所选语种没有对应资源,请选择:
菜单
技术支持 文档中心
NE20E-S V800R010C10SPC500 配置指南 - IPv6过渡技术 01

本文档是NE20E-S V800R010C10SPC500 配置指南 - IPv6过渡技术

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置NAT的安全性

配置NAT的安全性

配置NAT安全性实现NAT会话数限制和用户建流首包限速。

应用环境

通过部署NAT安全特性,可以确保NAT设备的安全运行,防止系统遭受恶意攻击。

前置任务

在配置NAT的安全性功能之前,需要完成以下任务:

  • 配置NAT基本功能。
  • 配置流量的NAT转换功能。

配置流程

以下配置任务(不含检查配置结果),请根据应用环境选择其中一项或几项进行配置。

  • 配置NAT正向会话数限制
    正向会话指从用户侧向网络侧发起的会话。为了防止个别用户占用过多的会话表资源,导致其他用户无法建立连接,需要使能NAT会话数限制功能。
  • 配置NAT反向会话数限制
    反向会话指从网络侧向用户侧发起的会话。为了防止个别网络侧的设备占用过多的会话表资源,导致其他网络侧的设备无法建立连接,需要使能NAT反向会话数限制功能。
  • 配置用户建流速率
    通过动态感知转发速率,对建流速度进行限制,使转发速率和建流速度保持一定的比例。
  • 配置NAT黑名单和建流速率限制
    通过NAT黑名单和建流速率限制,防止用户通过流量攻击占用大量CPU资源而影响普通流量转发。
  • 检查配置结果
    通过相应的display命令,可以查看已经配置的NAT安全性功能是否实现。

配置NAT正向会话数限制

正向会话指从用户侧向网络侧发起的会话。为了防止个别用户占用过多的会话表资源,导致其他用户无法建立连接,需要使能NAT会话数限制功能。

背景信息

通过检查源IP地址相同的TCP/UDP/ICMP/TOTAL会话连接总数是否超过设定的阈值,可以确定是否需要限制该方向新的连接发起,以防止个别用户占用过多的会话表资源,导致其他用户无法建立连接。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令nat instance instance-name [ id id ],进入NAT实例视图。
  3. (可选)执行命令nat session-limit enable,使能基于用户的NAT会话数限制功能。

    缺省情况下,默认使能基于用户的NAT会话数限制功能。

  4. 执行命令nat session-limit { tcp | udp | icmp | total } session-number,配置NAT会话限制数值。
  5. 执行命令commit,提交配置。

配置NAT反向会话数限制

反向会话指从网络侧向用户侧发起的会话。为了防止个别网络侧的设备占用过多的会话表资源,导致其他网络侧的设备无法建立连接,需要使能NAT反向会话数限制功能。

背景信息

通过检查目的IP地址相同的TCP/UDP/ICMP/TOTAL会话连接总数是否超过设定的阈值,可以确定是否需要限制该方向新的连接发起,以防止个别用户占用过多的会话表资源,导致其他用户无法建立连接。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令nat instance instance-name [ id id ],进入NAT实例视图。
  3. (可选)执行命令nat reverse-session-limit enable,使能NAT的反向IP会话数监控功能。

    缺省情况下,默认使能NAT的反向IP会话数监控功能。

  4. 执行命令nat reverse-session-limit { tcp | udp | icmp | total } session-number,配置反向IP会话限制数值。
  5. 执行命令commit,提交配置。

配置用户建流速率

通过动态感知转发速率,对建流速度进行限制,使转发速率和建流速度保持一定的比例。

背景信息

NAT业务采用多核架构,用户建流与转发共用CPU资源。要保证NAT业务流量不丢包或减少丢包、CPU利用率保持正常,则转发速率和建流速度需要保持一定的比例。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令nat instance instance-name [ id id ],进入NAT实例视图。
  3. (可选)执行命令nat user-session create-rate limit enable,使能用户会话的建流限速功能。

  4. 任选其中一种方式配置用户会话的建流速率:

    • 当用户建流速率精度比较小,可以执行命令nat user-session create-rate rate
    • 当用户建流速率精度比较大,可以执行命令nat user-session create-rate extended-range rate
    说明:

    nat user-session create-rate extended-rangenat user-session create-rate两条命令功能会相互覆盖,配置结果以最后一次执行的命令为准。

  5. 执行命令commit,提交配置。

配置NAT黑名单和建流速率限制

通过NAT黑名单和建流速率限制,防止用户通过流量攻击占用大量CPU资源而影响普通流量转发。

背景信息

NAT黑名单功能是针对网络侧首包攻击某个公网IP+Port+Protocol或者整个IP的防攻击功能。在未部署NAT内部服务器以及公网侧流量不能在NAT设备上查到会话表的情况下,当流量达到一定的速率阈值时,该流量会被视为攻击流量,类似这种流量的IP地址以及UDP目的端口号、TCP目的端口号会被加入到NAT黑名单,会对后续匹配到黑名单的网络侧攻击报文进行丢弃或统计。

NAT黑名单有两种检测方式,一种是仅对IP地址的攻击检测,又称为地址级的检测,可以通过配置NAT黑名单地址级阈值调整攻击流量的检测速率;另一种是针对IP地址、端口和协议号的攻击检测,又称为端口级的检测,可以通过配置NAT黑名单端口级阈值调整攻击流量的检测速率。

说明:

该配置过程仅在Admin-VS支持。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令nat flow-defend reverse-blacklist disable,去使能NAT黑名单功能。
  3. 执行命令nat flow-defend { forward | fragment | reverse } rate rate-number slot slot-id ,配置业务板的建流速率限制。
  4. 执行命令nat flow-defend reverse-blacklist detect-threshold ip-port-level high-threshold,配置NAT黑名单的端口级的阈值,超过阈值则会产生黑名单。

    在NAT黑名单功能开启的情况下,执行此命令之后,会匹配到针对IP地址、端口和协议号的攻击流量进行检测,通过配置NAT黑名单端口级阈值调整攻击流量的检测速率。

  5. 执行命令nat flow-defend reverse-blacklist detect-threshold ip-level high-threshold,配置NAT黑名单的地址级阈值,超过阈值则会产生黑名单。

    在NAT黑名单功能开启的情况下,执行此命令之后,对匹配到针对IP地址的攻击流量进行检测,通过配置NAT黑名单端口级阈值调整攻击流量的检测速率。

    上述的配置NAT黑名单端口级阈值和地址级阈值可以同时进行配置,两条命令功能是独立的。

  6. 执行命令commit,提交配置。

检查配置结果

完成配置后,可以按以下指导来检查配置结果。

  • 执行命令display nat flow-defend reverse-blacklist,查看CPU反向首包黑名单表项。

# 查看1号槽位NSP-A/NSP-B/NSP-C/NSP-D的反向首包黑名单表项信息。
Slot: 1
Current total reverse-blacklists: 1(Ip+Port).
 Victim information(IP,port): (10.33.33.2,0)
 Attacker information(IP,port): (192.85.1.2,0)
 Protocol: UDP, VPN: -
 Create: 2017-6-25 10:25:43, Left: 00:10:00 
 Current Attack-rate: 129kpps, Max Attack-rate: 129kpps

Current total reverse-blacklists: 1(Ip).
 Victim information(IP): (10.33.33.2)
 Attacker information(IP,port): (192.85.1.2,0) VPN: -
 Create: 2017-6-25 10:25:43, Left: 00:10:00 
 Current Attack-rate: 129kpps, Max Attack-rate: 129kpps

检查配置结果

通过相应的display命令,可以查看已经配置的NAT安全性功能是否实现。

前提条件

已经完成NAT的基本功能的所有配置。

操作步骤

  • 执行命令display nat flow-defend { forward | reverse | fragment } rate slot slot-id,查看首包建流速率限制的配置情况。
  • 执行命令display nat user-information { cpe ipv4 ipv4-address | session-discard } [ slot slot-id ] [ verbose ],查看NAT业务的用户信息。

任务示例

执行命令display nat flow-defend,可以查看到首包建流速率限制的配置情况。
<HUAWEI> display nat flow-defend forward rate slot 1 
Slot: 1 
 nat flow-defend forward rate 2000
翻译
English
下载文档
更新时间:2019-01-03

文档编号:EDOC1100055286

浏览量:8768

下载量:81

平均得分:
本文档适用于这些产品

相关版本

相关文档

分享
上一页 下一页
华为企业业务APP

版权所有 © 华为技术有限公司 1998-2021。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: