在局域网内的某台PC感染病毒,它会发起大量的连接,迅速消耗路由器资源,导致路由器效率下降,影响其他用户使用。NAT限制最大连接数可以避免出现这种情况。通过连接数限制功能,可以设置某种特征的连接数上限,从而可以实现NAT限制最大连接数的功能。
配置如下:
# 创建ACL并配置规则,来匹配源IP地址为192.168.1.2/24的数据。
system-view
[Quidway] acl number 2000
[Quidway-acl-basic-2000] rule 0 permit source 192.168.1.2 0
[Quidway-acl-basic-2000] quit
# 创建连接数限制策略,并配置子规则,对单一源地址发起的连接数进行限制。
[Quidway] connection-limit enable
[Quidway] connection-limit policy 0
[Quidway-connection-limit-policy-0] limit 0 acl 2000 per-source amount 10 1
[Quidway-connection-limit-policy-0] quit
# NAT引用连接数限制策略0。
[Quidway] nat connection-limit-policy 0
但要明确一个问题:
通过定义连接限制策略规则的ACL,不但可以限制TCP连接数量,也可以限制非TCP流量(如:UDP、ICMP)。如果只对TCP连接进行限制,需要在ACL中明确指定。
配置如下:
# 创建ACL并配置规则,来匹配源IP地址为192.168.1.2/24的数据。
system-view
[Quidway] acl number 2000
[Quidway-acl-basic-2000] rule 0 permit source 192.168.1.2 0
[Quidway-acl-basic-2000] quit
# 创建连接数限制策略,并配置子规则,对单一源地址发起的连接数进行限制。
[Quidway] connection-limit enable
[Quidway] connection-limit policy 0
[Quidway-connection-limit-policy-0] limit 0 acl 2000 per-source amount 10 1
[Quidway-connection-limit-policy-0] quit
# NAT引用连接数限制策略0。
[Quidway] nat connection-limit-policy 0
但要明确一个问题:
通过定义连接限制策略规则的ACL,不但可以限制TCP连接数量,也可以限制非TCP流量(如:UDP、ICMP)。如果只对TCP连接进行限制,需要在ACL中明确指定。
转载于:https://blog.51cto.com/cheshenshiwo/97806
550
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
