- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
19-连接数限制命令
本章节下载: 19-连接数限制命令 (182.15 KB)
1.1.3 connection-limit apply global
1.1.5 display connection-limit
1.1.6 display connection-limit ipv6-stat-nodes
1.1.7 display connection-limit statistics
1.1.8 display connection-limit stat-nodes
1.1.10 reset connection-limit statistics
由于WX1800H系列、WX2500H系列和WX3000H系列无线控制器不支持IRF功能,因此不支持IRF模式的命令行配置。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
产品系列 |
产品型号 |
说明 |
|
WX2500H系列 |
WX2510H WX2510H-F WX2540H WX2540H-F WX2560H |
支持 |
|
WX3000H系列 |
WX3010H WX3010H-X WX3010H-L WX3024H WX3024H-L WX3024H-F |
WX3010H支持 WX3010H-X支持 WX3010H-L不支持 WX3024H支持 WX3024H-L不支持 WX3024H-F支持 |
|
WX3500H系列 |
WX3508H WX3510H WX3520H WX3520H-F WX3540H |
支持 |
|
WX5500E系列 |
WX5510E WX5540E |
支持 |
|
WX5500H系列 |
WX5540H WX5560H WX5580H |
支持 |
|
AC插卡系列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
支持 |
|
产品系列 |
产品型号 |
说明 |
|
WX1800H系列 |
WX1804H WX1810H WX1820H WX1840H |
支持 |
|
WX3800H系列 |
WX3820H WX3840H |
支持 |
|
WX5800H系列 |
WX5860H |
支持 |
connection-limit命令用来创建连接数限制策略,并进入连接数限制策略视图。如果指定的连接数限制策略已经存在,则直接进入连接数限制策略视图。
undo connection-limit命令用来删除连接数限制策略。
【命令】
connection-limit { ipv6-policy | policy } policy-id
undo connection-limit { ipv6-policy | policy } policy-id
【缺省情况】
不存在连接数限制策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6连接数限制策略。
policy:指定IPv4连接数限制策略。
policy-id:连接数限制策略编号(IPv4、IPv6连接数限制策略的编号空间各自独立),取值范围为1~32。
【举例】
# 创建编号为1的IPv4连接数限制策略,并进入IPv4连接数限制策略视图。
<Sysname> system-view
[Sysname] connection-limit policy 1
[Sysname-connlmt-policy-1]
# 创建编号为12的IPv6连接数限制策略,并进入IPv6连接数限制策略视图。
<Sysname> system-view
[Sysname] connection-limit ipv6-policy 12
[Sysname-connlmt-ipv6-policy-12]
【相关命令】
· connection-limit apply
· connection-limit apply global
· display connection-limit
· limit
connection-limit apply命令用来在接口上应用连接数限制策略。
undo connection-limit apply命令用来在接口上取消应用的连接数限制策略。
【命令】
connection-limit apply { ipv6-policy | policy } policy-id
undo connection-limit apply { ipv6-policy | policy }
【缺省情况】
接口上未应用连接数限制策略。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6连接数限制策略。
policy:指定IPv4连接数限制策略。
policy-id:连接数限制策略编号,取值范围为1~32。
【使用指导】
同一个接口上同时只能应用一个IPv4连接数限制策略和一个IPv6连接数限制策略,后配置的IPv4或IPv6连接数限制策略会覆盖已配置的对应类型的策略。
【举例】
# 在接口Vlan-interface2上应用编号为1的IPv4连接数限制策略。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] connection-limit apply policy 1
# 在接口Vlan-interface2上应用编号为12的IPv6连接数限制策略。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] connection-limit apply ipv6-policy 12
【相关命令】
· connection-limit
· limit
connection-limit apply global命令用来在全局应用连接数限制策略。
undo connection-limit apply global命令用来在全局取消应用的连接数限制策略。
【命令】
connection-limit apply global { ipv6-policy | policy } policy-id
undo connection-limit apply global { ipv6-policy | policy }
【缺省情况】
全局未应用连接数限制策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6连接数限制策略。
policy:指定IPv4连接数限制策略。
policy-id:连接数限制策略编号,取值范围为1~32。
【使用指导】
全局最多只能应用一个IPv4连接数限制策略和一个IPv6连接数限制策略,后配置的IPv4或IPv6连接数限制策略会覆盖已配置的对应类型的策略。
【举例】
# 在全局应用编号为1的IPv4连接数限制策略。
<Sysname> system-view
[Sysname] connection-limit apply global policy 1
# 在全局应用编号为12的IPv6连接数限制策略。
<Sysname> system-view
[Sysname] connection-limit apply global ipv6-policy 12
【相关命令】
· connection-limit
· limit
description命令用来配置连接数限制策略的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置描述信息。
【视图】
IPv4连接数限制策略视图
IPv6连接数限制策略视图
【缺省用户角色】
network-admin
【参数】
text:表示连接数限制策略的描述信息,为1~127个字符的字符串,区分大小写。
【使用指导】
使用description命令时,如果当前连接数限制策略没有描述信息,则为其添加描述信息,否则修改其现有的描述信息。
【举例】
# 配置编号为1的IPv4连接数限制策略的描述信息为CenterToA。
<Sysname> system-view
[Sysname] connection-limit policy 1
[Sysname-connlmt-policy-1] description CenterToA
【相关命令】
· display connection-limit
display connection-limit命令用来显示连接数限制策略的配置信息。
【命令】
display connection-limit { ipv6-policy | policy } { policy-id | all }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy:显示IPv6连接数限制策略。
policy:显示IPv4连接数限制策略。
policy-id:连接数限制策略编号,取值范围为1~32。
all:显示所有指定类型的连接数限制策略。
【举例】
# 显示所有IPv4连接数限制策略的配置信息。
<Sysname> display connection-limit policy all
3 policies in total:
Policy Rule Stat Type HiThres LoThres Rate ACL
--------------------------------------------------------------------------------
0 1 Src-Dst-Port 2000 1800 10 3000
12 Src-Dst 500 45 0 3001
255 -- 1000000 980000 0 2001
1 2 Dst-Port 800 70 0 3010
3 Src-Dst 100 90 0 3000
10 Src-Dst-Port 50 45 0 3003
11 Src 200 200 0 3004
200 -- 500000 498000 0 2002
28 4 Port 1500 1400 0 3100
5 Dst 3000 280 0 3101
21 Src-Dst 200 180 0 3102
25 Src-Port 50 35 0 3200
Description list:
Policy Description
--------------------------------------------------------------------------------
1 IPv4Description1
28 Description for IPv4 28
# 显示编号为1的IPv4连接数策略的配置信息。
<Sysname> display connection-limit policy 1
IPv4 connection limit policy 1 has been applied 5 times, and has 5 limit rules.
Description: IPv4Description1
Limit rule list:
Policy Rule Stat Type HiThres LoThres Rate ACL
--------------------------------------------------------------------------------
1 2 Dst-Port 800 700 10 3010
3 Src-Dst 100 90 0 3000
10 Src-Dst-Port 50 45 0 3003
11 Src 200 200 0 3004
200 -- 500000 498000 0 2002
Application list:
GigabitEthernet1/0/1
GigabitEthernet1/0/2
Vlan-interface2
Global
# 显示所有IPv6连接数限制策略的配置信息。
<Sysname> display connection-limit ipv6-policy all
2 policies in total:
Policy Rule Stat Type HiThres LoThres Rate ACL
--------------------------------------------------------------------------------
3 1 Src-Dst 1000 800 10 3010
2 Dst 500 450 0 3001
4 2 Src-Dst-Port 800 700 0 3010
3 Src 100 90 0 3020
200 -- 100000 89000 0 2005
Description list:
Policy Description
--------------------------------------------------------------------------------
3 IPv6Description3
4 Description for IPv6 4
# 显示编号为3的IPv6连接数限制策略的配置信息。
<Sysname> display connection-limit ipv6-policy 3
IPv6 connection limit policy 3 has been applied 3 times, and has 2 limit rules.
Description: IPv6Description3
Limit rule list:
Policy Rule Stat Type HiThres LoThres Rate ACL
--------------------------------------------------------------------------------
3 1 Src-Dst 1000 800 0 3010
2 Dst 500 450 0 3001
Application list:
GigabitEthernet1/0/1
Vlan-interface2
表1-1 display connection-limit命令显示信息描述表
|
字段 |
描述 |
|
Limit rule list |
连接数限制策略信息列表 |
|
Policy |
连接数限制策略编号 |
|
Rule |
连接数限制规则编号 |
|
Stat Type |
统计方式,有如下取值: · Src-Dst-Port:按源IP-目的IP-服务的组合进行统计和限制 · Src-Dst:按源IP-目的IP的组合进行统计和限制 · Src-Port:按源IP-服务的组合进行统计和限制 · Dst-Port:按目的IP-服务的组合进行统计和限制 · Src:按源IP进行统计和限制 · Dst:按目的IP进行统计和限制 · Port:按服务进行统计和限制 · Dslite:按DS-Lite隧道的B4设备进行统计和限制(暂不支持) · --:不按照具体的IP地址、服务进行统计和限制,与本规则引用的ACL相匹配的所有连接将整体受到指定的阈值限制 |
|
HiThres |
连接数上限 |
|
LoThres |
连接数下限 |
|
Rate |
每秒新建连接速率值 |
|
ACL |
规则引用的ACL编号或ACL名称 |
|
Application list |
连接数限制策略应用列表,包括接口名称和Global,其中Global表示该连接数限制策略应用在全局 |
|
Description |
连接数限制策略描述信息 |
|
Description list |
连接数限制策略描述信息列表 |
【相关命令】
· connection-limit
· connection-limit apply
· connection-limit apply global
· limit
display connection-limit ipv6-stat-nodes命令用来显示连接数限制在全局或接口的IPv6统计节点列表。
【命令】
(独立运行模式)
display connection-limit ipv6-stat-nodes { global | interface interface-type interface-number } [ { deny-new | permit-new } | destination destination-ip | service-port port-number | source source-ip ] * [ count ]
(IRF模式)
display connection-limit ipv6-stat-nodes { global | interface interface-type interface-number } [ slot slot-number ] [ { deny-new | permit-new } | destination destination-ip | service-port port-number | source source-ip ] * [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
global:显示全局的IPv6统计节点列表。
interface interface-type interface-number:显示指定接口的IPv6统计节点列表,interface-type interface-number表示接口类型和接口编号。
slot slot-number:显示指定成员设备上全局或全局接口的IPv6统计节点列表,slot-number表示设备在IRF中的成员编号。该参数仅在指定显示全局统计节点列表,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(IRF模式)
deny-new:显示禁止创建新连接的IPv6统计节点列表。
permit-new:显示允许创建新连接的IPv6统计节点列表。
destination destination-ip:显示指定目的IP地址的IPv6统计节点列表。
service-port port-number:显示指定服务端口号的IPv6统计节点列表。
source source-ip:显示指定源IP地址的IPv6统计节点列表。
count:显示IPv6统计节点的个数。如果配置本参数,将仅显示符合条件的(由count前面的参数决定)IPv6统计节点的数量,而不显示IPv6统计节点的具体内容。如果不指定本参数,则显示符合条件的IPv6统计节点的具体内容。
【使用指导】
一个统计节点标识了连接数限制进行统计和限制的一个对象(一个连接或一类连接),包括该连接的报文特征(源/目的IP地址、服务端口号、传输层协议类型等)、对该连接所应用的连接限制策略、当前连接数目以及当前是否允许创建新的连接。
如果指定source、destination、service-port、deny-new、permit-new中的一个或多个参数,则表示将按照多个条件来显示统计节点列表,比如指定了source和destination,则显示同时符合指定源IP地址和目的IP地址的统计节点列表。
如果不指定source、destination、service-port、deny-new、permit-new中任何一个参数,则表示显示所有的统计节点列表。
修改或删除连接数限制策略后,由该策略产生且已经生效的连接数限制统计节点不会受到影响。这些节点将在所统计的连接都断开后自动删除。
【举例】
# 显示接口GigabitEthernet1/0/1上的所有IPv6连接数限制统计节点列表。(独立运行模式)
<Sysname> display connection-limit ipv6-stat-nodes interface gigabitethernet 1/0/1
Src IP address : Any
VPN instance : vpn5
Dst IP address : fe80::5ed9:98ff:feb1:69b6
VPN instance : abcdefghijklmnopqrstuvwxyzabcde
DS-Lite tunnel peer : 9876543210
Service : tcp/12345
Limit rule ID : 12345(ACL: 3184)
Sessions threshold Hi/Lo: 1000000/90000
Sessions count : 150000
Sessions limit rate : 0
New session flag : Permit
# 显示接口Vlan-interface2上的所有IPv6连接数限制统计节点列表。(独立运行模式)
<Sysname> display connection-limit ipv6-stat-nodes interface vlan-interface 2
Src IP address : Any
VPN instance : vpn5
Dst IP address : fe80::5ed9:98ff:feb1:69b6
VPN instance : abcdefghijklmnopqrstuvwxyzabcde
DS-Lite tunnel peer : 9876543210
Service : tcp/12345
Limit rule ID : 12345(ACL: 3184)
Sessions threshold Hi/Lo: 1000000/90000
Sessions count : 150000
Sessions limit rate : 0
New session flag : Permit
# 显示2号成员设备上全局的IPv6连接数限制统计节点列表。(IRF模式)
<Sysname> display connection-limit ipv6-stat-nodes global slot 2
Slot 2:
Src IP address : Any
VPN instance : --
Dst IP address : Any
VPN instance : --
DS-Lite tunnel peer : --
Service : icmp/0
Limit rule ID : 22(ACL: 3666)
Sessions threshold Hi/Lo: 3500/3000
Sessions count : 3100
Sessions limit rate : 0
New session flag : Permit
# 显示全局源IP地址为2::1的IPv6连接数限制统计节点个数。(独立运行模式)
<Sysname> display connection-limit ipv6-stat-nodes global source 2::1 count
Current limit statistic nodes count is 16.
# 显示2号成员设备上的IPv6连接数限制统计节点个数。(IRF模式)
<Sysname> display connection-limit ipv6-stat-nodes global slot 2 count
Slot 2:
Current limit statistic nodes count is 0.
表1-2 display connection-limit stat-nodes命令显示信息描述表
|
字段 |
描述 |
|
Src IP address |
源IP地址 |
|
Dst IP address |
目的IP地址 |
|
VPN instance |
(暂不支持)该地址所属的MPLS L3VPN的VPN实例名称,“--”表示属于公网 |
|
DS-Lite tunnel peer |
(暂不支持)DS Lite隧道对端的IP地址,“--”表示不属于任何DS Lite Tunnel |
|
Service |
协议名及服务端口号。如果不是知名协议则显示为“unknown(xx)”,xx为协议编号,此时不显示服务端口号。其中,对于ICMP协议,括弧内的数字为ICMP的type和code字段组合表示的十六进制数所对应的十进制数 |
|
Limit rule ID |
匹配的规则编号,括号里为匹配的ACL编号 |
|
Sessions threshold Hi/Lo |
连接数限制的上限值及下限值 |
|
Sessions count |
当前连接计数 |
|
Sessions limit rate |
每秒新建连接的最大数目 |
|
New session flag |
是否允许创建新连接,Permit表示允许创建,Deny表示不允许创建
当连接数增长到上限值(max-amount)时,New session flag仍显示为Permit,但此时不允许创建新连接。只有连接数超过上限值,New session flag才会显示为Deny |
【相关命令】
· connection-limit apply global ipv6-policy
· connection-limit apply ipv6-policy
· connection-limit ipv6-policy
· limit
display connection-limit statistics命令用来显示连接数限制在全局或接口的统计信息。
【命令】
(独立运行模式)
display connection-limit statistics { global | interface interface-type interface-number }
(IRF模式)
display connection-limit statistics { global | interface interface-type interface-number } [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
global:显示全局的连接数限制统计信息。
interface interface-type interface-number:显示指定接口的连接数限制统计信息,interface-type interface-number表示接口类型和接口编号。
slot slot-number:显示指定成员设备上全局或全局接口的连接数限制统计信息,slot-number表示设备在IRF中的成员编号。该参数仅在指定显示全局的连接数限制统计信息,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(IRF模式)
【举例】
# 显示全局的连接数限制统计信息。(独立运行模式)
<Sysname> display connection-limit statistics global
Connection limit statistics (Global, slot 0):
Dropped IPv4 packets: 54781
Dropped IPv6 packets: 11457
# 显示2号成员设备上全局的连接数限制统计信息。(IRF模式)
<Sysname> display connection-limit statistics global slot 2
Connection limit statistics (Global, slot 2):
Dropped IPv4 packets: 74213
Dropped IPv6 packets: 58174
表1-3 display connection-limit statistics命令显示信息描述表
|
字段 |
描述 |
|
Dropped IPv4 packet |
匹配全局或接口IPv4连接数限制策略,因连接数超过指定上限而被丢弃的报文个数 |
|
Dropped IPv6 packet |
匹配全局或接口IPv6连接数限制策略,因连接数超过指定上限而被丢弃的报文个数 |
【相关命令】
· connection-limit
· connection-limit apply
· connection-limit apply global
· limit
display connection-limit stat-nodes命令用来显示连接数限制在全局或接口的IPv4统计节点列表。
【命令】
(独立运行模式)
display connection-limit stat-nodes { global | interface interface-type interface-number } [ { deny-new | permit-new } | destination destination-ip | service-port port-number | source source-ip ] * [ count ]
(IRF模式)
display connection-limit stat-nodes { global | interface interface-type interface-number } [ slot slot-number ] [ { deny-new | permit-new } | destination destination-ip | service-port port-number | source source-ip ] * [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
global:显示全局的IPv4统计节点列表。
interface interface-type interface-number:显示指定接口的IPv4统计节点列表,interface-type interface-number表示接口类型和接口编号。
slot slot-number:显示指定成员设备上全局或全局接口的IPv4统计节点列表,slot-number表示设备在IRF中的成员编号。该参数仅在指定显示全局统计节点列表,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(IRF模式)
deny-new:显示禁止创建新连接的IPv4统计节点列表。
permit-new:显示允许创建新连接的IPv4统计节点列表。
destination destination-ip:显示指定目的IP地址的IPv4统计节点列表。
service-port port-number:显示指定服务端口号的IPv4统计节点列表。
source source-ip:显示指定源IP地址的IPv4统计节点列表。
count:显示IPv4统计节点的个数。如果配置本参数,将仅显示符合条件的(由count前面的参数决定)IPv4统计节点的数量,而不显示IPv4统计节点的具体内容。如果不指定本参数,则显示符合条件的IPv4统计节点的具体内容。
【使用指导】
一个统计节点标识了连接数限制进行统计和限制的一个对象(一个连接或一类连接),包括该连接的报文特征(源/目的IP地址、服务端口号、传输层协议类型等)、对该连接所应用的连接限制策略、当前连接数目的统计值,以及当前是否允许创建新的连接。
如果指定source、destination、service-port、deny-new、permit-new中的一个或多个参数,则表示将按照多个条件来显示统计节点列表,比如指定了source 和destination,则显示同时符合指定源IP地址和目的IP地址的统计节点列表。.
如果不指定source、destination、service-port、deny-new、permit-new中任何一个参数,则表示显示所有的统计节点列表。
修改或删除连接数限制策略后,由该策略产生且已经生效的连接数限制统计节点不会受到影响。这些节点将在所统计的连接都断开后自动删除。
【举例】
# 显示接口GigabitEthernet1/0/1上的所有IPv4连接数限制统计节点列表。(独立运行模式)
<Sysname> display connection-limit stat-nodes interface gigabitethernet 1/0/1
Src IP address : 100.100.100.100
VPN instance : 0123456789012345678901234567890
Dst IP address : 200.200.200.200
VPN instance : abcdefghijklmnopqrstuvwxyzabcde
DS-Lite tunnel peer : 1234567890
Service : tcp/12345
Limit rule ID : 12345(ACL: 3001)
Sessions threshold Hi/Lo: 1100000/980000
Sessions count : 1050000
Sessions limit rate : 0
New session flag : Permit
# 显示接口Vlan-interface2上的所有IPv4连接数限制统计节点列表。(独立运行模式)
<Sysname> display connection-limit stat-nodes interface vlan-interface 2
Src IP address : 100.100.100.100
VPN instance : 0123456789012345678901234567890
Dst IP address : 200.200.200.200
VPN instance : abcdefghijklmnopqrstuvwxyzabcde
DS-Lite tunnel peer : 1234567890
Service : tcp/12345
Limit rule ID : 12345(ACL: 3001)
Sessions threshold Hi/Lo: 1100000/980000
Sessions count : 1050000
Sessions limit rate : 0
New session flag : Permit
# 显示2号成员设备上全局的IPv4连接数限制统计节点列表。(IRF模式)
<Sysname> display connection-limit stat-nodes global slot 2
Slot 2:
Src IP address : Any
VPN instance : Vpn1
Dst IP address : 202.113.16.117
VPN instance : Vpn2
DS-Lite tunnel peer : --
Service : icmp/0
Limit rule ID : 7(ACL: 3102)
Sessions threshold Hi/Lo: 4000/3800
Sessions count : 1001
Sessions limit rate : 0
New session flag : Permit
# 显示全局的IPv4连接数限制统计节点个数。(独立运行模式)
<Sysname> display connection-limit stat-nodes global count
Current limit statistic nodes count is 5.
# 显示2号成员设备上源IP地址为1.1.1.1的IPv4连接数限制统计节点个数。(IRF模式)
<Sysname> display connection-limit stat-nodes global slot 2 source 1.1.1.1 count
Slot 2:
Current limit statistic nodes count is 0.
表1-4 display connection-limit stat-nodes命令显示信息描述表
|
字段 |
描述 |
|
Src IP address |
源IP地址 |
|
Dst IP address |
目的IP地址 |
|
VPN instance |
(暂不支持)该地址所属的MPLS L3VPN的VPN实例名称,“--”表示不属于任何VPN |
|
DS-Lite tunnel peer |
(暂不支持)DS Lite隧道对端的IP地址,“--”表示不属于任何DS Lite Tunnel |
|
Service |
协议名及服务端口号。如果不是知名协议则显示为“unknown(xx)”,xx为协议编号,此时不显示服务端口号。其中,对于ICMP协议,括弧内的数字为ICMP的type和code字段组合表示的十六进制数所对应的十进制数 |
|
Limit rule ID |
匹配的规则编号,括号里为匹配的ACL编号 |
|
Sessions threshold Hi/Lo |
连接数限制的上限值及下限值 |
|
Sessions count |
当前连接计数 |
|
Sessions limit rate |
每秒新建连接的最大数目 |
|
New session flag |
是否允许创建新连接,Permit表示允许创建,Deny表示不允许创建
当连接数增长到上限值(max-amount)时,New session flag仍显示为Permit,但此时不允许创建新连接。只有连接数超过上限值,New session flag才会显示为Deny |
【相关命令】
· connection-limit policy
· connection-limit apply global policy
· connection-limit apply policy
· limit
limit命令用来配置连接数限制规则。
undo limit命令用来删除指定的连接数限制规则。
【命令】
IPv4连接数限制策略视图:
limit limit-id acl { acl-number | name acl-name } [ per-destination | per-service | per-source ] * { amount max-amount min-amount | rate rate } * [ description text ]
undo limit limit-id
IPv6连接数限制策略视图:
limit limit-id acl ipv6 { acl-number | name acl-name } [ per-destination | per-service | per-source ] * { amount max-amount min-amount | rate rate } * [ description text ]
undo limit limit-id
【缺省情况】
不存在连接数限制规则。
【视图】
IPv4连接数限制策略视图
IPv6连接数限制策略视图
【缺省用户角色】
network-admin
【参数】
limit-id:连接数限制规则编号,取值范围为1~256。
acl:指定用于匹配用户范围的ACL。该连接限制规则仅对匹配ACL规则的用户连接数进行统计和限制。
ipv6:表示引用IPv6 ACL。若不指定该参数,则表示引用IPv4 ACL。
acl-number:ACL的编号,取值范围为2000~3999。
name acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
per-destination:表示按目的地址进行统计和限制。
per-service:表示按服务(即按传输层协议和服务端口)进行统计和限制。
per-source:表示按源地址进行统计和限制。
amount:表示对连接数进行限制。
max-amount:指定的连接数上限,取值范围为1~4294967294。某范围或某种类型的连接数值超过此值时,用户将不能建立新的连接。
min-amount:指定的连接数下限,取值范围为1~4294967294,不能大于max-amount的取值。连接数的统计值降到此值之下时,允许用户建立新的连接。
rate:表示对新建连接速率进行限制。
rate:指定每秒新建连接的最大数目,取值范围为5~10000000。
description text:表示连接数限制规则的描述信息,其中,text为1~127个字符的字符串,区分大小写。
【使用指导】
每个连接数限制策略中可以定义多个规则,每个规则中需要指定引用的ACL、规则的类型以及统计的上下门限值/新建速率限值。对于per-destination、per-source、per-service类型,可以在一条规则中单独指定其中之一或指定它们的组合。例如,同时指定per-destination和per-source,就表示同时按照连接的报文源地址和目的地址进行统计和限制,具有相同源和目的的连接属于同一类连接,该类连接的数目将受到指定的阈值的限制。
对设备上建立的连接与某连接数限制策略进行匹配时,将按照规则编号从小到大的顺序依次遍历该策略中的所有规则,直到找到一条匹配的规则为止。
同一个连接数限制策略中的不同规则必须引用不同的ACL。
当引用的ACL内容发生改变时,设备将按照新的连接数限制策略重新对已有连接进行统计和限制。
如果per-destination、per-service、per-source三个参数都不指定,则表示与本规则引用的ACL相匹配的所有连接将整体受到指定的阈值限制。
【举例】
# 在lPv4连接数限制策略1中创建一条规则,规则编号为1,引用ACL 3000,对匹配ACL 3000的连接同时按照报文的源地址和目的地址进行统计和限制,连接数的上限值为2000、下限值为1800。该规则用于限制192.168.0.0/24网段的每台主机最多只能同时向外网的同一个目的IP地址发起2000条连接,超过2000条时,需要等待连接数下降到1800以下之后,才允许新建连接,且每秒最多允许新建连接数为10。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] connection-limit policy 1
[Sysname-connlmt-policy-1] limit 1 acl 3000 per-destination per-source amount 2000 1800 rate 10
# 在lPv6连接数限制策略12中创建一条规则,规则编号为2,引用ACL 2001,对匹配ACL 2001的连接按照报文的目的地址进行统计和限制,连接数的上限值为200、下限值为100。该规则用于限制2:1::/96网段的主机最多只能同时向外网的同一个目的IP地址发起200条连接,超过200条时,需要等待连接数下降到100以下之后,才允许新建连接,且每秒最多允许新建连接数为10。
<Sysname> system-view
[Sysname] acl ipv6 basic 2001
[Sysname-acl-ipv6-basic-2001] rule permit source 2:1::/96
[Sysname-acl-ipv6-basic-2001] quit
[Sysname] connection-limit ipv6-policy 12
[Sysname-connlmt-ipv6-policy-12] limit 2 acl ipv6 2001 per-destination amount 200 100 rate 10
【相关命令】
· connection-limit
· display connection-limit
reset connection-limit statistics命令用来清除连接数限制在全局或接口的统计信息。
【命令】
(独立运行模式)
reset connection-limit statistics { global | interface interface-type interface-number }
(IRF模式)
reset connection-limit statistics { global | interface interface-type interface-number } [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
network-operator
【参数】
global:清除全局的连接数限制统计信息。
interface interface-type interface-number:清除指定接口上的连接数限制统计信息,interface-type interface-number表示接口类型和接口编号。
slot slot-number:清除指定成员设备上全局或全局接口应用的连接数限制统计信息,slot-number表示设备在IRF中的成员编号。该参数仅在指定清除全局的连接数限制统计信息,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(IRF模式)
【举例】
# 清除接口GigabitEthernet1/0/1上的连接数限制统计信息。(独立运行模式)
<Sysname> reset connection-limit statistics interface gigabitethernet 1/0/1
# 清除2号成员设备上全局应用的连接数限制统计信息。(IRF模式)
<Sysname> reset connection-limit statistics global slot 2
【相关命令】
· display connection-limit statistics
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
