URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18336
[ Назад ]

Исходное сообщение
"Подскажите про TCP limit"
Отправлено Avanty , 03-Мрт-09 12:29

Необходимо ограничить число соедининений для юзеров.
Основная проблема в том, на чем это можно сделать.
На PIX я умею, там это вот так выглядит:
pixfirewall(config)# class-map TEST1
pixfirewall(config-cmap)# match port tcp eq 25
pixfirewall(config)# policy-map TEST2
pixfirewall(config-pmap)# class имя TEST1
pixfirewall(config-pmap-c)# set connection per-client-max 100
pixfirewall(config)# service-policy TEST2 interface outside
НО, необходимо это сделать либо на 3750, либо на 6500, либо на роутере 2800.
Кто-нибудь знает как это реализовать?
Или может есть какие то еще варианты??

Содержание

Подскажите про TCP limit,blank, 12:52 , 03-Мрт-09
- Подскажите про TCP limit,Avanty, 12:58 , 03-Мрт-09
  - Подскажите про TCP limit,fantom, 15:02 , 03-Мрт-09
    - Подскажите про TCP limit,Avanty, 15:16 , 03-Мрт-09
      - Подскажите про TCP limit,fantom, 15:18 , 03-Мрт-09
        
        Подскажите про TCP limit,Avanty, 15:22 , 03-Мрт-09
        
        Подскажите про TCP limit,fantom, 16:16 , 03-Мрт-09
        
        Подскажите про TCP limit,fantom, 16:19 , 03-Мрт-09
        
        Подскажите про TCP limit,Avanty, 16:25 , 03-Мрт-09
        
        Подскажите про TCP limit,fantom, 16:32 , 03-Мрт-09
        
        Подскажите про TCP limit,Avanty, 16:53 , 03-Мрт-09
        
        Подскажите про TCP limit,fantom, 17:10 , 03-Мрт-09

Сообщения в этом обсуждении

"Подскажите про TCP limit"
Отправлено blank , 03-Мрт-09 12:52

>[оверквотинг удален]
>pixfirewall(config-pmap)# class имя TEST1
>pixfirewall(config-pmap-c)# set connection per-client-max 100
>
>pixfirewall(config)# service-policy TEST2 interface outside
>
>НО, необходимо это сделать либо на 3750, либо на 6500, либо на
>роутере 2800.
>
>Кто-нибудь знает как это реализовать?
>Или может есть какие то еще варианты??
ip nat translation max-entries?

"Подскажите про TCP limit"
Отправлено Avanty , 03-Мрт-09 12:58

>
>ip nat translation max-entries?
нет, это не подходит.

"Подскажите про TCP limit"
Отправлено fantom , 03-Мрт-09 15:02

>>
>>ip nat translation max-entries?
>
>нет, это не подходит.
В версии 12.4T есть zone based firewall,
там можно ограничить количество tcp сессий из одной зоны в другую.

http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...
Проверил - на 2800 работает :)

"Подскажите про TCP limit"
Отправлено Avanty , 03-Мрт-09 15:16

>В версии 12.4T есть zone based firewall,
>там можно ограничить количество tcp сессий из одной зоны в другую.
>
>
>http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...
>
>Проверил - на 2800 работает :)
а это общее число сессий задается?
или для каждого пользователя?

"Подскажите про TCP limit"
Отправлено fantom , 03-Мрт-09 15:18

>>В версии 12.4T есть zone based firewall,
>>там можно ограничить количество tcp сессий из одной зоны в другую.
>>
>>
>>http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...
>>
>>Проверил - на 2800 работает :)
>
>а это общее число сессий задается?
>или для каждого пользователя?
Я так понимаю - как policy опишите - так и будет задаваться :)

"Подскажите про TCP limit"
Отправлено Avanty , 03-Мрт-09 15:22

я вот если честно не смог там сразу разобраться что к чему.
Не скинете свой конфиг?

"Подскажите про TCP limit"
Отправлено fantom , 03-Мрт-09 16:16

>я вот если честно не смог там сразу разобраться что к чему.
>
>Не скинете свой конфиг?
parameter-map type inspect sessions_limit
sessions maximum 200
class-map type inspect match-any PPPOE_1
description ADSL_For_BADUSER
match protocol tcp
match protocol udp
match protocol icmp
!
!
policy-map type inspect PPPOE_1
class type inspect PPPOE_1
inspect sessions_limit
class class-default
drop
zone security PPPOE_1
description For_BADUSER
zone security EXT
description External_Zone
zone-pair security PPPOE_1-ext source PPPOE_1 destination EXT
service-policy type inspect PPPOE_1
zone-pair security ext-PPPOE_1 source EXT destination PPPOE_1
service-policy type inspect PPPOE_1
На ВСЕХ интерфейсах кроме нужного.
zone-member security EXT
(иначе трафик между интерфейсами не передается)

На нужном
zone-member security PPPOE_1

"Подскажите про TCP limit"
Отправлено fantom , 03-Мрт-09 16:19

Теперь сижу и думаю как это ограничение "прилепить" не на зону вцелом а "поинтерфейсно" или "по_IP-шно"...
Если кто подскажет мудрую мысль - буду благодарен.

"Подскажите про TCP limit"
Отправлено Avanty , 03-Мрт-09 16:25

знаю что есть такие команды
(config)# service-policy PPPOE_1 interface fastethernet0/0
только вот применимы ли они в случае zone-base ....
а что это у тебя policy-map и class-map одинаково называются?

"Подскажите про TCP limit"
Отправлено fantom , 03-Мрт-09 16:32

>знаю что есть такие команды
>(config)# service-policy PPPOE_1 interface fastethernet0/0
>
>только вот применимы ли они в случае zone-base ....
>
>а что это у тебя policy-map и class-map одинаково называются?
Да какая разница? зови хоть горшком...

"Подскажите про TCP limit"
Отправлено Avanty , 03-Мрт-09 16:53

вот я только не вижу где указать чтобы эти лимиты применялись для каждого хоста, а не целиком для всего трафика

"Подскажите про TCP limit"
Отправлено fantom , 03-Мрт-09 17:10

>вот я только не вижу где указать чтобы эти лимиты применялись для
>каждого хоста, а не целиком для всего трафика
хороший вопрос, я пока на него тоже ответа не нашел, кроме как насоздавать кучу class-ов.