- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
19-连接限制配置
本章节下载 (180.81 KB)
内网用户访问外部网络时,如果某一用户在短时间内经过设备向外部网络发起大量连接,将会导致设备系统资源迅速消耗,其它用户无法正常使用网络资源。另外,如果一台内部服务器在短时间内接收到大量的连接请求,将会导致该服务器无法及时进行处理,以至于不能再接受其它客户端的正常连接请求。因此,为了保护内部网络资源(主机或服务器)以及合理分配设备系统资源,需要制定相应的连接限制策略来对设备上建立的连接进行统计和限制。
目前,设备支持的连接限制策略可通过限制用户发起的连接数来实现。
表1-1 连接限制配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
创建连接限制策略 |
必选 |
|
|
配置连接限制策略 |
必选 |
|
|
应用连接限制策略 |
必选 |
连接限制策略用于定义具体的连接限制规则,其中的规则规定了策略生效的范围和实施的参数。
表1-2 创建连接限制策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建连接限制策略,并进入连接限制策略视图 |
connection-limit policy policy-number |
必选 |
一个连接限制策略中可定义多条连接限制规则,每条连接限制规则中可指定一个连接限制的对象或范围,与之匹配的用户的连接建立将受到该规则中指定参数的限制。对于未匹配连接限制规则的用户所建立的连接,设备将不对其进行处理。
设备可以对指定的源IP地址和目的IP地址之间的主机或网段的连接数进行统计和限制。为适应不同的应用需求,设备可支持如下四种类型的连接限制规则:
· 指定源IP地址到指定目的IP地址:用于限制特定的内部网络主机或网段向特定的外部网络主机或网段发起的连接数。
· 指定源IP地址到任意目的IP地址:用于限制特定的内部网络主机或网段向外部网络资源发起的连接数。
· 任意源IP地址到指定目的IP地址:用于限制外部网络主机或网段向特定的内部服务器发起的连接数。
· 任意源IP地址到任意目的IP地址:用于限制经过设备建立的连接总数。
表1-3 配置基于IP地址的连接限制规则
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入连接限制策略视图 |
connection-limit policy policy-number |
- |
|
配置基于IP地址的连接限制规则 |
limit limit-id { source ip { ip-address mask-length | any } [ source-vpn src-vpn-name ] | destination ip { ip-address mask-length | any } [ destination-vpn dst-vpn-name ] } * protocol { dns | http | ip | tcp | udp } max-connections max-num [ per-destination | per-source | per-source-destination ] |
必选 |
连接限制规则按照规则编号从小到大的顺序进行匹配,因此在配置连接限制规则时,需要从整体策略考虑,根据各规则的内容来合理安排规则的编号顺序,推荐按照限制粒度和范围由小到大的顺序来设置规则序号。
应用已经配置好的连接限制策略,实现对指定网络资源的连接限制。
表1-4 应用连接限制策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
应用连接限制策略 |
connection-limit apply policy policy-number |
必选 |
设备最多只能应用一个连接限制策略。
在完成上述配置后,在任意视图下执行display命令可以显示连接限制配置后的运行情况,通过查看显示信息验证配置的效果。
|
操作 |
命令 |
|
显示连接限制策略的配置信息 |
display connection-limit policy { policy-number | all } [ | { begin | exclude | include } regular-expression ] |
某公司拥有202.38.1.1/24至202.38.1.5/24五个公网IP地址,内部网络地址为192.168.0.0/16。通过配置NAT使得内部网络主机可以访问Internet,并提供两台内部服务器供外网访问。为保护内部网络及网络资源,需要进行以下限制:
· 192.168.0.0/24网段的每台主机最多只能与外网建立100条连接,其他网段的主机不作限制。
· 同一时刻DNS服务器只接受10000条查询请求。
· 同一时刻Web服务器只接受10000条连接请求。
图1-1 连接限制典型配置组网
内网主机访问外部网络的NAT配置和内部服务器的配置请参考“三层技术-IP业务配置指导”中的“NAT”,此处不进行介绍,下面仅对连接限制的配置步骤进行详细描述。
# 创建并进入连接限制策略视图。
<Router> system-view
[Router] connection-limit policy 0
# 配置连接限制规则0,允许192.168.0.0/24网段的每台主机最多只能与外网建立100条连接。
[Router-connection-limit-policy-0] limit 0 source ip 192.168.0.0 24 destination ip any protocol ip max-connections 100 per-source
# 配置连接限制规则1,允许同一时刻DNS服务器最多接受10000条查询请求。
[Router-connection-limit-policy-0] limit 1 source ip any destination ip 192.168.0.3 32 protocol dns max-connections 10000
# 配置连接限制规则2,允许同一时刻Web服务器最多接受10000条连接请求。
[Router-connection-limit-policy-0] limit 2 source ip any destination ip 192.168.0.2 32 protocol http max-connections 10000
[Router-connection-limit-policy-0] quit
# 应用连接限制策略。
[Router] connection-limit apply policy 0
上述配置完成后,执行display connection-limit policy命令显示连接限制的配置情况,具体内容如下。
[Router] display connection-limit policy 0
Connection-limit policy 0, refcount 1, 3 limits
limit 0 source ip 192.168.0.0 24 destination ip any protocol ip max-connections 100 per-source
limit 1 source ip any destination ip 192.168.0.3 32 protocol dns max-connections 10000
limit 2 source ip any destination ip 192.168.0.2 32 protocol http max-connections 10000
在Router上进行如下配置,希望限制主机192.168.0.100最多向外部网络发起100条连接请求,以及192.168.0.0/24网段的其他主机最多向外部网络发起10条连接请求。
<Router> system-view
[Router] connection-limit policy 0
[Router-connection-limit-policy-0] limit 0 source ip 192.168.0.0 24 destination ip any protocol ip max-connections 10 per-source
[Router-connection-limit-policy-0] limit 1 source ip 192.168.0.100 32 destination ip any protocol ip max-connections 100 per-source
实际运行过程中,主机192.168.0.100最多只能向外部网络发起10条连接,后续连接被拒绝。
在上述配置中,limit 0和limit 1中指定的源IP地址范围存在包含关系,192.168.0.100发起的连接既符合limit 0又符合limit 1。由于在进行连接限制规则的匹配时,设备以匹配到的第一条有效规则为准,因此对192.168.0.100向外部网络发起的连接将只按照limit 0进行限制,而不会使用limit 1来限制。
为实现本需求,需要对limit 1与limit 0的顺序重新安排,将两个规则的序号进行调换,即将限制粒度更细、限制范围更精确的规则置前。
内部服务器192.168.0.100同时对外提供Web服务和FTP服务,在Router上进行如下配置,希望限制该服务器上最多只能建立10000条HTTP连接和100条TCP连接。
<Router> system-view
[Router] connection-limit policy 0
[Router-connection-limit-policy-0] limit 0 source ip any destination ip 192.168.0.100 protocol tcp max-connections 100
[Router-connection-limit-policy-0] limit 1 source ip any destination ip 192.168.0.100 protocol http max-connections 10000
实际运行过程中,内部服务器只能接受100条HTTP连接,后续连接被拒绝。
在上述配置中,limit 0和limit 1中指定的协议存在包含关系,即,发往192.168.0.100的HTTP连接请求既符合limit 0又符合limit 1。由于在进行连接限制规则的匹配时,设备以匹配到的第一条有效规则为准,因此对发往192.168.0.100的HTTP连接将只按照limit 0进行限制,而不会使用limit 1来限制。
为实现本需求,需要对limit 1与limit 0的顺序重新安排,将两个规则的序号进行调换,即将限制粒度更细、限制范围更精确的规则置前。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
