如何限制单个IP的连接数？

您好，请知：

以下是连接数限制的配置案例，请参考：

1.8  连接数限制典型配置举例

1.8.1  基于接口的连接数限制配置举例

1. 组网需求

某公司拥有202.38.1.1/24至202.38.1.5/24五个公网IP地址，内部网络地址为192.168.0.0/16。通过配置NAT使得内部网络主机可以访问Internet，并提供两台内部服务器供外网访问。为保护内部网络及网络资源，需要进行以下限制：

·     192.168.0.0/24网段的全部主机总共最多只能与外网建立100000条连接。

·     192.168.0.0/24网段的每台主机最多只能与外网建立100条连接。

·     最多允许10000个DNS客户端同时向DNS服务器发送查询请求。

·     最多允许10000个Web客户端同时向Web服务器发送连接请求。

2. 组网图

图1-2 基于接口的连接数限制配置组网图

‌

3. 配置步骤

# 创建ACL 3000，定义允许内网所有主机发送的报文通过。

<Device> system-view

[Device] acl advanced 3000

[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255

[Device-acl-ipv4-adv-3000] quit

# 创建ACL 3001，定义允许访问Web Server和DNS Server的报文通过。

[Device] acl advanced 3001

[Device-acl-ipv4-adv-3001] rule permit ip destination 192.168.0.2 0

[Device-acl-ipv4-adv-3001] rule permit ip destination 192.168.0.3 0

[Device-acl-ipv4-adv-3001] quit

# 创建连接数限制策略1。

[Device] connection-limit policy 1

# 配置连接数限制规则1，允许匹配ACL 3000的全部主机总共最多只能与外网建立100000条连接，超过100000时，需要等连接数恢复到95000以下才允许建立新的连接。

[Device-connlmt-policy-1] limit 1 acl 3000 amount 100000 95000

# 配置连接数限制规则2，允许匹配ACL 3001的服务器最多接受10000条连接请求，超过10000时，需要等连接数降到9800以下才允许建立新的连接。

[Device-connlmt-policy-1] limit 2 acl 3001 per-destination amount 10000 9800

[Device-connlmt-policy-1] quit

# 创建连接数限制策略2。

[Device] connection-limit policy 2

# 配置连接数限制规则1，允许匹配ACL 3000的每台主机最多只能与外网建立100条连接，超过100时，需要等连接数恢复到90以下才允许建立新的连接。

[Device-connlmt-policy-2] limit 1 acl 3000 per-source amount 100 90

[Device-connlmt-policy-2] quit

# 在全局应用连接数限制策略1。

[Device] connection-limit apply global policy 1

# 在入接口Ten-GigabitEthernet1/2/4/1上应用连接数限制策略2。

[Device] interface ten-gigabitethernet 1/2/4/1

[Device-Ten-GigabitEthernet1/2/4/1] connection-limit apply policy 2

[Device-Ten-GigabitEthernet1/2/4/1] quit