- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
25-会话限制
本章节下载: 25-会话限制 (311.29 KB)
通过会话限制(session-limit)的策略配置,可以基于用户、源地址、目的地址、服务、时间对设备上建立的会话连接数进行限制,并且可以对限制策略的结果进行统计。防止大量新建会话导致影响正常业务,保护内部网络资源。
通过会话限制策略,可以对指定范围内用户的会话连接数及每秒新建连接数进行限制。匹配到限制策略且达到限制值时,设备将阻断新建会话连接并记录阻断日志。
设备支持基于“地址对象”或“用户”进行会话限制:
· 基于地址对象
¡ 支持基于源、目的地址对象进行会话限制;
¡ 对于源、目的地址对象,支持单向、双向两种匹配方式;
¡ 支持每IP会话、所有IP两种会话限制方式:
- 每IP会话限制:对每个IP会话总数及每秒新建总数的限制;
- 会话总数限制:对策略范围内的地址对象能够使用的会话总数和每秒新建总数的限制。
· 基于用户
在指定范围内的用户会受到会话限制策略的限制,支持每用户和所有用户会话限制。
同时,会话限制策略可以选择服务和时间对象进行匹配。
点击导航栏的“策略配置 > 会话控制管理”,进入会话限制的显示页面,如图1-1所示。在会话限制页面中,点击<新建>按钮,会切换到新建的页面,如图1-2所示。
表1-1 会话限制详细信息描述表
|
配置项 |
说明 |
|
策略名称 |
会话控制策略名称。 |
|
启用 |
勾选的时候会话控制策略才会生效,去勾选会话控制策略不会生效。 |
|
限制类型 |
地址对象:基于地址对象维度进行匹配 用户:基于用户或用户组进行匹配 |
|
限制方式 |
基于地址对象的时候,限制方式为: 每IP:每IP会话限制包含表示对每个IP会话总数和每秒新建总数的限制。 所有IP:在限制范围内的会话共用一个规格,是对总数的限制。 基于用户对象的时候,限制方式为: 每用户:每用户会话限制包含表示对每个用户会话总数和每秒新建总数的限制 所有用户:在限制范围内的会话共用一个规格,是对总是的限制。 |
|
用户 |
可以匹配用户、用户组、排除用户以及排除用户组。 |
|
双向匹配 |
只有基于地址对象的时候才可以配置双向匹配。 比如配置了A --> any并选择了单向限制,那么只有A主动发起的连接才会被限制,其他IP向A发起的连接不会被限制;开启了双向限制后,只要是向A发起的连接都会被限制。 |
|
服务 |
支持选择一个服务对象。支持自定义、预定义、服务对象组。 |
|
时间 |
支持添加一个时间对象。在此时间范围内的会话才可能会被限制。 |
|
会话限制 |
当前地址对象中每个IP地址能存在的最大会话数。 |
|
每秒新建限制 |
当前地址对象中每个IP地址每秒能创建的最大会话数。 |
|
日志 |
支持日记记录开关,日志记录在系统日志。被限制可以存在的最大会话数 |
如图1-3所示,点击导航栏的“策略配置 > 会话控制管理 > 每IP会话限制”,进入会话限制的显示页面。在每IP会话限制页面中,点击对应地址对象后的<编辑>按钮,会切换到编辑的页面,可以对所选地址对象的会话限制数、每秒新建限制数进行编辑。
如图1-4所示,点击导航栏的“策略配置 > 会话控制管理”,再点击限制阻断标签页,显示设备上被阻断的IP的信息。
表1-2 限制阻断详细信息描述表
|
配置项 |
说明 |
|
查询 |
要查找的指定的IP信息 |
只有配置了会话限制,才会进行限制阻断的统计。
对用户any进行会话限制,会话数和每秒新建数都限制为10,配置完成后查看其限制结果。
(1) 如图1-5示,通过菜单“策略配置 > 会话控制管理 > 每IP会话限制”打开会话限制页面。
(2) 如图1-6所示,点击<新建>按钮,在弹出的页面进行配置并提交。
(1) 如图1-7所示,回到显示页面,可以看到我们配置的规则。
(2) 如图1-8所示,点击限制阻断,可以看到会话限制的结果。以IP198.168.200.36为例,我们可以看到它当前的连接数被限制为10,再看限制阻断统计那一项,我们可以看到,有1737个会话连接被阻断了。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
