對於網絡管理人員來說,最頭疼的無非是帶寬永遠都無法滿足下面員工的需求,經常有人抱怨網速慢的問題。以筆者的經驗看,佔用帶寬最多的還是來自於p2p下載和視頻網站。有什麼好辦法可以有效解決這個問題呢?最近使用H3C SECPATH的nat 連接數限制來,可以在一定程度上做到。
設備:h3c secpath F1000-A
功能:NAT 連接數限制
步驟:
一:使用連接數限制
connection-limit enable //使用連接數限制功能
connection-limit default deny //默認操作爲deny
connection-limit default amount upper-limit 50 lower-limit 20 //默認上限連接數爲50,下限爲20
二:配置ACL
acl number 2007
description Nat-Limit-Acl
rule 10 permit source 172.17.16.0 0.0.0.255 //匹配172.17.16.0/24網段
rule 20 permit source 172.17.17.0 0.0.0.255 //匹配172.17.17.0/24網段
rule 30 permit source 172.17.18.0 0.0.0.255 //匹配172.17.18.0/24網段
三:建立策略
connection-limit policy 0 //建立策略0
limit 0 acl 2007 per-source amount 200 150 //匹配ACL2007中,每個源地址的連接上限爲200,連接下限爲150.
四:使用策略
system-view下:
nat connect-limit-policy 0 //啓用剛剛設立的策略
註釋:連接上限指的是,當一臺電腦的nat連接數達到200個時,將執行上面設定的deny操作,此時用戶將無法繼續上網。用戶斷網後,連接數將逐步減少,當連接數少於150個的連接下限時,用戶將被“解禁”,可以繼續上網。連接數的多少,看大家的實際情況而定,可能自由更改。