好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



5.2.6 NAT限制每个源地址最大TCP连接数典型配置

 

【需求】

如图所示,路由器的Ethernet0/0/0接口连接了局域网192.168.1.0/24Serial0/0/0直接连接到

Internet,在路由器上配置了NAT以实现局域网内的PC都能访问Internet。为了限制局域网内主机对

外发起的连接数,路由器上配置NAT限制最大连接数特性,对单一源地址发起的连接数进行限制,连接数

上限为60,下限为30

 

【组网图】

 

【配置脚本】

Router配置脚本

#

system-view                                           

acl number 2001

rule 0 permit source 192.168.1.0 0.0.0.255

rule 1 deny

quit

#

interface Ethernet0/0/0

ip address 192.168.1.1 255.255.255.0

quit

#

interface series0/0/0

ip address 202.106.10.1 255.255.255.0

nat outbound 2001

quit

#

acl number 2000                      /创建ACL并配置规则,来匹配源IP地址为192.168.1.2/24的数据/

rule 0 permit source 192.168.1.2 0

quit

#

connection-limit enable             /创建连接数限制策略,并配置子规则,对单一源地址发起的连接数进行限制/

connection-limit policy 0

limit 0 acl 2000 per-source amount 60 30

quit

#

nat connection-limit-policy 0       /NAT引用连接数限制策略0/

#

return

 

 

【提示】

1.可以通过ACL来指定报文的特征,如基于报文的源地址、基于报文的目的地址、基于服务,用户可以

根据自己的需要使用ACL灵活地指定。

2.用户可以通过指定上限和下限两个阈值来控制是否允许建立连接。当符合某种特征的连接数达到上限

时禁止建立该种连接。当连接数降低到小于等于下限时,允许建立连接。

3.此功能在VRP3.4-E0201及以后的版本中实现。

X Close
X Close