
Service |
協議名及服務端口號。如果不是知名協議則顯示為“unknown(xx)”,xx為協議編號,此時不顯示服務端口號。其中,對於ICMP協議,括弧內的數字為ICMP的type和code字段組合表示的十六進製數所對應的十進製數 |
|
Limit rule ID |
匹配的規則編號,括號裏為匹配的ACL編號 |
|
Sessions threshold Hi/Lo |
連接數限製的上限值及下限值 |
|
Sessions count |
當前連接計數 |
|
Sessions limit rate |
每秒新建連接的最大數目 |
|
New session flag |
是否允許創建新連接,Permit表示允許創建,Deny表示不允許創建
當連接數增長到上限值(max-amount)時,New session flag仍顯示為Permit,但此時不允許創建新連接。隻有連接數超過上限值,New session flag才會顯示為Deny |
【相關命令】
· connection-limit policy
· connection-limit apply global policy
· connection-limit apply policy
· limit
limit命令用來配置連接數限製規則。
undo limit命令用來刪除指定的連接數限製規則。
【命令】
IPv4連接數限製策略視圖:
limit limit-id acl { acl-number | name acl-name } [ per-destination | per-service | per-source ] * { amount max-amount min-amount | rate rate } * [ description text | permit-new ] *
limit limit-id acl ipv6 { acl-number | name acl-name } per-dslite-b4 { amount max-amount min-amount | rate rate } * [ description text | permit-new ] *
undo limit limit-id
IPv6連接數限製策略視圖:
limit limit-id acl ipv6 { acl-number | name acl-name } [ per-destination | per-service | per-source ] * { amount max-amount min-amount | rate rate } * [ description text | permit-new ] *
undo limit limit-id
【缺省情況】
不存在連接數限製規則。
【視圖】
IPv4連接數限製策略視圖
IPv6連接數限製策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
limit-id:連接數限製規則編號,取值範圍為1~256。
acl:指定用於匹配用戶範圍的ACL。該連接限製規則僅對匹配ACL規則的用戶連接數進行統計和限製。
ipv6:表示引用IPv6 ACL。若不指定該參數,則表示引用IPv4 ACL。
acl-number:ACL的編號,取值範圍為2000~3999。
name acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
per-destination:表示按目的地址進行統計和限製。
per-service:表示按服務(即按傳輸層協議和服務端口)進行統計和限製。
per-source:表示按源地址進行統計和限製。
per-dslite-b4:表示按照DS-Lite隧道的B4設備IPv6地址來進行統計和限製。該參數僅在IPv4連接數限製策略視圖下存在。
amount:表示對連接數進行限製。
max-amount:指定的連接數上限,取值範圍為1~4294967294。若不配置permit-new參數,當某範圍或某種類型的連接數值超過此值時,用戶將不能建立新的連接,直到連接數下降到min-amount指定的連接數下限之下時,才允許用戶建立新的連接。
min-amount:指定的連接數下限,取值範圍為1~4294967294,不能大於max-amount的取值。連接數的統計值降到此值之下時,允許用戶建立新的連接。
rate:表示對新建連接速率進行限製。
rate:指定每秒新建連接的最大數目,取值範圍為5~10000000。若不配置permit-new參數,當某範圍或某種類型的新建連接數速率超過此值時,用戶將不能建立新的連接。
description text:表示連接數限製規則的描述信息,其中,text為1~127個字符的字符串,區分大小寫。
permit-new:當連接數或者新建速率超過設定的上限時,允許用戶繼續新建連接。設備將記錄告警日誌。
【使用指導】
每個連接數限製策略中可以定義多個規則,每個規則中需要指定引用的ACL、規則的類型以及統計的上下門限值/新建速率限值。對於per-destination、per-source、per-service類型,可以在一條規則中單獨指定其中之一或指定它們的組合。例如,同時指定per-destination和per-source,就表示同時按照連接的報文源地址和目的地址進行統計和限製,具有相同源和目的的連接屬於同一類連接,該類連接的數目將受到指定的閾值的限製。對於per-dslite-b4類型,隻能在一條規則中單獨指定。
對設備上建立的連接與某連接數限製策略進行匹配時,將按照規則編號從小到大的順序依次遍曆該策略中的所有規則,直到找到一條匹配的規則為止。
同一個連接數限製策略中的不同規則必須引用不同的ACL。
當引用的ACL內容發生改變時,設備將按照新的連接數限製策略重新對已有連接進行統計和限製。
如果per-destination、per-service、per-source三個參數都不指定,則表示與本規則引用的ACL相匹配的所有連接將整體受到指定的閾值限製。
在DS-Lite隧道組網環境中,需要注意的是:
· per-dslite-b4參數用於限製DS-Lite隧道每個B4設備連接的IPv4用戶連接數,每個規則限製的B4設備由規則中指定的IPv6 ACL來匹配。
· 若AFTR設備上采用了Endpoint-Independent Mapping模式的NAT配置,則要基於B4設備來限製從IPv4外網主動訪問IPv4內網的連接,配置了per-dslite-b4類型規則的連接數限製策略必須應用在DS-Lite隧道接口上或者應用在全局。
【舉例】
# 在lPv4連接數限製策略1中創建一條規則,規則編號為1,引用ACL 3000,對匹配ACL 3000的連接同時按照報文的源地址和目的地址進行統計和限製,連接數的上限值為2000、下限值為1800。該規則用於限製192.168.0.0/24網段的每台主機最多隻能同時向外網的同一個目的IP地址發起2000條連接,超過2000條時,需要等待連接數下降到1800以下之後,才允許新建連接,且每秒最多允許新建連接數為10。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] connection-limit policy 1
[Sysname-connlmt-policy-1] limit 1 acl 3000 per-destination per-source amount 2000 1800 rate 10
# 在lPv4連接數限製策略1中創建一條規則,規則編號為1,引用ACL 3000,對匹配ACL 3000的連接同時按照報文的源地址和目的地址進行統計和限製,連接數的上限值為2000、下限值為1800。該規則用於限製192.168.0.0/24網段的每台主機最多隻能同時向外網的同一個目的IP地址發起2000條連接,超過2000條時,允許新建連接,但會產生告警日誌,每秒最多允許新建連接數為10,超過10時,允許新建連接,但會產生告警日誌。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] connection-limit policy 1
[Sysname-connlmt-policy-1] limit 1 acl 3000 per-destination per-source amount 2000 1800 rate 10 permit-new
# 在lPv6連接數限製策略12中創建一條規則,規則編號為2,引用ACL 2001,對匹配ACL 2001的連接按照報文的目的地址進行統計和限製,連接數的上限值為200、下限值為100。該規則用於限製2:1::/96網段的主機最多隻能同時向外網的同一個目的IP地址發起200條連接,超過200條時,需要等待連接數下降到100以下之後,才允許新建連接,且每秒最多允許新建連接數為10。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl-ipv6-basic-2001] rule permit source 2:1::/96
[Sysname-acl-ipv6-basic-2001] quit
[Sysname] connection-limit ipv6-policy 12
[Sysname-connlmt-ipv6-policy-12] limit 2 acl ipv6 2001 per-destination amount 200 100 rate 10
# 在lPv6連接數限製策略12中創建一條規則,規則編號為2,引用ACL 2001,對匹配ACL 2001的連接按照報文的目的地址進行統計和限製,連接數的上限值為200、下限值為100。該規則用於限製2:1::/96網段的主機最多隻能同時向外網的同一個目的IP地址發起200條連接,超過200條時,允許新建連接,但會產生告警日誌,每秒最多允許新建連接數為10,超過10時,允許新建連接,但會產生告警日誌。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl-ipv6-basic-2001] rule permit source 2:1::/96
[Sysname-acl-ipv6-basic-2001] quit
[Sysname] connection-limit ipv6-policy 12
[Sysname-connlmt-ipv6-policy-12] limit 2 acl ipv6 2001 per-destination amount 200 100 rate 10 permit-new
【相關命令】
· connection-limit
· display connection-limit
reset connection-limit statistics命令用來清除連接數限製在全局或接口的統計信息。
【命令】
reset connection-limit statistics { global | interface interface-type interface-number } [ slot slot-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
global:清除全局的連接數限製統計信息。
interface interface-type interface-number:清除指定接口上的連接數限製統計信息,interface-type interface-number表示接口類型和接口編號。
slot slot-number:清除指定成員設備上全局或全局接口應用的連接數限製統計信息,slot-number表示設備在IRF中的成員編號。該參數僅在指定清除全局的連接數限製統計信息,或上述指定的接口為全局類型的接口(例如VLAN接口、Tunnel接口)時可見。
【舉例】
# 清除2號成員設備上全局應用的連接數限製統計信息。
<Sysname> reset connection-limit statistics global slot 2
【相關命令】
· display connection-limit statistics
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
