Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1330307
  • 博文数量: 464
  • 博客积分: 9399
  • 博客等级: 中将
  • 技术积分: 6364
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-19 09:15
文章分类

全部博文(464)

文章存档

2014年(12)

2013年(123)

2012年(173)

2011年(156)

我的朋友

分类: 系统运维

2011-05-04 16:11:21


NAT连接数限制功能的配置一、组网需求:
MSR作为出口NAT路由器,对内部主机192.168.0.3作最多2个NAT会话限制,对192.168.0.2作缺省最多1个NAT会话限制,其余主机不作限制。
设备清单:MSR系列路由器1台
二、组网图:






三、配置步骤:
MSR配置




//使能连接限制,必须配置


connection-limit enable


//对缺省连接数量上限配置为1,下限为0,达到上限后开始限制,只有达到下限后才允许新建会话


connection-limit default amount upper-limit 1 lower-limit 0


#



//定义连接限制策略,索引0


connection-limit policy 0


//对匹配ACL2000的数据流采用缺省连接限制,即上限1,下限0


limit 0 acl 2000


//对匹配ACL2001的数据流采用上限2,下限1的会话数量限制


limit 1 acl 2001 per-source amount 2 1


//定义各ACL,其中ACL2002用于NAT转换,2000和2001用于连接限制


acl number 2000

rule 0 permit source 192.168.0.2 0

acl number 2001

rule 0 permit source 192.168.0.3 0

acl number 2002

rule 0 permit source 192.168.0.0 0.0.0.255

//连接公网接口配置

interface GigabitEthernet0/0

port link-mode route

ip address 1.2.0.1 255.255.255.0

nat outbound 2002

//连接内网接口配置

interface GigabitEthernet0/1

port link-mode route

ip address 192.168.0.1 255.255.255.0

//路由配置


ip route-static 0.0.0.0 0.0.0.0 1.2.0.254

//使能NAT的连接限制,即指定一个策略索引

nat connection-limit-policy 0
四、配置关键点:
1) 必须要使能connection-limit;
2) 如果不配置connection-limit default amout,那么该例中对策略0的ACL 2000不作限制;
3) 必须要定义connection-limit policy,因为NAT连接限制必须指定策略;
4) 如果连接限制策略中如果只指定ACL,不对per-source、per-destination、per-service进行指定则采取connection-limit default进行限制,如果connection-limit没有配置,则不作限制;
5) 如果连接限制策略中对ACL进行了进一步per-source、per-destination、per-service的限制,则以此配置为准而不采取connection-limit default限制;
6) 如果不符合连接限制策略的ACL匹配,则不做限制;
7) NAT中必须指定连接限制策略,否则任何限制不生效。

       


阅读(1769) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~