利用H3C SecPath配置NAT限制最大TCP连接数

在局域网内的某台PC感染病毒,它会发起大量的连接,局域网其他用户无法上网,同样也可以利用它来一定程度上限制产生大量连接的P2P下载。NAT限制最大连接数可以避免出现这种情况。通过连接数限制功能,可以设置某种特征的连接数上限,从而可以实现NAT限制最大连接数的功能。配置如下:

1.创建ACL并配置规则,来匹配你所需控制的源IP地址

system-view
[Quidway] acl number 2008
[Quidway-acl-basic-2008] rule 0 permit source 192.168.0.0 0.0.255.255
[Quidway-acl-basic-2008] quit

2.使用连接数限制

[Quidway] connection-limit enable
[Quidway] connection-limit default deny
[Quidway] connection-limit default amount upper-limit 50 lower-limit 20

3.创建连接数限制策略

[Quidway] connection-limit policy 0
[Quidway-connection-limit-policy-0] limit 0 acl 2008 per-source amount 100 50
[Quidway] quit

4.NAT引用连接数限制策略0

[Quidway] nat connection-limit-policy 0

明确两个问题:

  1. 这样设定后,当局域网一台电脑的NAT连接数达到100个时,此时用户将无法继续上网。当连接数少于50个的连接下限时,则可以继续上网。在实际应用中,需要合理设置TCP连接的上限值和下限值,否则会影响正常业务。
  2. 通过定义连接限制策略规则的ACL,不但可以限制TCP连接数量,也可以限制非TCP流量(如:UDPICMP)。如果只对TCP连接进行限制,需要在ACL中明确指定。

原来也写过一篇利用端口控制来限制P2P下载的文章,这种方法更实用些:利用H3C防火墙的端口控制来限制P2P下载

Share and Enjoy:

  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Technorati
  • YahooMyWeb
  • Live
  • Google
  • Print this article!

Related Posts

This entry was written by brauze, posted on July 24, 2008 at 4:08 pm, filed under Network and tagged , , . Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment or leave a trackback: Trackback URL.

One Trackback

  1. By Xu Sheng » 利用H3C防火墙的端口控制来限制P2P下载 on July 24, 2008 at 4:44 pm

    [...] 如果公司有些领导说:“我要炒股。“ 你就可以在acl 3003里添加低于51的新rule,开放相应的炒股软件端口,形式如rule 1。你也可以参考下这篇文章:利用H3C SecPath配置NAT限制最大TCP连接数的应用 [...]

Post a Comment

Your email is never published nor shared. Required fields are marked *

*
*