• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-BRAS业务命令参考

目录

08-连接数限制命令

本章节下载 08-连接数限制命令  (184.05 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR8800-F/Command/Command_Manual/H3C_SR8800-F_CR-R7751PXX-6W102/16/201903/1160171_30005_0.htm

08-连接数限制命令


1 连接数限制

说明

仅CSPEX单板支持本功能。

 

1.1  连接数限制配置命令

1.1.1  connection-limit

connection-limit命令用来创建连接数限制策略,并进入连接数限制策略视图。如果指定的连接数限制策略已经存在,则直接进入连接数限制策略视图。

undo connection-limit命令用来删除连接数限制策略。

【命令】

connection-limit { ipv6-policy | policy } policy-id

undo connection-limit { ipv6-policy | policy } policy-id

【缺省情况】

不存在连接数限制策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv6-policy:指定IPv6连接数限制策略。

policy:指定IPv4连接数限制策略。

policy-id:连接数限制策略编号(IPv4、IPv6连接数限制策略的编号空间各自独立),取值范围为1~32。

【举例】

# 创建编号为1的IPv4连接数限制策略,并进入IPv4连接数限制策略视图。

<Sysname> system-view

[Sysname] connection-limit policy 1

[Sysname-connlmt-policy-1]

# 创建编号为12的IPv6连接数限制策略,并进入IPv6连接数限制策略视图。

<Sysname> system-view

[Sysname] connection-limit ipv6-policy 12

[Sysname-connlmt-ipv6-policy-12]

【相关命令】

·     connection-limit apply

·     connection-limit apply global

·     display connection-limit

·     limit

1.1.2  connection-limit amount

connection-limit amount命令用来配置最大用户连接数。

undo connection-limit amount命令用来恢复缺省情况。

【命令】

connection-limit amount amount

undo connection-limit amount

【缺省情况】

不限制最大用户连接数。

【视图】

user-profile视图

【缺省用户角色】

network-admin

【参数】

amount:最大用户连接数,取值范围为1~10000。一个用户的连接数值超过此值时,将不能建立新的连接。

【使用指导】

多次执行本命令,最后一次执行的命令生效,修改后的配置立即生效。

设备上的User Profile被删除后,被下发该配置的用户也将不受此User Profile的限制。

【举例】

# 创建名称为abc的User Profile,并进入user-profile视图。

<Sysname> system-view

[Sysname] user-profile abc

# 配置最大用户连接数为5,即一个用户的连接数超过5时,将不能建立新的连接。

[Sysname-user-profile-abc] connection-limit amount 5

【相关命令】

·     display user-profile(BRAS业务命令参考/User Profile)

1.1.3  connection-limit apply

connection-limit apply命令用来在接口上应用连接数限制策略。

undo connection-limit apply命令用来在接口上取消应用的连接数限制策略。

【命令】

connection-limit apply { ipv6-policy | policy } policy-id

undo connection-limit apply { ipv6-policy | policy }

【缺省情况】

接口上未应用连接数限制策略。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6-policy:指定IPv6连接数限制策略。

policy:指定IPv4连接数限制策略。

policy-id:连接数限制策略编号,取值范围为1~32。

【使用指导】

同一个接口上同时只能应用一个IPv4连接数限制策略和一个IPv6连接数限制策略,后配置的IPv4或IPv6连接数限制策略会覆盖已配置的对应类型的策略。

【举例】

# 在接口GigabitEthernet1/0/1上应用编号为1的IPv4连接数限制策略。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] connection-limit apply policy 1

# 在接口GigabitEthernet1/0/1应用编号为12的IPv6连接数限制策略。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] connection-limit apply ipv6-policy 12

【相关命令】

·     connection-limit

·     limit

1.1.4  connection-limit apply global

connection-limit apply global命令用来在全局应用连接数限制策略。

undo connection-limit apply global命令用来在全局取消应用的连接数限制策略。

【命令】

connection-limit apply global { ipv6-policy | policy } policy-id

undo connection-limit apply global { ipv6-policy | policy }

【缺省情况】

全局未应用连接数限制策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv6-policy:指定IPv6连接数限制策略。

policy:指定IPv4连接数限制策略。

policy-id:连接数限制策略编号,取值范围为1~32。

【使用指导】

全局最多只能应用一个IPv4连接数限制策略和一个IPv6连接数限制策略,后配置的IPv4或IPv6连接数限制策略会覆盖已配置的对应类型的策略。

【举例】

# 在全局应用编号为1的IPv4连接数限制策略。

<Sysname> system-view

[Sysname] connection-limit apply global policy 1

# 在全局应用编号为12的IPv6连接数限制策略。

<Sysname> system-view

[Sysname] connection-limit apply global ipv6-policy 12

【相关命令】

·     connection-limit

·     limit

1.1.5  connection-limit rate

connection-limit rate命令用来配置最大用户新建连接速率。

undo connection-limit rate命令用来恢复缺省情况。

【命令】

connection-limit rate rate

undo connection-limit rate

【缺省情况】

不限制最大用户新建连接速率。

【视图】

user-profile视图

【缺省用户角色】

network-admin

【参数】

rate:最大新建连接速率,取值范围为5~1000,单位为每秒连接数。一个用户的新建连接速率超过此值时,将不能建立新的连接。

【使用指导】

最大用户连接速率可以多次配置,最后一次生效,修改后的配置立即生效。

设备上的User Profile被删除后,被下发该配置的用户也将不受此User Profile的限制。

【举例】

# 创建名称为abc的User Profile,并进入user-profile视图。

<Sysname> system-view

[Sysname] user-profile abc

# 配置最大用户新建连接速率为100,即一个用户的每秒新建连接数超过100个时,将不能建立新的连接。

[Sysname-user-profile-abc] connection-limit rate 100

【相关命令】

·     display user-profile(BRAS业务命令参考/User Profile)

1.1.6  description

description命令用来配置连接数限制策略的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

未配置描述信息。

【视图】

IPv4连接数限制策略视图

IPv6连接数限制策略视图

【缺省用户角色】

network-admin

【参数】

text:表示连接数限制策略的描述信息,为1~127个字符的字符串,区分大小写。

【使用指导】

使用description命令时,如果当前连接数限制策略没有描述信息,则为其添加描述信息,否则修改其现有的描述信息。

【举例】

# 配置编号为1的IPv4连接数限制策略的描述信息为CenterToA。

<Sysname> system-view

[Sysname] connection-limit policy 1

[Sysname-connlmt-policy-1] description CenterToA

【相关命令】

·     display connection-limit

1.1.7  display connection-limit

display connection-limit命令用来显示连接数限制策略的配置信息。

【命令】

display connection-limit { ipv6-policy | policy } { policy-id | all }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ipv6-policy:显示IPv6连接数限制策略。

policy:显示IPv4连接数限制策略。

policy-id:连接数限制策略编号,取值范围为1~32。

all:显示所有指定类型的连接数限制策略。

【举例】

# 显示所有IPv4连接数限制策略的配置信息。

<Sysname> display connection-limit policy all

3 policies in total:

 Policy  Rule     Stat Type  HiThres  LoThres  ACL

--------------------------------------------------------------------------------

      0     1  Src-Dst-Port     2000     1800  3000

           12       Src-Dst      500       45  3001

          255            --  1000000   980000  2001

 

      1     2      Dst-Port      800      70   3010

            3       Src-Dst      100      90   3000

           10  Src-Dst-Port       50      45   3003

           11           Src      200     200   3004

          200           --    500000  498000   2002

 

     28     4          Port     1500    1400   3100

            5           Dst     3000     280   3101

           21       Src-Dst      200     180   3102

           25      Src-Port       50      35   3200

Description list:

 Policy      Description

--------------------------------------------------------------------------------

      1       IPv4Description1

     28      Description for IPv4 28

#  显示编号为1的IPv4连接数策略的配置信息。

<Sysname> display connection-limit policy 1

IPv4 connection limit policy 1 has been applied 5 times, and has 5 limit rules.

Description: IPv4Description1

Limit rule list:

 Policy  Rule     Stat Type  HiThres  LoThres  ACL

--------------------------------------------------------------------------------

      1     2      Dst-Port      800      700  3010

            3       Src-Dst      100       90  3000

           10  Src-Dst-Port       50       45  3003

           11           Src      200      200  3004

          200            --   500000   498000  2002

 Application list:

     GigabitEthernet1/0/1

     GigabitEthernet1/0/2

     Vlan-interface1

     Tunnel0

     Global

#  显示所有IPv6连接数限制策略的配置信息。

<Sysname> display connection-limit ipv6-policy all

2 policies in total:

 Policy  Rule     Stat Type  HiThres  LoThres  ACL

--------------------------------------------------------------------------------

      3     1       Src-Dst     1000      800  3010

            2           Dst      500      450  3001

      4     2  Src-Dst-Port      800      700  3010

            3           Src      100       90  3020

          200            --   100000    89000  2005

Description list:

 Policy      Description

--------------------------------------------------------------------------------

      3      IPv6Description3

      4      Description for IPv6 4

#  显示编号为3的IPv6连接数限制策略的配置信息。

<Sysname> display connection-limit ipv6-policy 3

IPv6 connection limit policy 3 has been applied 3 times, and has 2 limit rules.

Description: IPv6Description3

Limit rule list:

Policy  Rule     Stat Type  HiThres  LoThres  ACL

--------------------------------------------------------------------------------

     3     1       Src-Dst     1000      800  3010 

           2           Dst      500      450  3001

Application list:

    GigabitEthernet1/0/1

    Vlan-interface1

    Tunnel0

表1-1 display connection-limit命令显示信息描述表

字段

描述

Limit rule list

连接数限制策略信息列表

Policy

连接数限制策略编号

Rule

连接数限制规则编号

Stat Type

统计方式,有如下取值:

·     Src-Dst-Port:按源IP-目的IP-服务的组合进行统计和限制

·     Src-Dst:按源IP-目的IP的组合进行统计和限制

·     Src-Port:按源IP-服务的组合进行统计和限制

·     Dst-Port:按目的IP-服务的组合进行统计和限制

·     Src:按源IP进行统计和限制

·     Dst:按目的IP进行统计和限制

·     Port:按服务进行统计和限制

·     Dslite:按DS-Lite隧道的B4设备进行统计和限制

·     --:不按照具体的IP地址、服务进行统计和限制,与本规则引用的ACL相匹配的所有连接将整体受到指定的阈值限制

HiThres

连接数上限

LoThres

连接数下限

ACL

规则引用的ACL编号或ACL名称

Application list

连接数限制策略应用列表,包括接口名称和Global,其中Global表示该连接数限制策略应用在全局

Description

连接数限制策略描述信息

Description list

连接数限制策略描述信息列表

 

【相关命令】

·     connection-limit

·     connection-limit apply

·     connection-limit apply global

·     limit

1.1.8  display connection-limit ipv6-stat-nodes

display connection-limit ipv6-stat-nodes命令用来显示连接数限制在全局或接口的IPv6统计节点列表。

【命令】

独立运行模式:

display connection-limit ipv6-stat-nodes { global | interface interface-type interface-number } [ slot slot-number ] [ destination destination-ip | service-port port-number | source source-ip ] * [ count ]

IRF模式:

display connection-limit ipv6-stat-nodes { global | interface interface-type interface-number } [ chassis chassis-number slot slot-number ] [ destination destination-ip | service-port port-number | source source-ip ] * [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

global:显示全局的IPv6统计节点列表。

interface interface-type interface-number:显示指定接口的IPv6统计节点列表,interface-type interface-number表示接口类型和接口编号。

slot slot-number:显示指定单板上全局或全局接口的IPv6统计节点列表,slot-number表示单板所在的槽位号。该参数仅在显示全局统计节点列表,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上全局或全局接口的IPv6统计节点列表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。该参数仅在指定显示全局统计节点列表,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(IRF模式)

destination destination-ip:显示指定目的IP地址的IPv6统计节点列表。

service-port port-number:显示指定服务端口号的IPv6统计节点列表。

source source-ip:显示指定源IP地址的IPv6统计节点列表。

count:显示IPv6统计节点的个数。如果配置本参数,将仅显示符合条件的(由count前面的参数决定)IPv6统计节点的数量,而不显示IPv6统计节点的具体内容。如果不指定本参数,则显示符合条件的IPv6统计节点的具体内容。

【使用指导】

一个统计节点标识了连接数限制进行统计和限制的一个对象(一个连接或一类连接),包括该连接的报文特征(源/目的IP地址、服务端口号、传输层协议类型等)、对该连接所应用的连接限制策略、当前连接数目以及当前是否允许创建新的连接。

如果指定sourcedestinationservice-port中的一个或多个参数,则表示将按照多个条件来显示统计节点列表,比如指定了sourcedestination,则显示同时符合指定源IP地址和目的IP地址的统计节点列表。

如果不指定sourcedestinationservice-port中任何一个参数,则表示显示所有的统计节点列表。

修改或删除连接数限制策略后,由该策略产生且已经生效的连接数限制统计节点不会受到影响。这些节点将在所统计的连接都断开后自动删除。

【举例】

# 显示IPv6连接数限制统计节点个数。

<Sysname> display connection-limit ipv6-stat-nodes global source 2::1 count

       Current limit statistic nodes count is 16.

# 显示指定slot上全局的IPv6连接数限制统计节点列表。(独立运行模式)

<Sysname> display connection-limit ipv6-stat-nodes global slot 1

Slot 1:

 Src IP address          : Any

     VPN instance        : --

 Dst IP address          : Any

     VPN instance        : --

 DS-Lite tunnel peer     : --

 Service                 : icmp/0

 Limit rule ID           : 22(ACL: 3666)

 Sessions threshold Hi/Lo: 3500/3000

 Sessions count          : 3100

 New session flag        : Permit

表1-2 display connection-limit stat-nodes命令显示信息描述表

字段

描述

Src IP address

源IP地址

Dst IP address

目的IP地址

VPN instance

该地址所属的MPLS L3VPN的VPN实例名称,“--”表示属于公网

DS-Lite tunnel peer

DS Lite隧道ID,“--”表示不属于任何DS Lite Tunnel

Service

协议名及服务端口号。如果不是知名协议则显示为“unknown(xx)”,xx为协议编号,此时不显示服务端口号。其中,对于ICMP协议,括弧内的数字为ICMP的type和code字段组合表示的十六进制数所对应的十进制数

Limit rule ID

匹配的规则编号,括号里为匹配的ACL编号

Sessions threshold Hi/Lo

连接数限制的上限值及下限值

Sessions count

当前连接计数

New session flag

是否允许创建新连接,Permit表示允许创建,Deny表示不允许创建

说明

当连接数增长到上限值(max-amount)时,New session flag仍显示为Permit,但此时不允许创建新连接。只有连接数超过上限值,New session flag才会显示为Deny

 

【相关命令】

·     connection-limit apply global ipv6-policy

·     connection-limit apply ipv6-policy

·     connection-limit ipv6-policy

·     limit

1.1.9  display connection-limit statistics

display connection-limit statistics命令用来显示连接数限制在全局或接口的统计信息。

【命令】

独立运行模式:

display connection-limit statistics { global | interface interface-type interface-number } [ slot slot-number ]

IRF模式:

display connection-limit statistics { global | interface interface-type interface-number } [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

global:显示全局的连接数限制统计信息。

interface interface-type interface-number:显示指定接口的连接数限制统计信息,interface-type interface-number表示接口类型和接口编号。

slot slot-number:显示指定单板上全局或全局接口的连接数限制统计信息,slot-number表示单板所在的槽位号。该参数仅在指定显示全局的连接数限制统计信息,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上全局或全局接口的连接数限制统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。该参数仅在指定显示全局的连接数限制统计信息,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(IRF模式)

【举例】

# 显示指定slot上的全局的连接数限制统计信息。(独立运行模式)

<Sysname> display connection-limit statistics global slot 1

Connection limit statistics (Global, slot 1):

    Dropped IPv4 packets:   74213

    Dropped IPv6 packets:   58174

表1-3 display connection-limit statistics命令显示信息描述表

字段

描述

Dropped IPv4 packet

匹配全局或接口IPv4连接数限制策略,因连接数超过指定上限而被丢弃的报文个数

Dropped IPv6 packet

匹配全局或接口IPv6连接数限制策略,因连接数超过指定上限而被丢弃的报文个数

 

【相关命令】

·     connection-limit

·     connection-limit apply

·     connection-limit apply global

·     limit

1.1.10  display connection-limit stat-nodes

display connection-limit stat-nodes命令用来显示连接数限制在全局或接口的IPv4统计节点列表。

【命令】

独立运行模式:

display connection-limit stat-nodes { global | interface interface-type interface-number } [ slot slot-number ] [ destination destination-ip | service-port port-number | source source-ip ] * [ count ]

display connection-limit stat-nodes { global | interface interface-type interface-number } [ slot slot-number ] dslite-peer b4-address [ count ]

IRF模式:

display connection-limit stat-nodes { global | interface interface-type interface-number } [ chassis chassis-number slot slot-number ] [ destination destination-ip | service-port port-number | source source-ip ] * [ count ]

display connection-limit stat-nodes { global | interface interface-type interface-number } [ chassis chassis-number slot slot-number ] dslite-peer b4-address [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

global:显示全局的IPv4统计节点列表。

interface interface-type interface-number:显示指定接口的IPv4统计节点列表,interface-type interface-number表示接口类型和接口编号。

slot slot-number:显示指定单板上全局或全局接口的IPv4统计节点列表,slot-number表示单板所在的槽位号。该参数仅在指定显示全局统计节点列表,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上全局或全局接口的IPv4统计节点列表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。该参数仅在指定显示全局统计节点列表,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(IRF模式)

destination destination-ip:显示指定目的IP地址的IPv4统计节点列表。

service-port port-number:显示指定服务端口号的IPv4统计节点列表。

source source-ip:显示指定源IP地址的IPv4统计节点列表。

dslite-peer b4-address:显示指定DS-Lite B4设备的IPv4统计节点列表,b4-address表示B4设备的IPv6地址。

count:显示IPv4统计节点的个数。如果配置本参数,将仅显示符合条件的(由count前面的参数决定)IPv4统计节点的数量,而不显示IPv4统计节点的具体内容。如果不指定本参数,则显示符合条件的IPv4统计节点的具体内容。

【使用指导】

一个统计节点标识了连接数限制进行统计和限制的一个对象(一个连接或一类连接),包括该连接的报文特征(源/目的IP地址、服务端口号、传输层协议类型等)、对该连接所应用的连接限制策略、当前连接数目的统计值,以及当前是否允许创建新的连接。

如果指定sourcedestinationservice-port中的一个或多个参数,则表示将按照多个条件来显示统计节点列表,比如指定了source destination,则显示同时符合指定源IP地址和目的IP地址的统计节点列表。.

如果不指定sourcedestinationservice-port中任何一个参数,则表示显示所有的统计节点列表。

修改或删除连接数限制策略后,由该策略产生且已经生效的连接数限制统计节点不会受到影响。这些节点将在所统计的连接都断开后自动删除。

【举例】

# 显示全局的IPv4连接数限制统计节点个数。

<Sysname> display connection-limit stat-nodes global count

       Current limit statistic nodes count is 5.

# 显示指定slot上全局的IPv4连接数限制统计节点列表。(独立运行模式)

<Sysname> display connection-limit stat-nodes global slot 1

Slot 1:

 Src IP address          : Any

     VPN instance        : Vpn1

 Dst IP address          : 202.113.16.117

     VPN instance        : Vpn2

 DS-Lite tunnel peer     : --

 Service                 : icmp/0

 Limit rule ID           : 7(ACL: 3102)

 Sessions threshold Hi/Lo: 4000/3800

 Sessions count          : 1001

 New session flag        : Permit

表1-4 display connection-limit stat-nodes命令显示信息描述表

字段

描述

Src IP address

源IP地址

Dst IP address

目的IP地址

VPN instance

该地址所属的MPLS L3VPN的VPN实例名称,“--”表示不属于任何VPN

DS-Lite tunnel peer

DS Lite隧道ID,“--”表示不属于任何DS Lite Tunnel

Service

协议名及服务端口号。如果不是知名协议则显示为“unknown(xx)”,xx为协议编号,此时不显示服务端口号。其中,对于ICMP协议,括弧内的数字为ICMP的type和code字段组合表示的十六进制数所对应的十进制数

Limit rule ID

匹配的规则编号,括号里为匹配的ACL编号

Sessions threshold Hi/Lo

连接数限制的上限值及下限值

Sessions count

当前连接计数

New session flag

是否允许创建新连接,Permit表示允许创建,Deny表示不允许创建

说明

当连接数增长到上限值(max-amount)时,New session flag仍显示为Permit,但此时不允许创建新连接。只有连接数超过上限值,New session flag才会显示为Deny

 

【相关命令】

·     connection-limit policy

·     connection-limit apply global policy

·     connection-limit apply policy

·     limit

1.1.11  limit

limit命令用来配置连接数限制规则。

undo limit命令用来删除指定的连接数限制规则。

【命令】

IPv4连接数限制策略视图:

limit limit-id acl { acl-number | name acl-name } [ per-destination | per-service | per-source ] * amount max-amount min-amount

limit limit-id acl ipv6 { acl-number | name acl-name } per-ds-lite-b4 amount max-amount min-amount

undo limit limit-id

IPv6连接数限制策略视图:

limit limit-id acl ipv6 { acl-number | name acl-name } [ per-destination | per-service | per-source ] * amount max-amount min-amount

undo limit limit-id

【缺省情况】

不存在连接数限制规则。

【视图】

IPv4连接数限制策略视图

IPv6连接数限制策略视图

【缺省用户角色】

network-admin

【参数】

limit-id:连接数限制规则编号,取值范围为1~256。

acl:指定用于匹配用户范围的ACL。该连接限制规则仅对匹配ACL规则的用户连接数进行统计和限制。

ipv6:表示引用IPv6 ACL。若不指定该参数,则表示引用IPv4 ACL。

acl-number:ACL的编号,取值范围为2000~3999。

name acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。

per-destination:表示按目的地址进行统计和限制。

per-service:表示按服务(即按传输层协议和服务端口)进行统计和限制。

per-source:表示按源地址进行统计和限制。

per-ds-lite-b4:表示按照DS-Lite隧道的B4设备IPv6地址来进行统计和限制。该参数仅在IPv4连接数限制策略视图下存在。

max-amount:指定的连接数上限,取值范围为1~4294967295。某范围或某种类型的连接数值超过此值时,用户将不能建立新的连接。

min-amount:指定的连接数下限,取值范围为1~4294967295,不能大于max-amount的取值。连接数的统计值降到此值之下时,允许用户建立新的连接。

【使用指导】

每个连接数限制策略中可以定义多个规则,每个规则中需要指定引用的ACL、规则的类型以及统计的上下门限值。对于per-destinationper-sourceper-service类型,可以在一条规则中单独指定其中之一或指定它们的组合。例如,同时指定per-destinationper-source,就表示同时按照连接的报文源地址和目的地址进行统计和限制,具有相同源和目的的连接属于同一类连接,该类连接的数目将受到指定的阈值的限制。对于per-ds-lite-b4类型,只能在一条规则中单独指定。

对设备上建立的连接与某连接数限制策略进行匹配时,将按照规则编号从小到大的顺序依次遍历该策略中的所有规则,直到找到一条匹配的规则为止。

同一个连接数限制策略中的不同规则必须引用不同的ACL。

当引用的ACL内容发生改变时,设备将按照新的连接数限制策略重新对已有连接进行统计和限制。

如果per-destinationper-serviceper-source三个参数都不指定,则表示与本规则引用的ACL相匹配的所有连接将整体受到指定的阈值限制。

在DS-Lite隧道组网环境中,需要注意的是:

·     per-ds-lite-b4参数用于限制DS-Lite隧道每个B4设备连接的IPv4用户连接数,每个规则限制的B4设备由规则中指定的IPv6 ACL来匹配。

·     若AFTR设备上采用了Endpoint-Independent Mapping模式的NAT配置,则要基于B4设备来限制从IPv4外网主动访问IPv4内网的连接,配置了per-ds-lite-b4类型规则的连接数限制策略必须应用在DS-Lite隧道接口上或者应用在全局。

【举例】

# 在lPv4连接数限制策略1中创建一条规则,规则编号为1,引用ACL 3000,对匹配ACL 3000的连接同时按照报文的源地址和目的地址进行统计和限制,连接数的上限值为2000、下限值为1800。该规则用于限制192.168.0.0/24网段的每台主机最多只能同时向外网的同一个目的IP地址发起2000条连接,超过2000条时,需要等待连接数下降到1800以下之后,才允许新建连接。

<Sysname> system-view

[Sysname] acl advanced 3000

[Sysname-acl-ipv4-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255

[Sysname-acl-ipv4-adv-3000] quit

[Sysname] connection-limit policy 1

[Sysname-connlmt-policy-1] limit 1 acl 3000 per-destination per-source amount 2000 1800

# 在lPv6连接数限制策略12中创建一条规则,规则编号为2,引用ACL 2001,对匹配ACL 2001的连接按照报文的目的地址进行统计和限制,连接数的上限值为200、下限值为100。该规则用于限制2:1::/96网段的主机最多只能同时向外网的同一个目的IP地址发起200条连接,超过200条时,需要等待连接数下降到100以下之后,才允许新建连接。

<Sysname> system-view

[Sysname] acl ipv6 basic 2001

[Sysname-acl-ipv6-basic-2001] rule permit source 2:1::/96

[Sysname-acl-ipv6-basic-2001] quit

[Sysname] connection-limit ipv6-policy 12

[Sysname-connlmt-ipv6-policy-12] limit 2 acl ipv6 2001 per-destination amount 200 100

【相关命令】

·     connection-limit

·     display connection-limit

1.1.12  reset connection-limit statistics

reset connection-limit statistics命令用来清除连接数限制在全局或接口的统计信息。

【命令】

独立运行模式:

reset connection-limit statistics { global | interface interface-type interface-number } [ slot slot-number ]

IRF模式:

reset connection-limit statistics { global | interface interface-type interface-number } [ chassis chassis-number slot slot-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

network-operator

【参数】

global:清除全局的连接数限制统计信息。

interface interface-type interface-number:清除指定接口上的连接数限制统计信息,interface-type interface-number表示接口类型和接口编号。

slot slot-number:清除指定单板上全局或全局接口应用的连接数限制统计信息,slot-number表示单板所在的槽位号。该参数仅在指定清除全局的连接数限制统计信息,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(独立运行模式)

chassis chassis-number slot slot-number:清除指定成员设备的指定单板上全局或全局接口应用的连接数限制统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。该参数仅在指定清除全局的连接数限制统计信息,或上述指定的接口为全局类型的接口(例如VLAN接口、Tunnel接口)时可见。(IRF模式)

【举例】

# 清除指定slot上全局应用的连接数限制统计信息。(独立运行模式)

<Sysname> reset connection-limit statistics global slot 1

【相关命令】

·     display connection-limit statistics

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们