- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
16-连接数限制命令
本章节下载: 16-连接数限制命令 (172.13 KB)
目 录
1.1.1 connection-limit apply global
1.1.4 display connection-limit
1.1.5 display connection-limit ipv6-stat-nodes
1.1.6 display connection-limit statistics
1.1.7 display connection-limit stat-nodes
1.1.9 reset connection-limit statistics
MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-LM-HK/MSR810-W-LM-HK/2630/3610/3620/3620-DP/3640/3660/3600-28/3600-51/MSR2600-10-X1路由器使用集中式命令行,MSR 5620/5660/5680路由器使用分布式命令行。
connection-limit apply global命令用来在全局应用连接数限制策略。
undo connection-limit apply global命令用来在全局取消应用的连接数限制策略。
connection-limit apply global { ipv6-policy | policy } policy-id
undo connection-limit apply global { ipv6-policy | policy }
ipv6-policy:指定IPv6连接数限制策略。
policy:指定IPv4连接数限制策略。
policy-id:连接数限制策略编号,取值范围1~32。
全局最多只能应用一个IPv4连接数限制策略和一个IPv6连接数限制策略,后配置的IPv4或IPv6连接数限制策略会覆盖已配置的对应类型的策略。
# 在全局应用编号为1的IPv4连接数限制策略。
[Sysname] connection-limit apply global policy 1
# 在全局应用编号为12的IPv6连接数限制策略。
[Sysname] connection-limit apply global ipv6-policy 12
connection-limit apply命令用来在接口上应用连接数限制策略。
undo connection-limit apply命令用来在接口上取消应用的连接数限制策略。
connection-limit apply { ipv6-policy | policy } policy-id
undo connection-limit apply { ipv6-policy | policy }
ipv6-policy:指定IPv6连接数限制策略。
policy:指定IPv4连接数限制策略。
policy-id:连接数限制策略编号,取值范围1~32。
同一个接口上同时只能应用一个IPv4连接数限制策略和一个IPv6连接数限制策略,后配置的IPv4或IPv6连接数限制策略会覆盖已配置的对应类型的策略。
# 在接口GigabitEthernet2/0/1上应用编号为1的IPv4连接数限制策略。
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] connection-limit apply policy 1
# 在接口GigabitEthernet2/0/1应用编号为12的IPv6连接数限制策略。
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] connection-limit apply ipv6-policy 12
connection-limit命令用来创建连接数限制策略,并进入连接数限制策略视图。
undo connection-limit命令用来删除连接数限制策略。
connection-limit { ipv6-policy | policy } policy-id
undo connection-limit { ipv6-policy | policy } policy-id
ipv6-policy:指定IPv6连接数限制策略。
policy:指定IPv4连接数限制策略。
policy-id:连接数限制策略编号(IPv4、IPv6连接数限制策略的编号空间各自独立),取值范围1~32。
#创建编号为1的IPv4连接数限制策略,并进入IPv4连接数限制策略视图。
[Sysname] connection-limit policy 1
[Sysname-connlmt-policy-1]
#创建编号为12的IPv6连接数限制策略,并进入IPv6连接数限制策略视图。
[Sysname] connection-limit ipv6-policy 12
[Sysname-connlmt-ipv6-policy-12]
· connection-limit apply global
display connection-limit命令用来显示连接数限制策略的配置信息。
display connection-limit { ipv6-policy | policy } { policy-id | all }
ipv6-policy:显示IPv6连接数限制策略。
policy:显示IPv4连接数限制策略。
policy-id:连接数限制策略编号,取值范围1~32。
all:显示所有指定类型的连接数限制策略。
# 显示所有IPv4连接数限制策略的配置信息。
<Sysname> display connection-limit policy all
3 policies in total:
Policy Rule Stat Type HiThres LoThres ACL
--------------------------------------------------------------------------------
0 1 Src-Dst-Port 2000 1800 3000
12 Src-Dst 500 45 3001
255 -- 1000000 980000 2001
1 2 Dst-Port 800 70 3010
3 Src-Dst 100 90 3000
10 Src-Dst-Port 50 45 3003
11 Src 200 200 3004
200 -- 500000 498000 2002
28 4 Port 1500 1400 3100
5 Dst 3000 280 3101
21 Src-Dst 200 180 3102
25 Src-Port 50 35 3200
# 显示编号为1的IPv4连接数策略的配置信息。
<Sysname> display connection-limit policy 1
IPv4 connection limit policy 1 has been applied 5 times, and has 5 limit rules.
Limit rule list:
Policy Rule Stat Type HiThres LoThres ACL
--------------------------------------------------------------------------------
1 2 Dst-Port 800 700 3010
3 Src-Dst 100 90 3000
10 Src-Dst-Port 50 45 3003
11 Src 200 200 3004
200 -- 500000 498000 2002
Application list:
GigabitEthernet2/0/1
GigabitEthernet2/0/2
Vlan-interface1
Tunnel0
Global
# 显示所有IPv6连接数限制策略的配置信息。
<Sysname> display connection-limit ipv6-policy all
2 policies in total:
Policy Rule Stat Type HiThres LoThres ACL
--------------------------------------------------------------------------------
3 1 Src-Dst 1000 800 3010
2 Dst 500 450 3001
4 2 Src-Dst-Port 800 700 3010
3 Src 100 90 3020
200 -- 100000 89000 2005
# 显示编号为3的IPv6连接数限制策略的配置信息。
<Sysname> display connection-limit ipv6-policy 3
IPv6 connection limit policy 3 has been applied 3 times, and has 2 limit rules.
Limit rule list:
Policy Rule Stat Type HiThres LoThres ACL
--------------------------------------------------------------------------------
3 1 Src-Dst 1000 800 3010
2 Dst 500 450 3001
Application list:
GigabitEthernet2/0/1
Vlan-interface1
Tunnel0
表1-1 display connection-limit命令显示信息描述表
|
· Src-Dst-Port:按源IP-目的IP-服务的组合进行统计和限制 · Src-Dst:按源IP-目的IP的组合进行统计和限制 · Src-Port:按源IP-服务的组合进行统计和限制 · Dst-Port:按目的IP-服务的组合进行统计和限制 · Src:按源IP进行统计和限制 · Dst:按目的IP进行统计和限制 · Port:按服务进行统计和限制 · Dslite:按DS-Lite隧道的B4设备进行统计和限制 · --:不按照具体的IP地址、服务进行统计和限制,与本规则引用的ACL相匹配的所有连接将整体受到指定的阈值限制 |
|
|
规则引用的ACL编号或ACL名称 |
|
|
连接数限制策略应用列表,包括接口名称和Global,其中Global表示该连接数限制策略应用在全局 |
· connection-limit apply global
display connection-limit ipv6-stat-nodes命令用来显示连接数限制在全局或接口的IPv6统计节点列表。
分布式设备-独立运行模式/集中式IRF设备:
分布式设备-IRF模式:
global:显示全局的IPv6统计节点列表。
interface interface-type interface-number:显示指定接口的IPv6统计节点列表,interface-type interface-number表示接口类型和接口编号。
slot slot-number:显示指定单板上全局或全局接口的IPv6统计节点列表,slot-number表示单板所在的槽位号。该参数仅在显示全局统计节点列表,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(分布式设备-独立运行模式)
slot slot-number:显示指定成员设备上全局或全局接口的IPv6统计节点列表,slot-number表示设备在IRF中的成员编号。该参数仅在指定显示全局统计节点列表,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(集中式IRF设备)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上全局或全局接口的IPv6统计节点列表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。该参数仅在指定显示全局统计节点列表,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(分布式设备-IRF模式)
destination destination-ip:显示指定目的IP地址的IPv6统计节点列表。
service-port port-number:显示指定服务端口号的IPv6统计节点列表。
source source-ip:显示指定源IP地址的IPv6统计节点列表。
count:显示IPv6统计节点的个数。
一个统计节点标识了连接数限制进行统计和限制的一个对象(一个连接或一类连接),包括该连接的报文特征(源/目的IP地址、服务端口号、传输层协议类型等)、对该连接所应用的连接限制策略、当前连接数目以及当前是否允许创建新的连接。
· 如果指定source、destination、service-port中的一个或多个参数,则表示将按照多个条件来显示统计节点列表,比如指定了source和destination,则显示同时符合指定源IP地址和目的IP地址的统计节点列表。
· 如果不指定source、destination、service-port中任何一个参数,则表示显示所有的统计节点列表。
· 修改或者删除连接数限制策略后,对于已经生效的连接数限制统计节点不会立即删除,需要等到该节点下所有连接断开后(即显示信息中Sessions count的计数为0),连接数限制统计节点才会删除。
# 显示接口GigabitEthernet2/0/1上的所有IPv6连接数限制统计节点列表。(集中式设备)
<Sysname> display connection-limit ipv6-stat-nodes interface gigabitethernet 2/0/1
Src IP address : Any
VPN instance : vpn5
Dst IP address : fe80::5ed9:98ff:feb1:69b6
VPN instance : abcdefghijklmnopqrstuvwxyzabcde
Tunnel ID : 9876543210
Service : tcp/12345
Limit rule ID : 12345(ACL: 3184)
Sessions threshold Hi/Lo: 1000000/90000
Sessions count : 150000
New session flag : Permit
# 显示接口Vlan-interface2上的所有IPv6连接数限制统计节点列表。(集中式设备)
<Sysname> display connection-limit ipv6-stat-nodes interface vlan-interface 2
Src IP address : Any
VPN instance : vpn5
Dst IP address : fe80::5ed9:98ff:feb1:69b6
VPN instance : abcdefghijklmnopqrstuvwxyzabcde
Tunnel ID : 9876543210
Service : tcp/12345
Limit rule ID : 12345(ACL: 3184)
Sessions threshold Hi/Lo: 1000000/90000
Sessions count : 150000
New session flag : Permit
# 显示全局接口Vlan-interface10在2号单板上的所有IPv6连接数限制统计节点列表。(分布式设备-独立运行模式)
<Sysname> display connection-limit ipv6-stat-nodes interface vlan-interface 10 slot 2
Slot 2:
Src IP address : 112::2
VPN instance : --
Dst IP address : Any
VPN instance : --
Tunnel ID : --
Service : udp/300
Limit rule ID : 0(ACL: 3571)
Sessions threshold Hi/Lo: 3000/2900
Sessions count : 2002
New session flag : Permit
# 显示2号成员设备上全局的IPv6连接数限制统计节点列表。(集中式IRF设备)
<Sysname> display connection-limit ipv6-stat-nodes global slot 2
Slot 2:
Src IP address : Any
VPN instance : --
Dst IP address : Any
VPN instance : --
Tunnel ID : --
Service : icmp/0
Limit rule ID : 22(ACL: 3666)
Sessions threshold Hi/Lo: 3500/3000
Sessions count : 3100
New session flag : Permit
# 显示接口GigabitEthernet1/2/0/2上的所有IPv6连接数限制统计节点列表。(分布式设备-IRF模式)
<Sysname> display connection-limit ipv6-stat-nodes interface gigabitethernet 1/2/0/2
Slot 1 in chassis 1:
Src IP address : 5::1
VPN instance : Vpn1
Dst IP address : Any
VPN instance : --
Tunnel ID : --
Service : All
Limit rule ID : 21(ACL: 2988)
Sessions threshold Hi/Lo: 2000/1500
Sessions count : 1988
New session flag : Deny
# 显示全局源IP地址为2::1的IPv6连接数限制统计节点个数。(集中式设备)
<Sysname> display connection-limit ipv6-stat-nodes global source 2::1 count
Current limit statistic nodes count is 16.
# 显示全局接口Vlan-interface10在2号单板上的IPv6连接数限制统计节点个数。(分布式设备-独立运行模式)
<Sysname> display connection-limit ipv6-stat-nodes interface vlan-interface 10 slot 2 count
Slot 2:
Current limit statistic nodes count is 1.
# 显示2号成员设备上的IPv6连接数限制统计节点个数。(集中式IRF设备)
<Sysname> display connection-limit ipv6-stat-nodes global slot 2 count
Slot 2:
Current limit statistic nodes count is 0.
# 显示1号成员设备的2号单板上的IPv6连接数限制统计节点个数。(分布式设备-IRF模式)
<Sysname> display connection-limit ipv6-stat-nodes global chassis 1 slot 2 count
Slot 2 in chassis 1:
Current limit statistic nodes count is 0.
表1-2 display connection-limit stat-nodes命令显示信息描述表
|
源IP地址 |
|
|
目的IP地址 |
|
|
该地址所属的MPLS L3VPN的VPN实例名称,“--”表示属于公网 |
|
|
DS Lite隧道ID,“--”表示不属于任何DS Lite Tunnel |
|
|
协议名及服务端口号。如果不是知名协议则显示为“unknown(xx)”,xx为协议编号,此时不显示服务端口号。其中,对于ICMP协议,括弧内的数字为ICMP的type和code字段组合表示的十六进制数所对应的十进制数 |
|
|
是否允许创建新连接,Permit表示允许创建,Deny表示不允许创建
当连接数增长到上限值(max-amount)时,New session flag仍显示为Permit(此时不允许创建新连接),只有超过上限值,New session flag才会变为Deny |
· connection-limit apply global ipv6-policy
· connection-limit apply ipv6-policy
· connection-limit ipv6-policy
display connection-limit statistics命令用来显示连接数限制在全局或接口的统计信息。
display connection-limit statistics { global | interface interface-type interface-number }
分布式设备-独立运行模式/集中式IRF设备:
分布式设备-IRF模式:
global:显示全局的连接数限制统计信息。
interface interface-type interface-number:显示指定接口的连接数限制统计信息,interface-type interface-number表示接口类型和接口编号。
slot slot-number:显示指定单板上全局或全局接口的连接数限制统计信息,slot-number表示单板所在的槽位号。该参数仅在指定显示全局的连接数限制统计信息,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(分布式设备-独立运行模式)
slot slot-number:显示指定成员设备上全局或全局接口的连接数限制统计信息,slot-number表示设备在IRF中的成员编号。该参数仅在指定显示全局的连接数限制统计信息,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(集中式IRF模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上全局或全局接口的连接数限制统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。该参数仅在指定显示全局的连接数限制统计信息,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(分布式设备-IRF模式)
# 显示全局的连接数限制统计信息。(集中式设备)
<Sysname> display connection-limit statistics global
Connection limit statistics (Global, slot 0):
Dropped IPv4 packets: 54781
Dropped IPv6 packets: 11457
# 显示2号单板上的全局的连接数限制统计信息。(分布式设备-独立运行模式)
<Sysname> display connection-limit statistics global slot 2
Connection limit statistics (Global, slot 2):
Dropped IPv4 packets: 74213
Dropped IPv6 packets: 58174
# 显示2号成员设备上全局的连接数限制统计信息。(集中式IRF设备)
<Sysname> display connection-limit statistics global slot 2
Connection limit statistics (Global, slot 2):
Dropped IPv4 packets: 74213
Dropped IPv6 packets: 58174
# 显示全局接口Vlan-interface10在2号成员设备的1号单板上的连接数限制统计信息。(分布式设备-IRF模式)
<Sysname> display connection-limit statistics interface vlan-interface 10 chassis 2 slot 1
Connection limit statistics (Vlan-interface10, slot 1 in chassis 2):
Dropped IPv4 packets: 12345
Dropped IPv6 packets: 55239
表1-3 display connection-limit statistics命令显示信息描述表
|
匹配全局或接口IPv4连接数限制策略,因连接数超过指定上限而被丢弃的报文个数 |
|
|
匹配全局或接口IPv6连接数限制策略,因连接数超过指定上限而被丢弃的报文个数 |
· connection-limit apply global
display connection-limit stat-nodes命令用来显示连接数限制在全局或接口的IPv4统计节点列表。
分布式设备-独立运行模式/集中式IRF设备:
分布式设备-IRF模式:
global:显示全局的IPv4统计节点列表。
interface interface-type interface-number:显示指定接口的IPv4统计节点列表,interface-type interface-number表示接口类型和接口编号。
slot slot-number:显示指定单板上全局或全局接口的IPv4统计节点列表,slot-number表示单板所在的槽位号。该参数仅在指定显示全局统计节点列表,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(分布式设备-独立运行模式)
slot slot-number:显示指定成员设备上全局或全局接口的IPv4统计节点列表,slot-number表示设备在IRF中的成员编号。该参数仅在指定显示全局统计节点列表,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(集中式IRF设备)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上全局或全局接口的IPv4统计节点列表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。该参数仅在指定显示全局统计节点列表,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(分布式设备-IRF模式)
destination destination-ip:显示指定目的IP地址的IPv4统计节点列表。
service-port port-number:显示指定服务端口号的IPv4统计节点列表。
source source-ip:显示指定源IP地址的IPv4统计节点列表。
dslite-peer b4-address:显示指定DS-Lite B4设备的IPv4统计节点列表,b4-address表示B4设备的IPv6地址。
count:显示IPv4统计节点的个数。
一个统计节点标识了连接数限制进行统计和限制的一个对象(一个连接或一类连接),包括该连接的报文特征(源/目的IP地址、服务端口号、传输层协议类型等)、对该连接所应用的连接限制策略、当前连接数目的统计值,以及当前是否允许创建新的连接。
· 如果指定source、destination、service-port中的一个或多个参数,则表示将按照多个条件来显示统计节点列表,比如指定了source 和destination,则显示同时符合指定源IP地址和目的IP地址的统计节点列表。.
· 如果不指定source、destination、service-port中任何一个参数,则表示显示所有的统计节点列表。
· 修改或者删除连接数限制策略后,对于已经生效的连接数限制统计节点不会立即删除,需要等到该节点下所有连接断开后(即显示信息中Sessions count的计数为0),连接数限制统计节点才会删除。
# 显示接口GigabitEthernet2/0/1上的所有IPv4连接数限制统计节点列表。(集中式设备)
<Sysname> display connection-limit stat-nodes interface gigabitethernet 2/0/1
Src IP address : 100.100.100.100
VPN instance : 0123456789012345678901234567890
Dst IP address : 200.200.200.200
VPN instance : abcdefghijklmnopqrstuvwxyzabcde
Tunnel ID : 1234567890
Service : tcp/12345
Limit rule ID : 12345(ACL: 3001)
Sessions threshold Hi/Lo: 1100000/980000
Sessions count : 1050000
New session flag : Permit
# 显示接口Vlan-interface2上的所有IPv4连接数限制统计节点列表。(集中式设备)
<Sysname> display connection-limit stat-nodes interface vlan-interface 2
Src IP address : 100.100.100.100
VPN instance : 0123456789012345678901234567890
Dst IP address : 200.200.200.200
VPN instance : abcdefghijklmnopqrstuvwxyzabcde
Tunnel ID : 1234567890
Service : tcp/12345
Limit rule ID : 12345(ACL: 3001)
Sessions threshold Hi/Lo: 1100000/980000
Sessions count : 1050000
New session flag : Permit
# 显示所有单板上全局的所有IPv4连接数限制统计节点列表。(分布式设备-独立运行模式)
<Sysname> display connection-limit stat-nodes global
Slot 0:
Slot 1:
Src IP address : Any
VPN instance : Vpn1
Dst IP address : Any
VPN instance : --
Tunnel ID : --
Service : All
Limit rule ID : 21(ACL: 2002)
Sessions threshold Hi/Lo: 2000/1500
Sessions count : 1988
New session flag : Deny
# 显示2号成员设备上全局的IPv4连接数限制统计节点列表。(集中式IRF设备)
<Sysname> display connection-limit stat-nodes global slot 2
Slot 2:
Src IP address : Any
VPN instance : Vpn1
Dst IP address : 202.113.16.117
VPN instance : Vpn2
Tunnel ID : --
Service : icmp/0
Limit rule ID : 7(ACL: 3102)
Sessions threshold Hi/Lo: 4000/3800
Sessions count : 1001
New session flag : Permit
# 显示接口GigabitEthernet1/2/0/2上的所有IPv4连接数限制统计节点列表。(分布式设备-IRF模式)
<Sysname> display connection-limit stat-nodes interface gigabitethernet 1/2/0/2
Slot 1 in chassis 1:
Src IP address : Any
VPN instance : --
Dst IP address : 110.23.1.44
VPN instance : --
Tunnel ID : --
Service : udp/333
Limit rule ID : 19(ACL: 3307)
Sessions threshold Hi/Lo: 10000/9900
Sessions count : 1001
New session flag : Permit
# 显示全局的IPv4连接数限制统计节点个数。(集中式设备)
<Sysname> display connection-limit stat-nodes global count
Current limit statistic nodes count is 5.
# 显示全局接口Vlan-interface10在2号单板上的IPv4连接数限制统计节点个数。(分布式设备-独立运行模式)
<Sysname> display connection-limit stat-nodes interface vlan-interface 10 slot 2 count
Slot 2:
Current limit statistic nodes count is 1.
# 显示2号成员设备上源IP地址为1.1.1.1的IPv4连接数限制统计节点个数。(集中式IRF设备)
<Sysname> display connection-limit stat-nodes global slot 2 source 1.1.1.1 count
Slot 2:
Current limit statistic nodes count is 0.
# 显示1号成员设备的2号单板上的IPv4连接数限制统计节点个数。(分布式设备-IRF模式)
<Sysname> display connection-limit stat-nodes global chassis 1 slot 2 count
Slot 2 in chassis 1:
Current limit statistic nodes count is 0.
表1-4 display connection-limit stat-nodes命令显示信息描述表
|
源IP地址 |
|
|
目的IP地址 |
|
|
该地址所属的MPLS L3VPN的VPN实例名称,“--”表示不属于任何VPN |
|
|
DS Lite隧道ID,“--”表示不属于任何DS Lite Tunnel |
|
|
协议名及服务端口号。如果不是知名协议则显示为“unknown(xx)”,xx为协议编号,此时不显示服务端口号。其中,对于ICMP协议,括弧内的数字为ICMP的type和code字段组合表示的十六进制数所对应的十进制数 |
|
|
是否允许创建新连接,Permit表示允许创建,Deny表示不允许创建
当连接数增长到上限值(max-amount)时,New session flag仍显示为Permit(此时不允许创建新连接),只有超过上限值,New session flag才会变为Deny |
· connection-limit apply global policy
· connection-limit apply policy
limit命令用来配置连接数限制规则。
undo limit命令用来删除指定的连接数限制规则。
IPv4连接数限制策略视图:
limit limit-id acl ipv6 { acl-number | name acl-name } per-ds-lite-b4 amount max-amount min-amount
IPv6连接数限制策略视图:
IPv4连接数限制策略视图/IPv6连接数限制策略视图
limit-id:连接数限制规则编号,取值范围1~256。
acl:指定用于匹配用户范围的ACL。该连接限制规则仅对匹配ACL规则的用户连接数进行统计和限制。
ipv6:表示引用IPv6 ACL。若不指定该参数,则表示引用IPv4 ACL。
acl-number:引用的ACL编号,取值范围为2000~3999。
name acl-name:引用的ACL名称。
per-destination:表示按目的地址进行统计和限制。
per-service:表示按服务(即按传输层协议和服务端口)进行统计和限制。
per-source:表示按源地址进行统计和限制。
per-ds-lite-b4:表示按照DS-Lite隧道的B4设备IPv6地址来进行统计和限制。该参数仅在IPv4连接数限制策略视图下存在。
max-amount:指定的连接数上限,取值范围为1~1000000。某范围或某种类型的连接数值超过此值时,用户将不能建立新的连接。建议连接数上限的数值大于32。
min-amount:指定的连接数下限,取值范围为1~1000000,不能大于max-amount的取值。连接数的统计值降到此值之下时,允许用户建立新的连接。
每个连接数限制策略中可以定义多个规则,每个规则中需要指定引用的ACL、规则的类型以及统计的上下门限值。对于per-destination、per-source、per-service类型,可以在一条规则中单独指定其中之一或指定它们的组合。例如,同时指定per-destination和per-source,就表示同时按照连接的报文源地址和目的地址进行统计和限制,具有相同源和目的的连接属于同一类连接,该类连接的数目将受到指定的阈值的限制。对于per-ds-lite-b4类型,只能在一条规则中单独指定。
· 如果per-destination、per-service、per-source三个参数都不指定,则表示与本规则引用的ACL相匹配的所有连接将整体受到指定的阈值限制。
· per-ds-lite-b4参数用于限制DS-Lite隧道每个B4设备连接的IPv4用户连接数,每个规则限制的B4设备由规则中指定的IPv6 ACL来匹配。
· 在DS-Lite隧道组网环境中,若AFTR设备上采用了Endpoint-Independent Mapping模式的NAT配置,则要基于B4设备来限制从IPv4外网主动访问IPv4内网的连接,配置了per-ds-lite-b4类型规则的连接数限制策略必须应用在DS-Lite隧道接口上或者应用在全局。
· 对设备上建立的连接与某连接数限制策略进行匹配时,将按照规则编号从小到大的顺序依次遍历该策略中的所有规则,直到找到一条匹配的规则为止。
· 当引用的ACL内容发生改变时,设备将按照新的连接数限制策略重新对已有连接进行统计和限制。
# 在lPv4连接数限制策略1中创建一条规则,规则编号为1,引用ACL 3000,对匹配ACL 3000的连接同时按照报文的源地址和目的地址进行统计和限制,连接数的上限值为2000、下限值为1800。该规则用于限制192.168.0.0/24网段的每台主机最多只能同时向外网的同一个目的IP地址发起2000条连接,超过2000条时,需要等待连接数下降到1800以下之后,才允许新建连接。
[Sysname-acl-ipv4-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] connection-limit policy 1
[Sysname-connlmt-policy-1] limit 1 acl 3000 per-destination per-source amount 2000 1800
# 在lPv6连接数限制策略12中创建一条规则,规则编号为2,引用ACL 2001,对匹配ACL 2001的连接按照报文的目的地址进行统计和限制,连接数的上限值为200、下限值为100。该规则用于限制2:1::/96网段的主机最多只能同时向外网的同一个目的IP地址发起200条连接,超过200条时,需要等待连接数下降到100以下之后,才允许新建连接。
[Sysname-acl-ipv6-basic-2001] rule permit source 2:1::/96
[Sysname-acl-ipv6-basic-2001] quit
[Sysname] connection-limit ipv6-policy 12
[Sysname-connlmt-ipv6-policy-12] limit 2 acl ipv6 2001 per-destination amount 200 100
reset connection-limit statistics命令用来清除连接数限制在全局或接口的统计信息。
reset connection-limit statistics { global | interface interface-type interface-number }
分布式设备-独立运行模式/集中式IRF设备:
分布式设备-IRF模式:
global:清除全局的连接数限制统计信息。
interface interface-type interface-number:清除指定接口上的连接数限制统计信息,interface-type interface-number表示接口类型和接口编号。
slot slot-number:清除指定单板上全局或全局接口应用的连接数限制统计信息,slot-number表示单板所在的槽位号。该参数仅在指定清除全局的连接数限制统计信息,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(分布式设备-独立运行模式)
slot slot-number:清除指定成员设备上全局或全局接口应用的连接数限制统计信息,slot-number表示设备在IRF中的成员编号。该参数仅在指定清除全局的连接数限制统计信息,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(集中式IRF设备)
chassis chassis-number slot slot-number:清除指定成员设备的指定单板上全局或全局接口应用的连接数限制统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。该参数仅在指定清除全局的连接数限制统计信息,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(分布式设备-IRF模式)
# 清除接口GigabitEthernet2/0/1上的连接数限制统计信息。(集中式设备)
<Sysname> reset connection-limit statistics interface gigabitethernet 2/0/1
# 清除接口Vlan-interface2上的连接数限制统计信息。(集中式设备)
<Sysname> reset connection-limit statistics interface vlan-interface 2
# 清除2号单板上全局应用的连接数限制统计信息。(分布式设备-独立运行模式)
<Sysname> reset connection-limit statistics global slot 2
# 清除2号成员设备上全局应用的连接数限制统计信息。(集中式IRF设备)
<Sysname> reset connection-limit statistics global slot 2
# 清除1号成员设备上3号单板上全局应用的连接数限制统计信息。(分布式设备-IRF模式)
<Sysname> reset connection-limit statistics global chassis 1 slot 2
· display connection-limit statistics
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
