- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
25-会话限制
本章节下载: 25-会话限制 (241.92 KB)
通过会话限制(session-limit)的策略配置,可以基于用户、源地址、目的地址、服务、时间对设备上建立的会话连接数进行限制,并且可以对限制策略的结果进行统计。防止大量新建会话导致影响正常业务,保护内部网络资源。
通过会话限制策略,可以对指定范围内用户的会话连接数及每秒新建连接数进行限制。匹配到限制策略且达到限制值时,设备将阻断新建会话连接并记录阻断日志。
设备支持基于“地址对象”或“用户”进行会话限制:
· 基于地址对象
¡ 支持基于源、目的地址对象进行会话限制;
¡ 对于源、目的地址对象,支持单向、双向两种匹配方式;
¡ 支持每IP会话、所有IP两种会话限制方式:
- 每IP会话限制:对每个IP会话总数及每秒新建总数的限制;
- 会话总数限制:对策略范围内的地址对象能够使用的会话总数和每秒新建总数的限制。
· 基于用户
在指定范围内的用户会受到会话限制策略的限制,支持每用户和所有用户会话限制。
同时,会话限制策略可以选择服务和时间对象进行匹配。
点击导航栏的“策略配置 > 会话控制管理”,进入会话限制的显示页面,如图1-1所示。在会话限制页面中,点击<新建>按钮,进入新建会话限制页面,可选择基于地址对象进行限制,如图1-2所示;也可选择基于用户进行限制,如图1-3所示。
图1-2 会话限制配置页面-基于地址对象
图1-3 会话限制配置页面-基于用户
表1-1 会话限制详细信息描述表
|
配置项 |
说明 |
|
策略名称 |
会话控制策略名称。 |
|
启用 |
勾选后会话控制策略才会生效。 |
|
限制类型 |
选择会话限制策略的限制类型: · 地址对象:基于地址对象对会话限制策略进行匹配。 · 用户:基于用户或用户组对会话限制策略进行匹配。 |
|
基于地址对象 |
|
|
限制方式 |
限制类型选择“地址对象”时,可选择“每IP”或“所有IP”两种限制方式: · 每IP:对每个IP会话总数和每秒新建总数的限制; · 所有IP:对策略范围内的地址对象能够使用的会话总数和每秒新建总数的限制,限制范围内的会话共用一个规格,是对总数的限制。 |
|
源地址 |
选择策略匹配的源地址对象或地址组对象,默认为any。 |
|
目的地址 |
选择策略匹配的目的地址对象或地址组对象,默认为any。 |
|
双向匹配 |
限制类型选择“地址对象”时,可以勾选双向匹配,表示不区分会话的方向,不勾选为“单向匹配”,表示区分会话方向。 例如:配置源目地址对象分别为A和B。 · 勾选“双向匹配”时, A -> B的会话和B -> A的会话都会受到限制。 · 不勾选时,为“单向匹配”,仅会限制A -> B会话的新建。 |
|
基于用户 |
|
|
限制方式 |
限制类型选择“用户”时,可选择“每用户”或“所有用户”两种限制方式: · 每用户:对每个用户会话总数和每秒新建总数的限制; · 所有用户:对策略范围内的用户能够使用的会话总数和每秒新建总数的限制,在限制范围内的会话共用一个规格,是对总数的限制。 |
|
用户 |
选择匹配或排除的用户及用户组,在指定范围内的用户会受到会话限制策略的限制。 |
|
服务 |
选择一个策略匹配的服务对象。支持自定义、预定义、服务对象组。 |
|
时间 |
添加一个策略匹配的时间对象。在此时间范围内的会话才可能会被限制。 |
|
会话限制 |
被限制可以存在的最大会话数。 |
|
每秒新建限制 |
每秒可以新建的最大会话数。 |
|
日志 |
支持日记记录开关,如命中会话限制策略,在系统日志中可以查看阻断会话的相关信息。 |
如图1-4所示,点击导航栏的“策略配置 > 会话控制管理”,再点击限制阻断标签页,显示设备上被阻断的IP地址/用户、限制阻断统计及命中的策略名称等信息。
· 当限制方式为“每IP”或“每用户”限制时,“IP地址/用户”列的内容显示被阻断的IP地址或用户名;
· 当限制方式为“所有IP”或“所有用户”时,“IP地址/用户”列的内容显示为“-”。
只有配置了会话限制,才会进行限制阻断的统计。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
