NAT连接数限制配置不当导致AR28路由器无法上网

发布时间:  2014-09-15 浏览次数:  462 下载次数:  0
问题描述
某用户配置完NAT连接数限制的命令后,发现当某地址的连接数小于最高阀值时,新的连接无法建立。具体配置如下:
connection-limit enable         //开启连接统计模块功能
connection-limit default deny   //设置默认动作为禁止统计
connection-limit policy 0       //设置连接数限制策略
limit 0 acl 2000 per-source amount 100 80   //对ACL2000中每个源IP地址连接数上限100下限80
limit 1 acl 2001 per-source amount 50 40   //对ACL2001中每个源IP地址连接数上限50下限40
nat connection-limit-policy 0    //在nat中应用连接数限制策略(该命令必选,否则所设策略不起作用)
告警信息
处理过程
更改connection-limit policy的连接数下限为20后,即连接数降到20后limit-flag置为0,用户可以正常上网。
根因
通过输入命令“disp nat connection-limit”,显示如下:
      source-ip       dest-ip         dest-port       vpn-instance
      192.168.30.106  ---             ---             ---                
-------------------------------------------------------------------------------
 NAT       amount         upper-limit    lower-limit    limit-flag
           1              30             1              0              
      source-ip       dest-ip         dest-port       vpn-instance
      192.168.30.109  ---             ---             ---                
-------------------------------------------------------------------------------
 NAT       amount         upper-limit    lower-limit    limit-flag
           6              30             1              1              
 source-ip       dest-ip         dest-port       vpn-instance
 192.168.30.118  ---             ---             ---                
-------------------------------------------------------------------------------
 NAT       amount         upper-limit    lower-limit    limit-flag
           7              30             1              0              
      source-ip       dest-ip         dest-port       vpn-instance
从显示内容可知,当前连接数小于上限30的limit-flag为0,可以继续建立新连接,当前连接数大于上限30的limit-flag为1,不可以建立新连接。
因而无法新建连接的原因在于,192.168.30.109该IP曾经达到过上限,limit-flag置为1后,由于下限设置过小为1,造成当前连接数很难降到下限,需要等所有连接超时后才能将limit-flag置为0,造成很长时间无法建立新连接,影响正常使用。
建议与总结
如果用户有这种需求,网段内有某一台服务器不想做连接数限制,能否使用acl的rule deny动作把他们给剔除掉.(我们的理解是一般应用引用acl时deny不生效,除非包过滤)。可以如下配置,192.168.0.2此用户不受nat连接数限制。
connection-limit enable 
connection-limit default deny   
acl number 2000
rule 0 deny source 192.168.0.2 0    \\禁止此用户做nat连接数限制.
rule 1 permit source 192.168.0.0 0.0.0.255
connection-limit policy 0
limit 0 acl 2000 per-source amount 10 5
nat connection-limit-policy 0

END