The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Подскажите про TCP limit"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Подскажите про TCP limit"  
Сообщение от Avanty email(ok) on 03-Мрт-09, 12:29 
Необходимо ограничить число соедининений для юзеров.
Основная проблема в том, на чем это можно сделать.

На PIX  я умею, там это вот так выглядит:
pixfirewall(config)# class-map TEST1
pixfirewall(config-cmap)# match port tcp eq 25
pixfirewall(config)# policy-map TEST2  
pixfirewall(config-pmap)# class имя TEST1
pixfirewall(config-pmap-c)# set connection per-client-max 100
pixfirewall(config)# service-policy TEST2 interface outside

НО, необходимо это сделать либо на 3750, либо на 6500, либо на роутере 2800.

Кто-нибудь знает как это реализовать?
Или может есть какие то еще варианты??

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Подскажите про TCP limit"  
Сообщение от blank (ok) on 03-Мрт-09, 12:52 
>[оверквотинг удален]
>pixfirewall(config-pmap)# class имя TEST1
>pixfirewall(config-pmap-c)# set connection per-client-max 100
>
>pixfirewall(config)# service-policy TEST2 interface outside
>
>НО, необходимо это сделать либо на 3750, либо на 6500, либо на
>роутере 2800.
>
>Кто-нибудь знает как это реализовать?
>Или может есть какие то еще варианты??

ip nat translation max-entries?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Подскажите про TCP limit"  
Сообщение от Avanty email(ok) on 03-Мрт-09, 12:58 
>
>ip nat translation max-entries?

нет, это не подходит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Подскажите про TCP limit"  
Сообщение от fantom email(ok) on 03-Мрт-09, 15:02 
>>
>>ip nat translation max-entries?
>
>нет, это не подходит.

В версии 12.4T есть zone based firewall,
там можно ограничить количество tcp сессий из одной зоны в другую.


http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...

Проверил - на 2800 работает :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Подскажите про TCP limit"  
Сообщение от Avanty email(ok) on 03-Мрт-09, 15:16 
>В версии 12.4T есть zone based firewall,
>там можно ограничить количество tcp сессий из одной зоны в другую.
>
>
>http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...
>
>Проверил - на 2800 работает :)

а это общее число сессий задается?
или для каждого пользователя?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Подскажите про TCP limit"  
Сообщение от fantom email(ok) on 03-Мрт-09, 15:18 
>>В версии 12.4T есть zone based firewall,
>>там можно ограничить количество tcp сессий из одной зоны в другую.
>>
>>
>>http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...
>>
>>Проверил - на 2800 работает :)
>
>а это общее число сессий задается?
>или для каждого пользователя?

Я так понимаю - как policy опишите - так и будет задаваться :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Подскажите про TCP limit"  
Сообщение от Avanty email(ok) on 03-Мрт-09, 15:22 
я вот если честно не смог там сразу разобраться что к чему.
Не скинете свой конфиг?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Подскажите про TCP limit"  
Сообщение от fantom email(ok) on 03-Мрт-09, 16:16 
>я вот если честно не смог там сразу разобраться что к чему.
>
>Не скинете свой конфиг?

parameter-map type inspect sessions_limit
sessions maximum 200

class-map type inspect match-any PPPOE_1
description ADSL_For_BADUSER
match protocol tcp
match protocol udp
match protocol icmp
!
!
policy-map type inspect PPPOE_1
class type inspect PPPOE_1
  inspect sessions_limit
class class-default
  drop

zone security PPPOE_1
description For_BADUSER

zone security EXT
description External_Zone

zone-pair security PPPOE_1-ext source PPPOE_1 destination EXT
service-policy type inspect PPPOE_1
zone-pair security ext-PPPOE_1 source EXT destination PPPOE_1
service-policy type inspect PPPOE_1

На ВСЕХ интерфейсах кроме нужного.
zone-member security EXT
(иначе трафик между интерфейсами не передается)


На нужном
zone-member security PPPOE_1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Подскажите про TCP limit"  
Сообщение от fantom email(ok) on 03-Мрт-09, 16:19 
Теперь сижу и думаю как это ограничение "прилепить" не на зону вцелом а "поинтерфейсно" или "по_IP-шно"...
Если кто подскажет мудрую мысль - буду благодарен.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Подскажите про TCP limit"  
Сообщение от Avanty email(ok) on 03-Мрт-09, 16:25 
знаю что есть такие команды
(config)# service-policy PPPOE_1 interface fastethernet0/0

только вот применимы ли они в случае zone-base ....

а что это у тебя  policy-map и class-map одинаково называются?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Подскажите про TCP limit"  
Сообщение от fantom email(ok) on 03-Мрт-09, 16:32 
>знаю что есть такие команды
>(config)# service-policy PPPOE_1 interface fastethernet0/0
>
>только вот применимы ли они в случае zone-base ....
>
>а что это у тебя  policy-map и class-map одинаково называются?

Да какая разница? зови хоть горшком...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Подскажите про TCP limit"  
Сообщение от Avanty email(ok) on 03-Мрт-09, 16:53 
вот я только не вижу где указать чтобы эти лимиты применялись для каждого хоста, а не целиком для всего трафика


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Подскажите про TCP limit"  
Сообщение от fantom email(ok) on 03-Мрт-09, 17:10 
>вот я только не вижу где указать чтобы эти лимиты применялись для
>каждого хоста, а не целиком для всего трафика

хороший вопрос, я пока на него тоже ответа не нашел, кроме как насоздавать кучу class-ов.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру