NAT连接统计与限制配置案例.docx
- 文档编号:4307740
- 上传时间:2022-11-29
- 格式:DOCX
- 页数:11
- 大小:41.29KB
NAT连接统计与限制配置案例.docx
《NAT连接统计与限制配置案例.docx》由会员分享,可在线阅读,更多相关《NAT连接统计与限制配置案例.docx(11页珍藏版)》请在冰豆网上搜索。
NAT连接统计与限制配置案例
AR18系列宽带路由器
NAT连接统计与限制配置案例
HangzhouHuawei-3ComTechnologyCo.,Ltd.
杭州华为3Com技术有限公司
Allrightsreserved
版权所有XX
目录
1应用说明4
2网络拓扑示意图4
3特性说明4
3.1NAT数据流分类配置4
3.2NAT连接统计及限制方式4
3.3NAT连接策略处理5
3.4特性使能配置5
3.5特性默认动作及默认连接数上下限5
4路由器配置实例5
4.1版本信息5
4.2配置实例1:
内网内每台路由器仅限10个对外连接(不区分业务)6
4.3配置实例2:
按业务类型对NAT连接进行限制7
4.4验证结果9
5参考资料10
关键词:
网络地址转换(NAT)
摘要:
路由器资源(系统资源以及接口带宽资源)是有限的,因此在NAT的应用环境中某一时刻路由器只能处理有限个连接。
当网络中存在诸如BT下载等流量抢占带宽时,或者中毒主机通过路由器对外发送大量数据流报文时,就会影响到其它用户对网络的正常访问。
AR18系列宽带路由器实现了基于配置策略下的NAT连接数统计与限制功能。
对于不同特征的连接,可以配置对应的统计与限制策略,达到不同连接不同处理的目的。
从而有效的避免上述情况。
缩略语:
缩略语
英文全名
中文解释
NAT
NetworkAddressTranslation
网络地址转换
ACL
AccessControlList
访问控制列表
1应用说明
NAT提供了一种连接内网和外网的方式,通过修改报文的源地址,使得内部网络可以访问外部Internet上的资源,从而有效的解决了IP地址资源短缺问题,并且可以对内部主机提供一定程度的隐私保护。
在支持NAT的路由器中保存有地址转换对应的表项,根据这些表项路由器可以对报文进行正确的处理实现NAT的功能。
由于路由器的内存资源有限,因此地址转换对应表项的个数就有一定的规格限制。
当达到规格限制时,后续要求进行地址转换的报文就不会被处理。
在正常规格限制的范围内,所有请求地址转换的报文都会被处理。
但很多时候,某些感染病毒、恶意攻击或内网中使用BT下载的主机,会发送大量的要求地址转换的连接,消耗出口带宽,并且导致路由器上创建大量的地址转换对应关系表项。
使得地址转换表项个数迅速达到规格限制。
此时,其他正常要求地址转换的连接将不会被处理。
这不仅会影响正常用户的使用,而且会占用大量的路由器资源,导致路由器性能迅速下降。
为了防止这种情况的发生,AR18系列宽带路由器实现了一种有效的解决方案。
就是在路由器上提供NAT连接统计和限制的功能。
利用数据流分类的技术划分不同特征的NAT转换请求连接,不同特征的数据流再配合以不同的策略处理,实现有效的数据管理,从而可以有效的防止部分用户抢占资源,阻碍其它用户通过NAT正常的使用网络。
2网络拓扑示意图
图1NAT应用环境下连接统计与限制解决方案
3特性说明
3.1NAT数据流分类配置
利用路由器提供的ACL技术可以进行数据流的分类配置。
NAT连接统计与限制特性支持标准的和扩展的ACL定义。
通过ACL的配置,可以有效的进行业务的分类或者进行主机的分类。
3.2NAT连接统计及限制方式
分为三种:
⏹按照源地址方式统计。
即统计限制某个源地址发起的连接。
⏹按照目的地址方式统计。
即统计限制到达某个目的地址的连接。
⏹按照服务方式统计。
即统计限制访问某个服务的连接。
(服务使用目的端口进行标示)
每种方式可以单独使用,也可以组合使用。
对于按照源地址(目的地址、服务)统计的方式,如果源地址(目的地址、目的端口)为0,将不会被统计和限制。
比如,对于NATALG处理中,使用三元组(源地址,源端口,协议)创建的地址转换对应关系表项,如果按照目的地址或(和)服务方式进行统计和限制,则此种表项就不会被统计和限制。
3.3NAT连接策略处理
根据配置的连接上下限两个阈值对连接数进行限制。
当连接数到达上限时,禁止连接建立,此后,只有连接降到下限或下限以下时才允许连接继续建立。
3.4特性使能配置
连接统计与限制特性提供了开关命令,方便在适当的场合打开连接统计与限制功能,在不需要的场合关闭此功能。
NAT连接限制策略由一系列的子规则组成,其中子规则规定了对指定特征的连接的统计方式和限制方式。
可配置的策略号取值范围是0~19,即,最多可以配置20个连接统计与限制策略。
子规则号的取值范围是0~255,即,每条策略下最多可以配置256条子规则。
3.5特性默认动作及默认连接数上下限
连接统计与限制特性默认动作定义了当一条连接查不到匹配的子规则时所做的动作。
默认动作有两种,即做统计和限制、不做统计和限制。
当默认动作为做统计和限制时,使用默认的上下限,使用源地址统计方式。
连接统计与限制默认连接数上下限定义了默认情况下的上下限两个阈值。
可以根据实际情况通过命令行调整。
4路由器配置实例
4.1版本信息
该特性在VRP3.40Release0201版本引入,在路由器上可以通过displayversion命令查询。
HuaweiVersatileRoutingPlatformSoftware
VRPsoftware,Version3.40,Release0201
Copyright(c)1998-2006HuaweiTechnologiesCo.,Ltd.Allrightsreserved.
Withouttheowner'spriorwrittenconsent,nodecompiling
norreverse-engineeringshallbeallowed.
QuidwayAR18-21uptimeis0week,2days,22hours,2minutes
Lastreboot2000/01/0100:
00:
00
CPUtype:
PowerPC8247266MHz
64MbytesSDRAMMemory
8MbytesFlashMemory
0KbytesNvRAMMemory
PcbVersion:
4.0
LogicVersion:
1.0
BootROMVersion:
9.01
[SLOT1]4LS(Hardware)4.0,(Driver)1.0,(Cpld)1.0
[SLOT2]1FE(Hardware)4.0,(Driver)1.0,(Cpld)1.0
4.2配置实例1:
内网内每台路由器仅限10个对外连接(不区分业务)
#
sysnameQuidway
#---使能NAT连接统计与限制特性。
#---不在NAT连接限制策略内的所有NAT连接不进行限制,允许建立HASH表项
#
connection-limitenable
connection-limitdefaultactiondeny
connection-limitdefaultamount5020
#---使能DNS代理,这样不必记录远端提供的dns地址,直接将路由器做为dns的代理进行dns解析。
#
dns-proxyenable
#
webset-packageforceflash:
/http.zip
#
radiusschemesystem
#
domainsystem
#
#---访问控制列表进行数据流的分类。
#---定义进行NAT转换的数据流,所有源地址为10.10.10.x/24的数据流进行NAT转换。
#---定义进行NAT连接策略限制的数据流,内网10.10.10.0的所有主机。
aclnumber2000
rule0permitsource10.10.10.00.0.0.255
#
#---NAT连接限制的策略定义。
#---子规则1:
内网10.10.10.0的所有主机每台仅限10个连接。
#---当连接数超过10个,禁止该主机继续建立连接.该主机的NAT连接数降到9或以下时才允许连接继续建立。
connection-limitpolicy0
limit0acl2000per-sourceamount109
#---给内网提供DHCPServer的服务。
#
interfaceEthernet1/0
ipaddress10.10.10.1255.255.255.0
dhcpselectinterface
dhcpserverdns-list10.10.10.1
dhcpserverdomain-namehuawei-
dhcpservernbns-list10.153.0.11
#
interfaceEthernet1/1
#
interfaceEthernet1/2
#
interfaceEthernet1/3
#
interfaceEthernet1/4
#---远端提供DHCP方式接入。
从这个接口路由出去的在访问控制列表定义内报文进行NAT转换。
#
interfaceEthernet2/0
ipaddressdhcp-alloc
natoutbound2000
#
interfaceNULL0
#---指定NAT连接限制使用的策略
#
natconnection-limit-policy0
#
user-interfacecon0
idle-timeout00
user-interfacevty04
#
return
4.3配置实例2:
按业务类型对NAT连接进行限制
#
sysnameQuidway
#---使能NAT连接统计与限制特性。
#---不在NAT连接限制策略内的所有NAT连接按缺省配置处理,最大可处理50个表项。
超出后,只有连接#------数降到20以下,才允许继续建立连接。
#
connection-limitenable
connection-limitdefaultactionpermit
connection-limitdefaultamount5020
#---使能DNS代理,这样不必记录远端提供的dns地址,直接将路由器做为dns的代理进行dns解析。
#
dns-proxyenable
#
webset-packageforceflash:
/http.zip
#
radiusschemesystem
#
domainsystem
#---访问控制列表进行数据流的分类。
#---定义进行NAT转换的数据流,所有源地址为10.10.10.x/24的数据流进行NAT转换。
#
aclnumber2000
rule0permitsource10.10.10.00.0.0.255
#---定义进行NAT连接策略限制的数据流,内网10.10.10.0的所有主机发送的ICMP报文
#
aclnumber3000
rule0permiticmp
#---定义进行NAT连接策略限制的数据流,内网10.10.10.0的所有主机发送的FTP连接报文
aclnumber3001
rule0permittcpsource10.10.10.00.0.0.255destination-porteqftp
#---NAT连接限制的策略定义。
#---子规则1:
内网10.10.10.0的所有主机ping操作通过NAT网关的连接数为5,如果同时超过5,抑制新
#------连接建立,直到这5个连接表项超时删除。
这样配置可以避免中冲击波主机对外发送大量扫描报文。
#---子规则2:
内网每台主机可以对外发起的ftp连接数为20。
#---子规则3:
如上的规则没有匹配的,在这里进行匹配。
也就是说除了ICMP报文、FTP连接报文外,
#------每台主机还可以建立的连接数20。
这里主要可以用来限制BT流量。
#
connection-limitpolicy0
limit1acl3000per-serviceamount50
limit2acl3001per-sourceper-serviceamount2019
limit3acl2000per-sourceamount2019
#---给内网提供DHCPServer的服务。
#
interfaceEthernet1/0
ipaddress10.10.10.1255.255.255.0
dhcpselectinterface
dhcpserverdns-list10.10.10.1
dhcpserverdomain-namehuawei-
dhcpservernbns-list10.153.0.11
#
interfaceEthernet1/1
#
interfaceEthernet1/2
#
interfaceEthernet1/3
#
interfaceEthernet1/4
#---远端提供DHCP方式接入。
从这个接口路由出去的在访问控制列表定义内报文进行NAT转换。
#
interfaceEthernet2/0
ipaddressdhcp-alloc
natoutbound2000
#
interfaceNULL0
#
user-interfacecon0
idle-timeout00
user-interfacevty04
#
return
4.4验证结果
验证特性是否生效,可以接入用户通过以下几个步骤进行检测:
⏹配置完毕清除NATSession表项(执行resetnatsession)
⏹是否产生了NATSession表项(disnatsess是否有输出),如果没有检查基本nat配置。
⏹是否有natconnection统计输出(disnatconnection-limit)
source-ipdest-ipdest-portvpn-instance
10.10.10.3---------
-------------------------------------------------------------------------------
NATamountupper-limitlower-limitlimit-flag
120190
source-ipdest-ipdest-portvpn-instance
10.10.10.2---------
-------------------------------------------------------------------------------
NATamountupper-limitlower-limitlimit-flag
220190
source-ipdest-ipdest-portvpn-instance
10.10.10.2---21---
-------------------------------------------------------------------------------
NATamountupper-limitlower-limitlimit-flag
220190
source-ipdest-ipdest-portvpn-instance
------512---
-------------------------------------------------------------------------------
NATamountupper-limitlower-limitlimit-flag
1500
5参考资料
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- NAT 连接 统计 限制 配置 案例