AR28、AR46系列路由器NAT连接数限制配置案例
一、 案例介绍
某用户配置完NAT连接数限制的命令后,发现当某地址的连接数小于最高阀值时,新的连接无法建立。具体配置如下:
connection-limit enable //开启连接统计模块功能
connection-limit default deny //设置默认动作为禁止统计
connection-limit policy 0 //设置连接数限制策略
limit 0 acl 2000 per-source amount 100 80
//对ACL2000中每个源IP地址连接数上限100下限80
limit 1 acl 2001 per-source amount 50 40
//对ACL2001中每个源IP地址连接数上限50下限40
nat connection-limit-policy 0
//在nat中应用连接数限制策略(该命令必选,否则所设策略不起作用)
二、 案例分析
通过输入命令“disp nat connection-limit”,显示如下:
source-ip dest-ip dest-port vpn-instance
192.168.30.106 --- --- ---
-------------------------------------------------------------------------------
NAT amount upper-limit lower-limit limit-flag
1 30 1 0
source-ip dest-ip dest-port vpn-instance
192.168.30.109 --- --- ---
-------------------------------------------------------------------------------
NAT amount upper-limit lower-limit limit-flag
6 30 1 1
source-ip dest-ip dest-port vpn-instance
192.168.30.118 --- --- ---
-------------------------------------------------------------------------------
NAT amount upper-limit lower-limit limit-flag
7 30 1 0
source-ip dest-ip dest-port vpn-instance
从显示内容可知,当前连接数小于上限30的limit-flag为0,可以继续建立新连接,当前连接数大于上限30的limit-flag为1,不可以建立新连接。
因而无法新建连接的原因在于,192.168.30.109该IP曾经达到过上限,limit-flag置为1后,由于下限设置过小为1,造成当前连接数很难降到下限,需要等所有连接超时后才能将limit-flag置为0,造成很长时间无法建立新连接,影响正常使用。
更改用户配置下限改为20,即连接数降到20后limit-flag置为0,继续建立新连接上网。
三、 案例拓展
如果用户有这种需求,网段内有某一台服务器不想做连接数限制,能否使用acl的rule deny动作把他们给剔除掉.(我们的理解是一般应用引用acl时deny不生效,除非包过滤)。可以如下配置,192.168.0.2此用户不受nat连接数限制。
connection-limit enable
connection-limit default deny
acl number 2000
rule 0 deny source 192.168.0.2 0 \\禁止此用户做nat连接数限制.
rule 1 permit source 192.168.0.0 0.0.0.255
connection-limit policy 0
limit 0 acl 2000 per-source amount 10 5
nat connection-limit-policy 0
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作