5.2.6 NAT限制每个源地址最大TCP连接数典型配置
【需求】
如图所示,路由器的Ethernet0/0/0接口连接了局域网192.168.1.0/24,Serial0/0/0直接连接到
Internet,在路由器上配置了NAT以实现局域网内的PC都能访问Internet。为了限制局域网内主机对
外发起的连接数,路由器上配置NAT限制最大连接数特性,对单一源地址发起的连接数进行限制,连接数
上限为60,下限为30。
【组网图】
【配置脚本】
Router配置脚本 |
# system-view
acl number 2001 rule 0 permit source 192.168.1.0 0.0.0.255 rule 1 deny quit # interface Ethernet0/0/0 ip address 192.168.1.1 255.255.255.0 quit # interface series0/0/0 ip address 202.106.10.1 255.255.255.0 nat outbound 2001 quit # acl number 2000
/创建ACL并配置规则,来匹配源IP地址为192.168.1.2/24的数据/ rule 0 permit source 192.168.1.2 0 quit # connection-limit enable
/创建连接数限制策略,并配置子规则,对单一源地址发起的连接数进行限制/ connection-limit
policy 0 limit 0 acl 2000
per-source amount 60 30 quit # nat
connection-limit-policy 0 /NAT引用连接数限制策略0/ # return |
【提示】
1.可以通过ACL来指定报文的特征,如基于报文的源地址、基于报文的目的地址、基于服务,用户可以
根据自己的需要使用ACL灵活地指定。
2.用户可以通过指定上限和下限两个阈值来控制是否允许建立连接。当符合某种特征的连接数达到上限
时禁止建立该种连接。当连接数降低到小于等于下限时,允许建立连接。
3.此功能在VRP3.4-E0201及以后的版本中实现。