06-连接数限制
本章节下载: 06-连接数限制 (256.43 KB)
本帮助主要介绍以下内容:
· 特性简介
· 配置指南
为了实现保护内部网络资源(主机或服务器)以及合理分配设备系统资源的目的,通常采用连接数限制对设备上建立的连接数进行统计和限制。
设备支持创建IPv4和IPv6两种类型的连接数限制策略,将配置好的连接数限制策略应用到整机或接口上,实现对用户的连接数限制。
接口上应用的连接数限制策略仅对本接口上处理的指定连接生效,整机应用的连接数限制策略对本设备处理的所有指定的连接生效。
如果在入接口、整机和出接口上分别应用了不同的连接数限制策略,则经过设备的连接将会依次受到入接口、整机、出接口连接数限制策略的多重限制,只要该连接的数目达到任何一处连接数上限,都将受到连接数限制策略的限制。
一个连接数限制策略中可定义多条连接数限制规则,每条连接数限制规则中指定一个连接数限制的用户范围,属于该范围的用户可建立的连接数及新建连接速率将受到该规则中指定参数的限制。具体如下:
· 连接数限制:对某类型的连接数进行限制,达到触发限制阈值时,设备将根据用户配置的动作允许或拒绝新建连接请求。若动作配置为拒绝新建连接,则需要等到设备上已有连接因老化而删除,使得当前该类型的连接数低于解除限制阈值后,才允许新建连接。连接数达到触发限制阈值时,设备将记录日志;连接数下降到解除限制阈值时,只有动作配置为拒绝新建连接时才会记录日志。
· 新建速率限制:对新建连接的速率进行限制,每秒新建的连接数达到限制值时,设备将根据用户配置的动作允许或拒绝新建连接请求并记录日志。
对于未匹配连接数限制规则的用户所建立的连接,设备不对其进行限制。
目前,连接数限制支持根据ACL来限定用户范围,对匹配ACL规则的用户连接数进行统计和限制。
设备对于某一范围内的用户连接,可根据不同的控制粒度,按照如下各类型进行连接数限制:
· 按源IP地址进行统计和限制,即同一个源IP地址发起的连接数目将受到指定阈值的限制。
· 按目的IP地址进行统计和限制,即到同一个目的IP地址的连接数目将受到指定阈值的限制。
· 按服务端口进行统计和限制,即同一种服务(具有相同传输层协议和服务端口)的连接数目将受到指定阈值的限制。
如果在一条规则中同时指定以上三种类型中的多个,则多种统计和限制类型同时生效。例如,同时指定“按目的IP地址进行统计和限制”和“按服务端口进行统计和限制”,则表示对到同一个目的地址的同一种服务的连接数进行统计和限制。若一条规则中不指定以上任何一种限制类型,则表示指定范围内的所有用户连接将整体受到指定的阈值限制。
对设备上建立的连接与某连接数限制策略进行匹配时,将按照规则编号从小到大的顺序依次遍历该策略中的所有规则,因此在配置连接数限制规则时,需要从整体策略考虑,根据各规则的内容来合理安排规则的编号顺序,推荐按照限制粒度和范围由小到大的顺序来设置规则序号。
连接数限制功能的配置思路如下图所示。
图-1 连接数限制配置指导图
配置连接数限制规则时,触发限制阈值需要大于设备CPU核数,建议该阈值大于32。
· 对于集中式设备,以物理设备为单元按照配置的连接数阈值进行限制。
· 对于分布式设备,以安全业务板为单元按照配置的连接数阈值进行限制。
· 应用连接数限制策略后,仅对新创建的连接生效,已经创建的连接不受此限制。
· 在双机热备组网环境中,从主设备切换到备份设备的会话,不受备份设备上连接数限制策略的限制。
· 一条ACL规则在同一个连接数限制策略中仅能应用一次,在不同策略中可多次应用。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!