13-连接数限制配置
本章节下载: 13-连接数限制配置 (181.26 KB)
本功能仅CSPEX-1204的单板支持。
图1-1所示的组网环境中,通常会遇到以下两类网络问题:某内网用户在短时间内经过设备向外部网络发起大量连接,导致设备系统资源迅速消耗,其它内网用户无法正常使用网络资源;某内部服务器在短时间内接收到大量的连接请求,导致该服务器忙于处理这些连接请求,以至于不能再接受其它客户端的正常连接请求。
连接数限制通过对设备上建立的连接数进行统计和限制,能够有效解决以上问题,实现保护内部网络资源(主机或服务器)以及合理分配设备系统资源的目的。
目前,设备支持基于User profile的连接数限制。用户通过身份认证上线后,认证服务器会将与用户帐户绑定的User Profile名称下发给设备,若设备上指定名称的User Profile中定义了连接数限制策略(最大连接数、最大连接速率),则该用户的访问连接数或连接速率将受到限制。当用户下线时,系统会自动取消相应的限制。关于User Profile的详细介绍请参见“安全配置指导”中的“User Profile”。
配置连接数限制功能时,请不要在User Profile下应用CAR策略。关于在User Profile下应用CAR策略的详细内容,请参见“ACL和QoS配置指导”中的“QoS”。
通过向上线用户下发User Profile来控制每一个用户的连接数以及连接速率,可以更为精确地分配系统资源,提高多用户连接时的访问效率。
基于User Profile的连接数限制需要与认证服务器配合使用。
· 若用户采用远程认证,则需要在远程认证服务器上指定与该用户帐户相关联的User Profile。
· 若用户采用本地认证,则需要在设备对应的本地用户视图中指定该用户的授权User Profile。关于本地用户的相关配置,请参见“安全配置指导”中的“AAA”。
用户通过身份认证后,设备首先会查找设备上对应的User Profile配置,若找到相应的User Profile且该其视图中存在具体的连接数限制设置,则设备将根据该设置对用户进行访问限制;若未找到相应的User Profile或者查找到的User Profile中无连接数限制配置,则用户正常上线,不受影响。
需要注意的是,如果需要配置最大连接数和最大用户新建连接速率两个功能,这两个功能必须同时配置。
表1-1 配置基于User Profile的连接数限制
创建User Profile并进入相应的user-profile视图 |
如果指定的User Profile已经存在,则直接进入相应的user-profile视图 进入user-profile视图后,其下的配置只在User Profile下发成功后生效 关于本命令的详细介绍,请参见“安全命令参考”中的“User Profile” |
|
在某校园网络中,所有用户均需要通过AAA认证后才能访问外部网络。因为老师要上传/下载课件、网上视频教学和答疑,所以需要优先保证老师的连接需求,其次满足学生的连接需求。为满足以上需求,要求在接入设备上限制每个老师用户同一时间最多只能与外网建立100条连接,每个学生用户同一时间最多只能与外网建立10条连接。
配置老师帐户和学生帐户,并指定老师帐户和学生帐户的User Profile属性名分别为teacher和student,详细配置此处略。
# 配置AAA认证。AAA认证相关的详细配置请结合具体的认证方式完成,此处略。
# 创建老师用户的User Profile,且配置连接数限制为100条,当老师用户认证成功上线后,最多只能与外网建立100条连接。
[Device] user-profile teacher
[Device-user-profile-teacher] connection-limit amount 100
[Device-user-profile-teacher] quit
# 创建学生用户的User Profile,且配置连接数限制为10条,当学生用户认证成功上线后,最多只能与外网建立10条连接。
[Device-user-profile-student] connection-limit amount 10
[Device-user-profile-student] quit
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!