?配置會(huì)話控制策略
配置策略的基本要素
會(huì)話控制策略有兩個(gè)基本要素分別是匹配條件部分和會(huì)話限制部分。匹配條件部分包括數(shù)據(jù)流的入接口、源地址、目的地址、服務(wù)、應(yīng)用和策略生效的
時(shí)間范圍。其中,數(shù)據(jù)流的入接口、源地址、目的地址、服務(wù)、應(yīng)用和時(shí)間范圍都可以直接引用已定義的對(duì)象。
會(huì)話控制策略的限制有源主機(jī)連接限制、源主機(jī)連接速率限制、目的主機(jī)連接限制、目的主機(jī)連接速率限制、總連接限制和總連接速率限制六種可配置的限制方式。
配置步驟:
- 進(jìn)入策略>會(huì)話控制,點(diǎn)擊新建。
參數(shù)說明:
地址類型:會(huì)話控制策略分為 IPv4 和 IPv6 兩種類型,數(shù)據(jù)包匹配相應(yīng)協(xié)議類型的會(huì)話控制策略。
入接口:數(shù)據(jù)流的流入方向,可以指定某個(gè)特定接口,any 表示所有接口。
源地址:數(shù)據(jù)流的源地址,可以引用已定義的某個(gè)地址對(duì)象或地址對(duì)象組,any 表示源地址為任意。
目的地址:數(shù)據(jù)流的目的地址,可以引用已定義的某個(gè)地址對(duì)象或地址對(duì)象組,any 表示目的地址為任意。
服務(wù):數(shù)據(jù)流的服務(wù)屬性,包括協(xié)議、源端口和目的端口,可以引用系統(tǒng)預(yù)定義服務(wù)、自定義的服務(wù)對(duì)象或服務(wù)對(duì)象組,any 表示服務(wù)為任意。
用戶:數(shù)據(jù)流的用戶屬性,可以引用已定義的某個(gè)用戶對(duì)象或 用戶組,any表示用戶為任意。
應(yīng)用:數(shù)據(jù)流的應(yīng)用屬性,引用系統(tǒng)預(yù)定義應(yīng)用,any 表示應(yīng)用為任意。
時(shí)間表:策略生效的時(shí)間,可以引用已配置的時(shí)間對(duì)象,always 表示所有時(shí)間。
每主機(jī)連接限制(源 IP):對(duì)匹配該條策略的流,根據(jù)源地址連接數(shù)進(jìn)行限制,配置為 0 表示不限制。
每主機(jī)連接速率限制(源 IP):對(duì)匹配該策略的流,根據(jù)源地址連接速率進(jìn)行限制,配置為 0 表示不限制。
每主機(jī)連接限制(目的 IP):對(duì)匹配該條策略的流,根據(jù)目的地址連接數(shù)進(jìn)行限制,配置為 0 表示不限制。
每主機(jī)連接速率限制(目的 IP):對(duì)匹配該策略的流,根據(jù)目的地址連接速率進(jìn)行限制,配置為 0 表示不限制。
總連接控制:對(duì)匹配該條策略的流,根據(jù)總連接數(shù)進(jìn)行限制,配置為 0 表示不限制。
總連接速率限制:對(duì)匹配該策略的流,根據(jù)總連接速率進(jìn)行限制,配置為‘0’表示不限制。
日志:選中此復(fù)選框啟用日志功能,匹配該會(huì)話控制策略的數(shù)據(jù)流被阻斷的信息會(huì)被發(fā)往 syslog 服務(wù)器或者產(chǎn)生設(shè)備本地日志,日志的優(yōu)先級(jí)為信息級(jí)別。
- 配置完畢后,點(diǎn)擊提交。
?
啟用會(huì)話控制策略
配置好的會(huì)話控制策略必須啟用才能使其生效。
配置步驟:
- 進(jìn)入策略>會(huì)話控制,如下圖:
- 勾選啟用可以啟用一條策略。
?
編輯會(huì)話控制策略
配置步驟:
- 進(jìn)入策略>會(huì)話控制,對(duì)于某條存在的會(huì)話控制策略,點(diǎn)擊策略 ID 號(hào)進(jìn)入編輯界面。
- 可以對(duì)會(huì)話控制策略里面的內(nèi)容進(jìn)行編輯修改,修改完畢后點(diǎn)擊更新。
?
?刪除會(huì)話控制策略
配置步驟:
- 進(jìn)入策略>會(huì)話控制,如下圖:
- 點(diǎn)擊
刪除策略。
?
調(diào)整會(huì)話控制策略的順序
通過移動(dòng)策略可以調(diào)整會(huì)話控制策略的順序,從而使位置在前的策略優(yōu)先匹配。
配置步驟:
- 進(jìn)入策略>會(huì)話控制,如下圖:
- 點(diǎn)擊
移動(dòng)策略。
策略 ID:需要被移動(dòng)的策略的 ID 號(hào)。
移動(dòng)到(策略 ID):參考策略的 ID 號(hào)。
之前:移動(dòng)策略到參考策略之前。
之后:移動(dòng)策略到參考策略之后。
- 點(diǎn)擊提交。
?
查詢會(huì)話控制策略
查詢步驟:
- 進(jìn)入策略>會(huì)話控制,如下圖:
?會(huì)話控制策略監(jiān)控與維護(hù)
查看會(huì)話控制策略
進(jìn)入策略>會(huì)話控制,可以根據(jù)協(xié)議類型查看已經(jīng)配置的會(huì)話控制策略。
- 在下拉框中分別選擇源地址、目的地址和服務(wù),點(diǎn)擊搜索查詢配置中與關(guān)鍵字相符的所有會(huì)話控制策略。
?
?會(huì)話控制策略監(jiān)控與維護(hù)
查看會(huì)話控制策略
進(jìn)入策略>會(huì)話控制,可以根據(jù)協(xié)議類型查看已經(jīng)配置的會(huì)話控制策略。
?
常見故障分析
?故障現(xiàn)象:匹配上某條策略的某些數(shù)據(jù)流沒有受到相應(yīng)的限制
