NAT连接统计与限制配置案例

AR18系列宽带路由器 NAT连接统计与限制配置案例 Hangzhou Huawei 3Com Technology Co Ltd 杭州华为3Com技术有限公司 All rights reserved 版权所有 侵权必究 NAT连接统计与限制特性典型配置指导正文 2006 11 15版权所有 侵权必究 第2页 目 录 1 应用说明 4 2 网络拓扑示意图 4 3 特性说明 4 3 1NAT数据流分类配置 4 3 2NAT连接统计及限制方式 4 3 3NAT连接策略处理 5 3 4特性使能配置 5 3 5特性默认动作及默认连接数上下限 5 4 路由器配置实例 5 4 1版本信息 5 4 2配置实例1 内网内每台路由器仅限10个对外连接 不区分业务 6 4 3配置实例2 按业务类型对NAT连接进行限制 7 4 4验证结果 9 5 参考资料 10 NAT连接统计与限制特性典型配置指导正文 2006 11 15版权所有 侵权必究 第3页 关键词 关键词 网络地址转换 NAT 摘摘 要 要 路由器资源 系统资源以及接口带宽资源 是有限的 因此在NAT的应用环境中某一时刻路 由器只能处理有限个连接 当网络中存在诸如BT下载等流量抢占带宽时 或者中毒主机通过路由 器对外发送大量数据流报文时 就会影响到其它用户对网络的正常访问 AR 18系列宽带路由器实现了基于配置策略下的NAT连接数统计与限制功能 对于不同特征的 连接 可以配置对应的统计与限制策略 达到不同连接不同处理的目的 从而有效的避免上述情 况 缩略语 缩略语 缩略语英文全名中文解释 NATNetwork Address Translation网络地址转换 ACLAccess Control List访问控制列表 NAT连接统计与限制特性典型配置指导正文 2006 11 15版权所有 侵权必究 第4页 1 应用说明应用说明 NAT提供了一种连接内网和外网的方式 通过修改报文的源地址 使得内部网络可以访问外 部Internet上的资源 从而有效的解决了IP地址资源短缺问题 并且可以对内部主机提供一定程度 的隐私保护 在支持NAT的路由器中保存有地址转换对应的表项 根据这些表项路由器可以对报文进行正 确的处理实现NAT的功能 由于路由器的内存资源有限 因此地址转换对应表项的个数就有一定 的规格限制 当达到规格限制时 后续要求进行地址转换的报文就不会被处理 在正常规格限制 的范围内 所有请求地址转换的报文都会被处理 但很多时候 某些感染病毒 恶意攻击或内网 中使用BT下载的主机 会发送大量的要求地址转换的连接 消耗出口带宽 并且导致路由器上创 建大量的地址转换对应关系表项 使得地址转换表项个数迅速达到规格限制 此时 其他正常要 求地址转换的连接将不会被处理 这不仅会影响正常用户的使用 而且会占用大量的路由器资源 导致路由器性能迅速下降 为了防止这种情况的发生 AR 18系列宽带路由器实现了一种有效的解决方案 就是在路由器 上提供NAT连接统计和限制的功能 利用数据流分类的技术划分不同特征的NAT转换请求连接 不同特征的数据流再配合以不同的策略处理 实现有效的数据管理 从而可以有效的防止部分用 户抢占资源 阻碍其它用户通过NAT正常的使用网络 2 网络拓扑示意图网络拓扑示意图 图 1 NAT 应用环境下连接统计与限制解决方案 3 特性说明特性说明 3 1NAT 数据流分类配置 利用路由器提供的ACL技术可以进行数据流的分类配置 NAT连接统计与限制特性支持标准的 和扩展的ACL定义 通过ACL的配置 可以有效的进行业务的分类或者进行主机的分类 3 2NAT 连接统计及限制方式 分为三种 按照源地址方式统计 即统计限制某个源地址发起的连接 NAT连接统计与限制特性典型配置指导正文 2006 11 15版权所有 侵权必究 第5页 按照目的地址方式统计 即统计限制到达某个目的地址的连接 按照服务方式统计 即统计限制访问某个服务的连接 服务使用目的端口进行标 示 每种方式可以单独使用 也可以组合使用 对于按照源地址 目的地址 服务 统计的方式 如果源地址 目的地址 目的端口 为0 将不会被统计和限制 比如 对于NAT ALG处理中 使 用三元组 源地址 源端口 协议 创建的地址转换对应关系表项 如果按照目的地址或 和 服务方式进行统计和限制 则此种表项就不会被统计和限制 3 3NAT 连接策略处理 根据配置的连接上下限两个阈值对连接数进行限制 当连接数到达上限时 禁止连接建立 此后 只有连接降到下限或下限以下时才允许连接继续建立 3 4特性使能配置 连接统计与限制特性提供了开关命令 方便在适当的场合打开连接统计与限制功能 在不需 要的场合关闭此功能 NAT连接限制策略由一系列的子规则组成 其中子规则规定了对指定特征的连接的统计方式 和限制方式 可配置的策略号取值范围是0 19 即 最多可以配置20个连接统计与限制策略 子 规则号的取值范围是0 255 即 每条策略下最多可以配置256条子规则 3 5特性默认动作及默认连接数上下限 连接统计与限制特性默认动作定义了当一条连接查不到匹配的子规则时所做的动作 默认动 作有两种 即做统计和限制 不做统计和限制 当默认动作为做统计和限制时 使用默认的上下 限 使用源地址统计方式 连接统计与限制默认连接数上下限定义了默认情况下的上下限两个阈值 可以根据实际情况 通过命令行调整 4 路由器配置路由器配置实例实例 4 1版本信息 该特性在VRP 3 40 Release 0201版本引入 在路由器上可以通过display version命令查询 dis ver Huawei Versatile Routing Platform Software VRP software Version 3 40 Release 0201 Copyright c 1998 2006 Huawei Technologies Co Ltd All rights reserved Without the owner s prior written consent no decompiling nor reverse engineering shall be allowed Quidway AR18 21 uptime is 0 week 2 days 22 hours 2 minutes Last reboot 2000 01 01 00 00 00 NAT连接统计与限制特性典型配置指导正文 2006 11 15版权所有 侵权必究 第6页 CPU type PowerPC 8247 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory 0K bytes NvRAM Memory Pcb Version 4 0 Logic Version 1 0 BootROM Version 9 01 SLOT 1 4LS Hardware 4 0 Driver 1 0 Cpld 1 0 SLOT 2 1FE Hardware 4 0 Driver 1 0 Cpld 1 0 4 2配置实例 1 内网内每台路由器仅限 10 个对外连接 不区分业务 sysname Quidway 使能NAT连接统计与限制特性 不在NAT连接限制策略内的所有NAT连接不进行限制 允许建立HASH表项 connection limit enable connection limit default action deny connection limit default amount 50 20 使能DNS代理 这样不必记录远端提供的dns地址 直接将路由器做为dns的代理进行dns解析 dns proxy enable web set package force flash http zip radius scheme system domain system 访问控制列表进行数据流的分类 定义进行NAT转换的数据流 所有源地址为10 10 10 x 24的数据流进行NAT转换 定义进行NAT连接策略限制的数据流 内网10 10 10 0的所有主机 acl number 2000 rule 0 permit source 10 10 10 0 0 0 0 255 NAT连接限制的策略定义 子规则1 内网10 10 10 0的所有主机每台仅限10个连接 当连接数超过10个 禁止该主机继续建立连接 该主机的NAT连接数降到9或以下时才允许连接继续建立 connection limit policy 0 NAT连接统计与限制特性典型配置指导正文 2006 11 15版权所有 侵权必究 第7页 limit 0 acl 2000 per source amount 10 9 给内网提供DHCP Server的服务 interface Ethernet1 0 ip address 10 10 10 1 255 255 255 0 dhcp select interface dhcp server dns list 10 10 10 1 dhcp server domain name huawei dhcp server nbns list 10 153 0 11 interface Ethernet1 1 interface Ethernet1 2 interface Ethernet1 3 interface Ethernet1 4 远端提供DHCP方式接入 从这个接口路由出去的在访问控制列表定义内报文进行NAT转换 interface Ethernet2 0 ip address dhcp alloc nat outbound 2000 interface NULL0 指定NAT连接限制使用的策略 nat connection limit policy 0 user interface con 0 idle timeout 0 0 user interface vty 0 4 return 4 3配置实例 2 按业务类型对 NAT 连接进行限制 sysname Quidway 使能 NAT 连接统计与限制特性 不在 NAT 连接限制策略内的所有 NAT 连接按缺省配置处理 最大可处理 50 个表项 超出后 只有连接 数降到 20 以下 才允许继续建立连接 connection limit enable connection limit default action permit NAT连接统计与限制特性典型配置指导正文 2006 11 15版权所有 侵权必究 第8页 connection limit default amount 50 20 使能 DNS 代理 这样不必记录远端提供的 dns 地址 直接将路由器做为 dns 的代理进行 dns 解析 dns proxy enable web set package force flash http zip radius scheme system domain system 访问控制列表进行数据流的分类 定义进行NAT转换的数据流 所有源地址为10 10 10 x 24的数据流进行NAT转换 acl number 2000 rule 0 permit source 10 10 10 0 0 0 0 255 定义进行NAT连接策略限制的数据流 内网10 10 10 0的所有主机发送的ICMP报文 acl number 3000 rule 0 permit icmp 定义进行NAT连接策略限制的数据流 内网10 10 10 0的所有主机发送的FTP连接报文 acl number 3001 rule 0 permit tcp source 10 10 10 0 0 0 0 255 destination port eq ftp NAT连接限制的策略定义 子规则1 内网10 10 10 0的所有主机ping操作通过NAT网关的连接数为5 如果同时超过5 抑制新 连接建立 直到这5个连接表项超时删除 这样配置可以避免中冲击波主机对外发送大量扫描报文 子规则2 内网每台主机可以对外发起的ftp连接数为20 子规则3 如上的规则没有匹配的 在这里进行匹配 也就是说除了ICMP报文 FTP连接报文外 每台主机还可以建立的连接数20 这里主要可以用来限制BT流量 connection limit policy 0 limit 1 acl 3000 per service amount 5 0 limit 2 acl 3001 per source per service amount 20 19 limit 3 acl 2000 per source amount 20 19 给内网提供 DHCP Server 的服务 interface Ethernet1 0 ip address 10 10 10 1 255 255 255 0 dhcp select interface dhcp server dns list 10 10 10 1 dhcp server domain name huawei dhcp server nbns list 10 153 0 11 NAT连接统计与限制特性典型配置指导正文 2006 11 15版权所有 侵权必究 第9页 interface Ethernet1 1 interface Ethernet1 2 interface Ethernet1 3 interface Ethernet1 4 远端提供 DHCP 方式接入 从这个接口路由出去的在访问控制列表定义内报文进行 NAT 转换 interface Ethernet2 0 ip address dhcp alloc nat outbound 2000 interface NULL0 user interface con 0 idle timeout 0 0 user interface vty 0 4 return 4 4验证结果 验证特性是否生效 可以接入用户通过以下几