- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
51-会话控制典型配置举例
本章节下载: 51-会话控制典型配置举例 (332.48 KB)
通过会话限制(session-limit)的策略配置,可以基于用户、源地址、目的地址、服务、时间对设备上建立的会话连接数进行限制,并且可以对限制策略的结果进行统计。防止大量新建会话导致影响正常业务,保护内部网络资源。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解会话控制管理的特性。
如图1所示,设备以网关模式部署在网络中,内网用户网段为:15.15.15.0/24,服务器网段为:16.16.16.0/24,内网用户通过设备可以访问外网及内部服务器。
· 对内网用户网段访问服务器网段的会话进行限制,最大会话数及每秒新建会话数限制为10,超过限制时,设备将阻断新建会话连接并记录阻断日志。
· 基于指定用户进行会话限制,超过最大限制数将阻断该用户的会话连接并记录日志。
· 配置地址对象
· 配置用户
· 配置会话控制策略
本举例是在R6618版本上进行配置和验证的。
(1) 配置地址对象。
如图2、图3所示,通过菜单“策略配置> 对象管理> 地址对象”,创建两个地址对象。
图2 配置地址对象-源地址
图3 配置地址对象-目的地址
(2) 配置用户。
如下图所示,通过菜单“用户管理> 用户组织结构”,单击“新建”,新建用户“test1”绑定地址范围。
图4 配置用户
(3) 配置会话控制策略。
通过菜单“策略配置> 会话控制管理”,单击“新建”,新建两条会话控制策略,限制类型分别为基于“地址对象”和基于“用户”,如图5、图6所示。
图5 配置会话限制策略-基于地址对象
图6 配置会话限制策略-基于用户对象
图7 会话限制策略列表
· 编辑会话限制策略会清空限制阻断列表。
· 命中基于“所有IP/所有用户”的会话限制策略,在限制阻断表中不展示IP地址或用户,用”-“表示。
· 限制阻断列表最多记录30W条记录,到达规格后,再新建的会话不受限制。
· 用户下线阻断列表将会清除。
· 修改会话限制策略会清空阻断列表,但是会话还在(清会话会影响转发业务),只有新建的会话会产生阻断记录。
· 基于用户的会话限制策略不存在双向匹配。
(1) 基于地址对象进行会话阻断。
通过菜单“策略配置> 会话控制管理>限制阻断”,查看会话限制的结果。以IP:15.15.15.10为例,可以查看当前IP地址的连接数和限制阻断统计数。如下图所示,当前的连接数被限制为10,已有1074个会话连接被阻断。
图8 限制阻断列表
(2) 基于用户对象进行会话阻断,将前面的一条会话控制策略禁用。
通过菜单“策略配置> 会话控制管理>限制阻断”,可以查看会话限制结果,以用户“test1”为例,可以查看该用户当前的连接数被限制数,以及已被阻断的会话连接数。
图9 限制阻断列表
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
