?配置會話控制策略
配置策略的基本要素
會話控制策略有兩個基本要素分別是匹配條件部分和會話限制部分。匹配條件部分包括數(shù)據(jù)流的入接口、源地址、目的地址、服務(wù)、應(yīng)用和策略生效的
時間范圍。其中,數(shù)據(jù)流的入接口、源地址、目的地址、服務(wù)、應(yīng)用和時間范圍都可以直接引用已定義的對象。
會話控制策略的限制有源主機連接限制、源主機連接速率限制、目的主機連接限制、目的主機連接速率限制、總連接限制和總連接速率限制六種可配置的限制方式。
配置步驟:
- 進入策略>會話控制,點擊新建。
參數(shù)說明:
地址類型:會話控制策略分為 IPv4 和 IPv6 兩種類型,數(shù)據(jù)包匹配相應(yīng)協(xié)議類型的會話控制策略。
入接口:數(shù)據(jù)流的流入方向,可以指定某個特定接口,any 表示所有接口。
源地址:數(shù)據(jù)流的源地址,可以引用已定義的某個地址對象或地址對象組,any 表示源地址為任意。
目的地址:數(shù)據(jù)流的目的地址,可以引用已定義的某個地址對象或地址對象組,any 表示目的地址為任意。
服務(wù):數(shù)據(jù)流的服務(wù)屬性,包括協(xié)議、源端口和目的端口,可以引用系統(tǒng)預(yù)定義服務(wù)、自定義的服務(wù)對象或服務(wù)對象組,any 表示服務(wù)為任意。
用戶:數(shù)據(jù)流的用戶屬性,可以引用已定義的某個用戶對象或 用戶組,any表示用戶為任意。
應(yīng)用:數(shù)據(jù)流的應(yīng)用屬性,引用系統(tǒng)預(yù)定義應(yīng)用,any 表示應(yīng)用為任意。
時間表:策略生效的時間,可以引用已配置的時間對象,always 表示所有時間。
每主機連接限制(源 IP):對匹配該條策略的流,根據(jù)源地址連接數(shù)進行限制,配置為 0 表示不限制。
每主機連接速率限制(源 IP):對匹配該策略的流,根據(jù)源地址連接速率進行限制,配置為 0 表示不限制。
每主機連接限制(目的 IP):對匹配該條策略的流,根據(jù)目的地址連接數(shù)進行限制,配置為 0 表示不限制。
每主機連接速率限制(目的 IP):對匹配該策略的流,根據(jù)目的地址連接速率進行限制,配置為 0 表示不限制。
總連接控制:對匹配該條策略的流,根據(jù)總連接數(shù)進行限制,配置為 0 表示不限制。
總連接速率限制:對匹配該策略的流,根據(jù)總連接速率進行限制,配置為‘0’表示不限制。
日志:選中此復(fù)選框啟用日志功能,匹配該會話控制策略的數(shù)據(jù)流被阻斷的信息會被發(fā)往 syslog 服務(wù)器或者產(chǎn)生設(shè)備本地日志,日志的優(yōu)先級為信息級別。
- 配置完畢后,點擊提交。
?
啟用會話控制策略
配置好的會話控制策略必須啟用才能使其生效。
配置步驟:
- 進入策略>會話控制,如下圖:
- 勾選啟用可以啟用一條策略。
?
編輯會話控制策略
配置步驟:
- 進入策略>會話控制,對于某條存在的會話控制策略,點擊策略 ID 號進入編輯界面。
- 可以對會話控制策略里面的內(nèi)容進行編輯修改,修改完畢后點擊更新。
?
?刪除會話控制策略
配置步驟:
- 進入策略>會話控制,如下圖:
- 點擊
刪除策略。
?
調(diào)整會話控制策略的順序
通過移動策略可以調(diào)整會話控制策略的順序,從而使位置在前的策略優(yōu)先匹配。
配置步驟:
- 進入策略>會話控制,如下圖:
- 點擊
移動策略。
策略 ID:需要被移動的策略的 ID 號。
移動到(策略 ID):參考策略的 ID 號。
之前:移動策略到參考策略之前。
之后:移動策略到參考策略之后。
- 點擊提交。
?
查詢會話控制策略
查詢步驟:
- 進入策略>會話控制,如下圖:
?會話控制策略監(jiān)控與維護
查看會話控制策略
進入策略>會話控制,可以根據(jù)協(xié)議類型查看已經(jīng)配置的會話控制策略。
- 在下拉框中分別選擇源地址、目的地址和服務(wù),點擊搜索查詢配置中與關(guān)鍵字相符的所有會話控制策略。
?
?會話控制策略監(jiān)控與維護
查看會話控制策略
進入策略>會話控制,可以根據(jù)協(xié)議類型查看已經(jīng)配置的會話控制策略。
?
常見故障分析
?故障現(xiàn)象:匹配上某條策略的某些數(shù)據(jù)流沒有受到相應(yīng)的限制
