本人在secpath 100f上做了一个TCP的连接数限制,以用来防止用户过多的占用资源(BT下载等等),配置过程一切都很顺利,可结果却让我非常郁闷.

配置如下:

connection-limit enable
 connection-limit default deny
 connection-limit default amount upper-limit 260 lower-limit 1

acl number 2002
 rule 0 permit source 172.16.0.0 0.0.0.255
 rule 1 permit source 172.16.1.0 0.0.0.255
 rule 2 permit source 172.16.2.0 0.0.0.255
 rule 3 permit source 172.16.3.0 0.0.0.255
 rule 4 permit source 172.16.4.0 0.0.0.255

connection-limit policy 10
 limit 0 acl 2002 per-source amount 360 1

nat connection-limit-policy 10

----------------------------

以上是简略设置,可是不知道为什么.这个策略的实验结果却非常诡异.有的用户反应只要打开两三个网页就无法上网了.我查看了一个连接数,确实只有几个.

dis nat connection-limit source 172.16.2.0 24

-------------------------------------------------------------------------------
 NAT       amount         upper-limit    lower-limit    limit-flag
           2              360            1              1                        1

      source-ip       dest-ip         dest-port       vpn-instance
      172.16.2.93     ---             ---             ---               
-------------------------------------------------------------------------------

这是怎么回事呢?

不知道哪们高手知道的.请告知一二.先谢过了.

*************************

补充一下吧:经过查阅资料和800电话支持,我发现了我的连接数设计不合理:

connection-limit policy 10
 limit 0 acl 2002 per-source amount 360 1

这个策略中把上限设为360,下限设置为:1.这样设置的话,可能出现的情况是:当用户连接数达到360时,只有其用户数下降1时才能上网。这样的话，用户就在很长一段时间内都无法上网。这是主要原因。重新更改下限的值，问题得到解决。

发表于 @ 2007年11月06日 14:12:00|评论(loading...)|编辑