• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-BRAS业务配置指导

目录

08-连接数限制配置

本章节下载 08-连接数限制配置  (202.55 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR8800-F/Configure/Operation_Manual/H3C_SR8800-F_CG-R7655PXX-6W761/16/201708/1025844_30005_0.htm

08-连接数限制配置


1 连接数限制(基于接口)

1.1  连接数限制简介

图1-1所示的组网环境中,通常会遇到以下两类网络问题:某内网用户在短时间内经过设备向外部网络发起大量连接,导致设备系统资源迅速消耗,其它内网用户无法正常使用网络资源;某内部服务器在短时间内接收到大量的连接请求,导致该服务器忙于处理这些连接请求,以至于不能再接受其它客户端的正常连接请求。

连接数限制通过对设备上建立的连接数进行统计和限制,能够有效解决以上问题,实现保护内部网络资源(主机或服务器)以及合理分配设备系统资源的目的。

图1-1 连接数限制组网应用示意图

 

1.2  配置限制和指导

仅CSPEX单板支持配置本功能。

1.3  连接数限制配置任务简介

表1-1 连接数限制配置任务简介

配置任务

说明

详细配置

创建连接数限制策略

必选

1.4 

配置连接数限制策略

必选

1.5 

应用连接数限制策略

必选

1.6 

 

1.4  创建连接数限制策略

连接数限制策略用于定义具体的连接数限制规则,其中的规则规定了策略生效的范围和实施的参数。

表1-2 创建连接数限制策略

操作

命令

说明

进入系统视图

system-view

-

创建连接数限制策略,并进入连接数限制策略视图

connection-limit { ipv6-policy | policy } policy-id

缺省情况下,不存在连接数限制策略

 

1.5  配置连接数限制策略

1.5.1  功能简介

一个连接数限制策略中可定义多条连接数限制规则,每条连接数限制规则中指定一个连接数限制的用户范围,属于该范围的用户可建立的连接数将受到该规则中指定参数的限制。当某类型的连接数达到上限值(max-amount)时,设备将不接受该类型的新建连接请求并发送日志,直到设备上已有连接因老化而删除,使得当前该类型的连接数低于连接数下限(min-amount)后,才允许新建连接并发送日志。对于未匹配连接数限制规则的用户所建立的连接,设备不对其连接数进行限制。

目前,连接数限制支持根据ACL来限定用户范围,对匹配ACL规则的用户连接数进行统计和限制。

设备对于某一范围内的用户连接,可根据不同的控制粒度,按照如下各类型进行连接数限制:

·     per-destination:按目的IP地址统计和限制,即到同一个目的IP地址的连接数目将受到指定阈值的限制。

·     per-service:按服务统计和限制,即同一种服务(具有相同传输层协议和服务端口)的连接数目受限将受到指定阈值的限制。

·     per-source:按源地址统计和限制,即同一个源IP地址发起的连接数目受限将受到指定阈值的限制。

如果在一条规则中同时指定per-destinationper-serviceper-source类型中的多个,则多种统计和限制类型同时生效。例如,同时指定per-destinationper-service类型,则表示对到同一个目的地址的同一种服务的连接数进行统计和限制。若一条规则中不指定以上任何一种限制类型,则表示指定范围内的所有用户连接将整体受到指定的阈值限制。

1.5.2  配置限制和指导

对设备上建立的连接与某连接数限制策略进行匹配时,将按照规则编号从小到大的顺序依次遍历该策略中的所有规则,因此在配置连接限制规则时,需要从整体策略考虑,根据各规则的内容来合理安排规则的编号顺序,推荐按照限制粒度和范围由小到大的顺序来设置规则序号。

需要注意的是,以安全业务板为单元按照配置的连接数阈值进行限制。

1.5.3  配置IPv4连接数限制策略

表1-3 配置IPv4连接数限制策略

操作

命令

说明

进入系统视图

system-view

-

进入IPv4连接数限制策略视图

connection-limit policy policy-id

-

配置连接数限制规则

limit limit-id acl { acl-number | name acl-name } [ per-destination | per-service | per-source ] * amount max-amount min-amount  

缺省情况下,不存在连接数限制规则

(可选)配置连接数限制策略的描述信息

description text

缺省情况下,未配置描述信息

 

1.5.4  配置IPv6连接数限制策略

表1-4 配置IPv6连接数限制策略

操作

命令

说明

进入系统视图

system-view

-

进入IPv6连接数限制策略视图

connection-limit ipv6-policy policy-id

-

配置连接数限制规则

limit limit-id acl ipv6 { acl-number | name acl-name } [ per-destination | per-service | per-source ] * amount max-amount min-amount

缺省情况下,不存在连接数限制规则

(可选)配置连接数限制策略的描述信息

description text

缺省情况下,未配置描述信息

 

1.6  应用连接数限制策略

1.6.1  功能简介

将已经配置好的连接数限制策略应用到全局,实现对用户的连接数限制。全局应用的连接数限制策略对本设备处理的所有指定的连接生效。

1.6.2  配置限制和指导

·     应用连接数限制策略后,仅对新创建的连接生效,已经创建的连接不受此限制。

·     在双机热备组网环境中,从主设备切换到备份设备的会话,不受备份设备上连接数限制策略的限制。

1.6.3  全局应用连接限制策略

表1-5 全局应用连接限制策略

操作

命令

说明

进入系统视图

system-view

-

全局应用连接限制策略

connection-limit apply global { ipv6-policy | policy } policy-id

缺省情况下,全局未应用连接数限制策略

全局最多只能应用一个IPv4连接数限制策略和一个IPv6连接数限制策略,后配置的IPv4或IPv6连接数限制策略会覆盖已配置的对应类型的策略

 

1.7  连接数限制显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示连接数限制配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令清除连接数限制的相关信息。

表1-6 连接数限制显示和维护

操作

命令

显示连接数限制策略的配置信息

display connection-limit { ipv6-policy | policy } { all | policy-id }

显示连接数限制在全局或接口的统计信息(独立运行模式)

display connection-limit statistics { global | interface interface-type interface-number } [ slot slot-number ]

显示连接数限制在全局或接口的统计信息(IRF模式)

display connection-limit statistics { global | interface interface-type interface-number } [ chassis chassis-number slot slot-number ]

显示连接数限制在全局或接口的统计节点列表(独立运行模式)

display connection-limit { ipv6-stat-nodes | stat-nodes } { global | interface interface-type interface-number } [ slot slot-number ] [ destination destination-ip | service-port port-number | source source-ip ] * [ count ]

display connection-limit stat-nodes { global | interface interface-type interface-number } [ slot slot-number ]

显示连接数限制在全局或接口的统计节点列表(IRF模式)

display connection-limit { ipv6-stat-nodes | stat-nodes } { global | interface interface-type interface-number } [ chassis chassis-number slot slot-number ] [ destination destination-ip | service-port port-number | source source-ip ] * [ count ]

display connection-limit stat-nodes { global | interface interface-type interface-number } [ chassis chassis-number slot slot-number ]

清除连接数限制在全局或接口的统计信息(独立运行模式)

reset connection-limit statistics { global | interface interface-type interface-number } [ slot slot-number ]

清除连接数限制在全局或接口的统计信息(IRF模式)

reset connection-limit statistics { global | interface interface-type interface-number } [ chassis chassis-number slot slot-number ]

 

1.8  连接限制常见配置错误举例

1.8.1  不同的连接限制规则中引用的ACL存在包含关系时,规则顺序错误

1. 故障现象      

在Router上进行如下配置,希望限制主机192.168.0.100/24最多向某公网服务器发起100条连接请求,以及192.168.0.0/24网段的其他主机最多向某公网服务器发起10条连接请求。

<Device> system-view

[Device] acl basic 2001

[Device-acl-ipv4-basic-2001] rule permit source 192.168.0.0 0.0.0.255

[Device-acl-ipv4-basic-2001] quit

[Device] acl basic 2002

[Device-acl-ipv4-basic-2002] rule permit source 192.168.0.100 0

[Device-acl-ipv4-basic-2002] quit

[Device] connection-limit policy 1

[Device-connection-limit-policy-1] limit 1 acl 2001 per-destination amount 10 5

[Device-connection-limit-policy-1] limit 2 acl 2002 per-destination amount 100 10

实际运行过程中,主机192.168.0.100最多只能同时向外部网络的同一个目的地址发起10条连接,后续连接被拒绝。

2. 故障分析

在上述配置中,limit 1和limit 2中指定的源IP地址范围存在包含关系,192.168.0.100发起的连接既符合limit 1又符合limit 2。由于在进行连接限制规则的匹配时,设备根据规则编号由小到大的顺序进行匹配,且以匹配到的第一条有效规则为准,因此对192.168.0.100向外部网络发起的连接将只按照limit 1进行限制,而不会使用limit 2来限制。

3. 处理过程

为实现本需求,需要对limit 2与limit 1的顺序重新安排,将两个规则的序号进行调换,即将限制粒度更细、限制范围更精确的规则置前。


2 连接数限制(基于User Profile

2.1  连接数限制简介

图2-1所示的组网环境中,通常会遇到以下两类网络问题:某内网用户在短时间内经过设备向外部网络发起大量连接,导致设备系统资源迅速消耗,其它内网用户无法正常使用网络资源;某内部服务器在短时间内接收到大量的连接请求,导致该服务器忙于处理这些连接请求,以至于不能再接受其它客户端的正常连接请求。

连接数限制通过向上线用户下发User Profile来控制每一个用户的连接数以及连接速率,可以更为精确地分配系统资源,提高多用户连接时的访问效率。

用户通过身份认证后,设备首先会查找设备上对应的User Profile配置,若找到相应的User Profile且该其视图中存在具体的连接数限制设置,则设备将根据该设置对用户进行访问限制;若未找到相应的User Profile或者查找到的User Profile中无连接数限制配置,则用户正常上线,不受影响。

图2-1 连接数限制组网应用示意图

 

2.2  配置限制和指导

仅CSPEX单板支持配置本功能。

2.3  连接数限制配置准备

基于User Profile的连接数限制需要与认证服务器配合使用。

·     若用户采用远程认证,则需要在远程认证服务器上指定与该用户帐户相关联的User Profile。

·     若用户采用本地认证,则需要在设备对应的本地用户视图中指定该用户的授权User Profile。关于本地用户的相关配置,请参见“BRAS业务配置指导”中的“AAA”。

2.4  配置连接数限制

表2-1 配置连接数限制

操作

命令

说明

进入系统视图

system-view

-

创建User Profile并进入相应的user-profile视图

user-profile profile-name

如果指定的User Profile已经存在,则直接进入相应的user-profile视图

进入user-profile视图后,其下的配置只在User Profile下发成功后生效

关于本命令的详细介绍,请参见“BRAS业务命令参考”中的“User Profile”

配置最大连接数

connection-limit amount amount

缺省情况下,不限制最大用户连接数

配置最大用户新建连接速率

connection-limit rate rate

缺省情况下,不限制最大用户新建连接速率

(可选)显示user profile的配置信息和在线用户信息(独立运行模式)

display user-profile [ name profile-name ] [ slot slot-number ]

关于本命令的详细介绍,请参见“BRAS业务命令参考”中的“User Profile”

(可选)显示user profile的配置信息和在线用户信息(IRF模式)

display user-profile [ name profile-name ] [ chassis chassis-number slot slot-number ]

关于本命令的详细介绍,请参见“BRAS业务命令参考”中的“User Profile”

 

2.5  连接数限制典型配置举例

2.5.1  基于User Profile的连接数限制配置举例

1. 组网需求

在某校园网络中,所有用户均需要通过AAA认证后才能访问外部网络。因为老师要上传/下载课件、网上视频教学和答疑,所以需要优先保证老师的连接需求,其次满足学生的连接需求。为满足以上需求,要求在接入设备上限制每个老师用户同一时间最多只能与外网建立100条连接,每个学生用户同一时间最多只能与外网建立10条连接。

2. 组网图

 

3. 配置步骤

·     配置认证服务器

配置老师帐户和学生帐户,并指定老师帐户和学生帐户的User Profile属性名分别为teacher和student,详细配置此处略。

·     配置Device

# 配置AAA认证。AAA认证相关的详细配置请结合具体的认证方式完成,此处略。

# 创建老师用户的User Profile,且配置连接数限制为100条,当老师用户认证成功上线后,最多只能与外网建立100条连接。

<Device> system-view

[Device] user-profile teacher

[Device-user-profile-teacher] connection-limit amount 100

[Device-user-profile-teacher] quit

# 创建学生用户的User Profile,且配置连接数限制为10条,当学生用户认证成功上线后,最多只能与外网建立10条连接。

[Device] user-profile student

[Device-user-profile-student] connection-limit amount 10

[Device-user-profile-student] quit

4. 验证配置

上述配置完成后,执行display user-profile命令显示User Profile连接数限制的配置情况,具体内容如下。

[Device] display user-profile

  User-Profile: teacher

    Connection-limit amount: 100

 

  User-Profile: student

    Connection-limit amount: 10 

当老师和学生认证通过后,他们访问外网的连接数将受到设备上指定User Profile的限制。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们