NAT连接统计与限制配置案例.docx

1、NAT连接统计与限制配置案例AR18系列宽带路由器NAT连接统计与限制配置案例Hangzhou Huawei-3Com Technology Co., Ltd. 杭州华为3Com技术有限公司All rights reserved版权所有 XX目 录1 应用说明 42 网络拓扑示意图 43 特性说明 43.1 NAT数据流分类配置 43.2 NAT连接统计及限制方式 43.3 NAT连接策略处理 53.4 特性使能配置 53.5 特性默认动作及默认连接数上下限 54 路由器配置实例 54.1 版本信息 54.2 配置实例1：内网内每台路由器仅限10个对外连接（不区分业务） 64.3 配置实例2：

2、按业务类型对NAT连接进行限制 74.4 验证结果 95 参考资料 10关键词：网络地址转换(NAT)摘 要：路由器资源（系统资源以及接口带宽资源）是有限的，因此在NAT的应用环境中某一时刻路由器只能处理有限个连接。当网络中存在诸如BT下载等流量抢占带宽时，或者中毒主机通过路由器对外发送大量数据流报文时，就会影响到其它用户对网络的正常访问。AR 18系列宽带路由器实现了基于配置策略下的NAT连接数统计与限制功能。对于不同特征的连接，可以配置对应的统计与限制策略，达到不同连接不同处理的目的。从而有效的避免上述情况。缩略语：缩略语英文全名中文解释NATNetwork Address Transla

3、tion网络地址转换ACLAccess Control List访问控制列表1 应用说明NAT提供了一种连接内网和外网的方式，通过修改报文的源地址，使得内部网络可以访问外部Internet上的资源，从而有效的解决了IP地址资源短缺问题，并且可以对内部主机提供一定程度的隐私保护。在支持NAT的路由器中保存有地址转换对应的表项，根据这些表项路由器可以对报文进行正确的处理实现NAT的功能。由于路由器的内存资源有限，因此地址转换对应表项的个数就有一定的规格限制。当达到规格限制时，后续要求进行地址转换的报文就不会被处理。在正常规格限制的范围内，所有请求地址转换的报文都会被处理。但很多时候，某些感染病毒、

4、恶意攻击或内网中使用BT下载的主机，会发送大量的要求地址转换的连接，消耗出口带宽，并且导致路由器上创建大量的地址转换对应关系表项。使得地址转换表项个数迅速达到规格限制。此时，其他正常要求地址转换的连接将不会被处理。这不仅会影响正常用户的使用，而且会占用大量的路由器资源，导致路由器性能迅速下降。为了防止这种情况的发生，AR 18系列宽带路由器实现了一种有效的解决方案。就是在路由器上提供NAT连接统计和限制的功能。利用数据流分类的技术划分不同特征的NAT转换请求连接，不同特征的数据流再配合以不同的策略处理，实现有效的数据管理，从而可以有效的防止部分用户抢占资源，阻碍其它用户通过NAT正常的使用网络

5、。2 网络拓扑示意图图1 NAT应用环境下连接统计与限制解决方案3 特性说明3.1 NAT数据流分类配置利用路由器提供的ACL技术可以进行数据流的分类配置。NAT连接统计与限制特性支持标准的和扩展的ACL定义。通过ACL的配置，可以有效的进行业务的分类或者进行主机的分类。3.2 NAT连接统计及限制方式分为三种： 按照源地址方式统计。即统计限制某个源地址发起的连接。 按照目的地址方式统计。即统计限制到达某个目的地址的连接。 按照服务方式统计。即统计限制访问某个服务的连接。（服务使用目的端口进行标示）每种方式可以单独使用，也可以组合使用。对于按照源地址（目的地址、服务）统计的方式，如果源地址（目

6、的地址、目的端口）为0，将不会被统计和限制。比如，对于NAT ALG处理中，使用三元组（源地址，源端口，协议）创建的地址转换对应关系表项，如果按照目的地址或（和）服务方式进行统计和限制，则此种表项就不会被统计和限制。3.3 NAT连接策略处理根据配置的连接上下限两个阈值对连接数进行限制。当连接数到达上限时，禁止连接建立，此后，只有连接降到下限或下限以下时才允许连接继续建立。3.4 特性使能配置连接统计与限制特性提供了开关命令，方便在适当的场合打开连接统计与限制功能，在不需要的场合关闭此功能。NAT连接限制策略由一系列的子规则组成，其中子规则规定了对指定特征的连接的统计方式和限制方式。可配置的策

7、略号取值范围是019，即，最多可以配置20个连接统计与限制策略。子规则号的取值范围是0255，即，每条策略下最多可以配置256条子规则。3.5 特性默认动作及默认连接数上下限连接统计与限制特性默认动作定义了当一条连接查不到匹配的子规则时所做的动作。默认动作有两种，即做统计和限制、不做统计和限制。当默认动作为做统计和限制时，使用默认的上下限，使用源地址统计方式。连接统计与限制默认连接数上下限定义了默认情况下的上下限两个阈值。可以根据实际情况通过命令行调整。4 路由器配置实例4.1 版本信息该特性在VRP 3.40 Release 0201版本引入，在路由器上可以通过display version

8、命令查询。dis ver Huawei Versatile Routing Platform Software VRP software, Version 3.40, Release 0201 Copyright (c) 1998-2006 Huawei Technologies Co., Ltd. All rights reserved. Without the owners prior written consent, no decompiling nor reverse-engineering shall be allowed. Quidway AR18-21 uptime is 0 w

9、eek, 2 days, 22 hours, 2 minutes Last reboot 2000/01/01 00:00:00 CPU type: PowerPC 8247 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory 0K bytes NvRAM Memory Pcb Version:4.0 Logic Version:1.0 BootROM Version:9.01 SLOT 1 4LS (Hardware)4.0, (Driver)1.0, (Cpld)1.0 SLOT 2 1FE (Hardware)4.0, (Driver)

10、1.0, (Cpld)1.04.2 配置实例1：内网内每台路由器仅限10个对外连接（不区分业务）# sysname Quidway#-使能NAT连接统计与限制特性。 #-不在NAT连接限制策略内的所有NAT连接不进行限制，允许建立HASH表项# connection-limit enable connection-limit default action deny connection-limit default amount 50 20#-使能DNS代理，这样不必记录远端提供的dns地址，直接将路由器做为dns的代理进行dns解析。# dns-proxy enable# web set-pa

11、ckage force flash:/http.zip#radius scheme system#domain system#-访问控制列表进行数据流的分类。 #-定义进行NAT转换的数据流，所有源地址为10.10.10.x/24的数据流进行NAT转换。#-定义进行NAT连接策略限制的数据流，内网10.10.10.0的所有主机。acl number 2000 rule 0 permit source 10.10.10.0 0.0.0.255#-NAT连接限制的策略定义。#-子规则1：内网10.10.10.0的所有主机每台仅限10个连接。#-当连接数超过10个，禁止该主机继续建立连接.该主机的N

12、AT连接数降到9或以下时才允许连接继续建立。connection-limit policy 0 limit 0 acl 2000 per-source amount 10 9#-给内网提供DHCP Server的服务。#interface Ethernet1/0 ip address 10.10.10.1 255.255.255.0 dhcp select interface dhcp server dns-list 10.10.10.1 dhcp server domain-name huawei- dhcp server nbns-list 10.153.0.11#interface Et

13、hernet1/1#interface Ethernet1/2#interface Ethernet1/3#interface Ethernet1/4#-远端提供DHCP方式接入。从这个接口路由出去的在访问控制列表定义内报文进行NAT转换。#interface Ethernet2/0 ip address dhcp-alloc nat outbound 2000#interface NULL0#-指定NAT连接限制使用的策略# nat connection-limit-policy 0#user-interface con 0 idle-timeout 0 0user-interface vt

14、y 0 4#return4.3 配置实例2：按业务类型对NAT连接进行限制# sysname Quidway#-使能NAT连接统计与限制特性。 #-不在NAT连接限制策略内的所有NAT连接按缺省配置处理，最大可处理50个表项。超出后，只有连接#-数降到20以下，才允许继续建立连接。# connection-limit enable connection-limit default action permit connection-limit default amount 50 20#-使能DNS代理，这样不必记录远端提供的dns地址，直接将路由器做为dns的代理进行dns解析。# dns-pr

15、oxy enable# web set-package force flash:/http.zip#radius scheme system#domain system#-访问控制列表进行数据流的分类。 #-定义进行NAT转换的数据流，所有源地址为10.10.10.x/24的数据流进行NAT转换。#acl number 2000 rule 0 permit source 10.10.10.0 0.0.0.255 #-定义进行NAT连接策略限制的数据流，内网10.10.10.0的所有主机发送的ICMP报文#acl number 3000 rule 0 permit icmp#-定义进行NAT连接

16、策略限制的数据流，内网10.10.10.0的所有主机发送的FTP连接报文acl number 3001 rule 0 permit tcp source 10.10.10.0 0.0.0.255 destination-port eq ftp #-NAT连接限制的策略定义。#-子规则1：内网10.10.10.0的所有主机ping操作通过NAT网关的连接数为5，如果同时超过5，抑制新#-连接建立，直到这5个连接表项超时删除。这样配置可以避免中冲击波主机对外发送大量扫描报文。#-子规则2：内网每台主机可以对外发起的ftp连接数为20。#-子规则3：如上的规则没有匹配的，在这里进行匹配。也就是说除了

17、ICMP报文、FTP连接报文外，#-每台主机还可以建立的连接数20。这里主要可以用来限制BT流量。#connection-limit policy 0 limit 1 acl 3000 per-service amount 5 0 limit 2 acl 3001 per-source per-service amount 20 19 limit 3 acl 2000 per-source amount 20 19#-给内网提供DHCP Server的服务。#interface Ethernet1/0 ip address 10.10.10.1 255.255.255.0 dhcp selec

18、t interface dhcp server dns-list 10.10.10.1 dhcp server domain-name huawei- dhcp server nbns-list 10.153.0.11#interface Ethernet1/1#interface Ethernet1/2#interface Ethernet1/3#interface Ethernet1/4#-远端提供DHCP方式接入。从这个接口路由出去的在访问控制列表定义内报文进行NAT转换。#interface Ethernet2/0 ip address dhcp-alloc nat outbound

19、2000#interface NULL0#user-interface con 0 idle-timeout 0 0user-interface vty 0 4#return4.4 验证结果验证特性是否生效，可以接入用户通过以下几个步骤进行检测： 配置完毕清除NAT Session表项（执行reset nat session） 是否产生了NAT Session表项（dis nat sess是否有输出），如果没有检查基本nat配置。 是否有nat connection统计输出（dis nat connection-limit）dis nat connection-limit source-ip

20、dest-ip dest-port vpn-instance 10.10.10.3 - - - NAT amount upper-limit lower-limit limit-flag 1 20 19 0 source-ip dest-ip dest-port vpn-instance 10.10.10.2 - - - NAT amount upper-limit lower-limit limit-flag 2 20 19 0 source-ip dest-ip dest-port vpn-instance 10.10.10.2 - 21 - NAT amount upper-limit lower-limit limit-flag 2 20 19 0 source-ip dest-ip dest-port vpn-instance - - 512 - NAT amount upper-limit lower-limit limit-flag 1 5 0 05 参考资料