收藏
下载资源

VRP53操作手册 安全分册06-第6章 流量统计及监控配置.pdf

上传人:qwe****56 文档编号:74658057 上传时间:2023-02-27 格式:PDF 页数:10 大小:162.05KB
返回 下载 相关 举报
VRP53操作手册 安全分册06-第6章 流量统计及监控配置.pdf_第1页
第1页 / 共10页
VRP53操作手册 安全分册06-第6章 流量统计及监控配置.pdf_第2页
第2页 / 共10页
点击查看更多>>
资源描述

《VRP53操作手册 安全分册06-第6章 流量统计及监控配置.pdf》由会员分享,可在线阅读,更多相关《VRP53操作手册 安全分册06-第6章 流量统计及监控配置.pdf(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、通用路由平台 VRP 操作手册 安全分册 目 录 i 目 录 第 6 章 流量统计及监控配置.6-1 6.1 基于 IP 地址的统计及监控功能概述.6-1 6.2 配置基于 IP 地址的统计功能.6-2 6.2.1 建立配置任务.6-2 6.2.2 配置基于 IP 地址的统计功能.6-2 6.3 配置基于 IP 地址的连接数量监控.6-3 6.3.1 建立配置任务.6-3 6.3.2 配置基于 IP 地址的连接数量监控.6-4 6.4 配置基于 IP 地址的连接速率监控.6-4 6.4.1 建立配置任务.6-4 6.4.2 配置基于 IP 地址的连接速率监控.6-5 6.5 维护.6-6 6.

2、5.1 显示.6-6 6.5.2 清除.6-6 6.6 基于 IP 地址的统计典型配置举例.6-7 6.6.1 连接数量监测.6-7 6.6.2 显示基于指定 IP 地址的统计信息.6-8 通用路由平台 VRP 操作手册 安全分册 第 6 章 流量统计及监控配置 6-1 第第6章章 流量统计及监控配置流量统计及监控配置 流量统计及监控就是对网络上的连接发起情况、数据流量等进行统计、监控和检测。下表列出了本章所包含的内容。如果您需要 请阅读 了解基于 IP 地址的统计及监控功能 基于 IP 地址的统计及监控功能概述 配置基于 IP 地址的统计功能 配置任务:配置基于 IP 地址的统计功能 配置举

3、例:显示基于指定 IP 地址的统计信息 配置基于 IP 地址的连接数量监控 配置任务:配置基于 IP 地址的连接数量监控 配置举例:连接数量监测 配置基于 IP 地址的连接速率监控 配置任务:配置基于 IP 地址的连接速率监控 显示或清除统计信息 维护 6.1 基于 IP 地址的统计及监控功能概述 在一定的需求下,路由器不仅要对数据流量进行监控,还要对子网之间的连接发起情况进行检测,这就意味着需要进行大量的统计计算与分析。一方面,路由器可以通过专门的分析软件对日志信息进行事后分析;另一方面,路由器系统本身可以完成一部分分析功能,具有一定的实时性。比如,路由器通过分析子网 IP 地址发起或接收的

4、 TCP 或 UDP 连接总数是否超过设定的阈值,可以确定是否需要限制该方向的新的连接的发起,或者限制向子网某一IP 地址发起新的连接,以防止系统受到恶意的攻击或因系统太忙而发生拒绝服务的情况。通用路由平台 VRP 操作手册 安全分册 第 6 章 流量统计及监控配置 6-2 6.2 配置基于 IP 地址的统计功能 6.2.1 建立配置任务 1.应用环境 当需要对当前接口的出方向或入方向数据包根据指定的源地址或目的地址进行统计时,可以配置配置基于 IP 地址的统计功能。但在同一时刻,针对某一接口,只可以对单一方向的源或目的地址进行统计。2.前置任务 在配置基于 IP 地址的统计功能之前,需完成以

5、下任务:?接口需要配置 IP 地址。?基于 IP地址的统计功能需要配合 ASPF功能或 NAT功能使用,不能单独使用。3.数据准备 在配置之前,需准备以下数据:序号 数据 1 确定接口类型和编号 2 确定是对出接口还是入接口的数据包进行统计 3 确定对数据包是根据源地址进行统计还是根据目的地址进行统计 4.配置过程 序号 过程 1 配置基于 IP 地址的统计功能 6.2.2 配置基于 IP 地址的统计功能 步骤 操作 命令 1 进入系统视图 system-view 2 进入接口视图 interface interface-type interface-number 3 使能基于 IP 地址的统

6、计功能 statistic enable ip in|out source-ip|destination-ip 通用路由平台 VRP 操作手册 安全分册 第 6 章 流量统计及监控配置 6-3 缺省情况下,路由器的基于 IP 地址的统计功能关闭。6.3 配置基于 IP 地址的连接数量监控 6.3.1 建立配置任务 1.应用环境 该命令用来在本接口设置某一方向上,根据源地址或目的地址限制发起的 TCP 连接和 UDP 连接总数的上限阈值和下限阈值。通过对基于 IP 地址的连接数量的限制,在某接口方向上,用户可以根据源 IP 地址或匹配 ACL 的源 IP 地址限制发起的连接数量,也可以根据目的

7、IP 地址限制发起的连接数量。2.前置任务 在配置基于 IP 地址的连接数量监控之前,需完成以下任务:?接口需要配置 IP 地址。?使能了基于 IP 地址的统计功能。?创建了 ACL 规则(可选)。注意:基于 IP 地址的统计功能关闭后,基于 IP 地址的连接数量监控功能也失效。3.数据准备 在配置之前,需准备以下数据:序号 数据 1 确定接口类型和编号 2 确定是对出接口还是入接口的数据包进行连接数量监控 3 确定对数据包是根据源地址还是根据目的地址进行连接数量监控 4 确定对 TCP 还是 UDP 数据包进行连接数量监控 5 确定连接数量的上限和下限阈值 通用路由平台 VRP 操作手册 安

8、全分册 第 6 章 流量统计及监控配置 6-4 4.配置过程 序号 过程 1 配置基于 IP 地址的连接数量监控 6.3.2 配置基于 IP 地址的连接数量监控 步骤 操作 命令 1 进入系统视图 system-view 2 进入接口视图 interface interface-type interface-number 3 配置基于 IP 地址的连接数量监控 statistic connect-number ip in|out source-ip|destination-ip tcp|udp high high low low acl-number acl-number 基于 IP 地址的连

9、接数限制功能缺省关闭。基于 IP 地址的 TCP 和 UDP 连接的上限阈值的缺省值为 10240,下限阈值的缺省值为 8000。注意:?基于 IP 地址的连接数量检测功能必须先配置使能对应基于 IP 地址的统计功能,否则此命令没有效果。此命令指定的接口方向和指定的源或目的地址统计类型必须和使能命令保持一致,否则配置不成功。?ACL 参数只适用于基于源 IP 地址的情况。6.4 配置基于 IP 地址的连接速率监控 6.4.1 建立配置任务 1.应用环境 该命令用来在本接口设置某一方向上,根据源地址或目的地址限制发起的 TCP 连接和 UDP 连接速率的上限阈值和下限阈值。通过对基于 IP 地址

10、的连接速率的限制,在某接口方向上,用户可以根据源 IP 地址或匹配 ACL 的源 IP 地址限制发起的连接速率,也可以根据目的 IP 地址限制发起的连接的速率。通用路由平台 VRP 操作手册 安全分册 第 6 章 流量统计及监控配置 6-5 2.前置任务 在配置基于 IP 地址的连接速率监控之前,需完成以下任务:?接口需要配置 IP 地址。?使能了基于 IP 地址的统计功能。?创建了 ACL 规则(可选)。注意:基于 IP 地址的统计功能关闭后,基于 IP 地址的连接速率监控功能也失效。3.数据准备 在配置之前,需准备以下数据:序号 数据 1 确定接口类型和编号 2 确定是对出接口还是入接口的

11、数据包进行连接速率监控 3 确定对数据包是根据源地址还是根据目的地址进行连接速率监控 4 确定对 TCP 还是 UDP 数据包进行连接速率监控 5 确定连接速率的上限和下限阈值 4.配置过程 序号 过程 1 配置基于 IP 地址的连接速率监控 6.4.2 配置基于 IP 地址的连接速率监控 步骤 操作 命令 1 进入系统视图 system-view 2 进入接口视图 interface interface-type interface-number 3 配置基于 IP 地址的连接速率监控 statistic connect-speed ip in|out source-ip|destinati

12、on-ip tcp|udp high high low low acl-number acl-number 通用路由平台 VRP 操作手册 安全分册 第 6 章 流量统计及监控配置 6-6 基于 IP 地址的连接速率限制功能缺省关闭。基于 IP 地址的 TCP 和 UDP 连接速率的上限阈值的缺省值为 10000,下限阈值的缺省值为 8000。注意:?基于 IP 地址的连接速率监控功能必须先配置使能对应基于 IP 地址的统计功能,否则此命令没有效果。此命令指定的接口方向和指定的源或目的地址统计类型必须和使能命令保持一致,否则配置不成功。?ACL 参数只适用于基于源 IP 地址的情况。6.5 维

13、护 本节包含如下的内容:?显示?清除 6.5.1 显示 如果需要显示统计信息时,可在所有视图下进行下面操作。操作 命令 显示统计信息 display firewall statistic ip ip-address source-ip|destination-ip|both slot slot-id 6.5.2 清除 注意:清除统计信息后,以前的统计信息将无法恢复,务必仔细确认。在确认需要清除统计信息后,请在用户视图下执行以下命令。操作 命令 清除统计信息 reset firewall statistic ip ip-address source-ip|destination-ip slot

14、slot-id 通用路由平台 VRP 操作手册 安全分册 第 6 章 流量统计及监控配置 6-7 6.6 基于 IP 地址的统计典型配置举例 本节包含如下配置举例:?连接数量监测?显示基于指定 IP 地址的统计信息 6.6.1 连接数量监测 1.组网需求 如图 6-1所示,Quidway 路由器以太网口 GE 1/0/0 连接子网 192.168.1.0/24,以太网口 GE 2/0/0 连接子网 202.1.0.0/16。需要对子网 192.168.1.0/24 中 IP 地址为192.168.1.3/24 的主机向外发起的连接数目进行限制。该命令必须配合 NAT 和ASPF 使用。Ethe

15、rnetPC 192.168.1.3/24PCPC192.168.1.0/24Router202.1.0.0/16EthernetGE2/0/0GE1/0/0 图6-1 基于 IP 地址的统计配置举例组网图 2.配置步骤(1)配置路由器接口 GE 1/0/0。Quidway interface Gigabitethernet 1/0/0 Quidway-Gigabitethernet1/0/0 ip address 192.168.1.1 255.255.255.0 Quidway-Gigabitethernet1/0/0 quit(2)配置路由器接口 GE 2/0/0。Quidway int

16、erface Gigabitethernet 2/0/0 Quidway-Gigabitethernet2/0/0 ip address 202.1.0.1 255.255.0.0 Quidway-Gigabitethernet2/0/0 quit(3)配置 ACL 规则。Quidway acl number 2001 Quidway-acl-basic-2001 rule permit source 192.168.1.3 0 Quidway-acl-basic-2001 quit 通用路由平台 VRP 操作手册 安全分册 第 6 章 流量统计及监控配置 6-8(4)进入接口模式,在接口出方

17、向,配置匹配 ACL 规则 2001 的 IP 源地址发起 TCP连接数量上限为 2000,下限为 512。Quidway interface Gigabitethernet 2/0/0 Quidway-Gigabitethernet2/0/0 statistic enable ip out source-ip Quidway-Gigabitethernet2/0/0 statistic connect-number ip out source-ip tcp high 2000 low 512 acl-number 2001(5)检查配置结果 此时,在路由器上执行 display firewa

18、ll statistic ip 命令,可以查看到各种连接的数目。3.配置文件#sysname Quidway#acl number 2001 rule 5 permit source 192.168.1.3 0#interface Gigabitethernet 1/0/0 ip address 192.168.1.1 255.255.255.0#interface Gigabitethernet 2/0/0 ip address 202.1.0.1 255.255.0.0 statistic enable ip out source-ip statistic connect-number i

19、p out source-ip tcp high 2000 low 512 acl-number 2001#return 6.6.2 显示基于指定 IP 地址的统计信息 1.组网需求 如图 6-1所示,Quidway 路由器以太网口 GE 1/0/0 连接子网 192.168.1.0/24,以太网口 GE 2/0/0 连接子网 202.1.0.0/16。2.配置步骤(1)配置路由器接口 GE 1/0/0。Quidway interface Gigabitethernet 1/0/0 Quidway-Gigabitethernet1/0/0 ip address 192.168.1.1 255.

20、255.255.0 Quidway-Gigabitethernet1/0/0 quit 通用路由平台 VRP 操作手册 安全分册 第 6 章 流量统计及监控配置 6-9(2)配置路由器接口 GE 2/0/0。Quidway interface Gigabitethernet 2/0/0 Quidway-Gigabitethernet2/0/0 ip address 202.1.0.1 255.255.0.0(3)在接口出方向使能基于 IP 地址的数据包报文统计功能,同时统计源地址。Quidway-Gigabitethernet2/0/0 statistic enable ip out sour

21、ce-ip Quidway-Gigabitethernet2/0/0 quit Quidway quit(4)检查配置结果 此时,在路由器上执行 display firewall statistic ip 命令,可以查看到基于指定 IP地址的统计信息。3.配置文件#sysname Quidway#interface Gigabitethernet 1/0/0 ip address 192.168.1.1 255.255.255.0#interface Gigabitethernet 2/0/0 ip address 202.1.0.1 255.255.0.0 statistic enable ip out source-ip#return

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 技术资料 > 施工组织

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁