- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
16-連接數限製典型配置舉例
本章節下載: 16-連接數限製典型配置舉例 (288.95 KB)
連接數限製典型配置舉例
本文檔介紹連接數限製典型配置舉例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解連接數限製特性。
如圖-1所示,Host A、Host B、Host C所在網絡的出口設備需要使用連接數限製功能,實現保護內部網絡及網絡資源。具體需求如下:
· 192.168.0.0/24網段的全部主機最多隻能與外網建立100000條連接
· 192.168.0.0/24網段的每台主機最多隻能與外網建立100條連接
本舉例是在F1060的F9345版本上進行配置和驗證的。
1. 配置接口的IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Trust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:192.168.0.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入到安全域:Untrust
· IP地址/掩碼:202.38.1.1/24
· 其他配置項使用缺省值
2. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:test-a
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:192.168.0.0/24
· 目的IPv4地址:202.38.1.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
3. 配置連接數限製策略
# 選擇“策略 > 安全防護 > 連接數限製”,進入連接數限製策略配置頁麵。
# 單擊<新建>按鈕,配置連接數策略1,允許192.168.0.0/24網段的全部主機最多隻能與外網建立100000條連接,超過100000時,需要等連接數恢複到95000以下才允許建立新的連接,配置如下。
圖-2 新建連接數限製策略1
# 單擊<確定>按鈕,開始新建規則,配置如下。
· 規則編號:1
· ACL:2000。ACL的規則為允許源IP地址為192.168.0.0/24網段
· 連接數限製的觸發限製閾值為100000,解除限製閾值為95000
圖-3 新建連接數限製規則
# 取消繼續新建下一條規則後的複選框,單擊<確認>按鈕,完成連接數策略1的配置。
# 單擊<新建>按鈕,配置連接數策略2,允許192.168.0.0/24網段的每台主機最多隻能與外網建立100條連接,超過100時,需要等連接數恢複到95以下才允許建立新的連接,配置如下。
圖-4 新建連接數限製策略2
# 單擊<確定>按鈕,開始新建規則,配置如下。
· 規則編號:1
· ACL:2000
· 連接數限製的觸發限製閾值為100,解除限製閾值為95
圖-5 新建連接數限製規則
# 取消繼續新建下一條規則後的複選框,單擊<確認>按鈕,完成連接數策略2的配置。配置完成後如下圖所示:
圖-6 顯示連接數限製策略配置
192.168.0.0/24網段的全部主機最多隻能與外網建立100000條連接且192.168.0.0/24網段的每台主機最多隻能與外網建立100條連接。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
