https://www.opennet.dev/openforum/vsluhforumID6/18336.html Необходимо ограничить число соедининений для юзеров.<br>Основная проблема в том, на чем это можно сделать.<br><br>На PIX я умею, там это вот так выглядит: <br>pixfirewall(config)# class-map TEST1<br>pixfirewall(config-cmap)# match port tcp eq 25<br>pixfirewall(config)# policy-map TEST2 <br>pixfirewall(config-pmap)# class имя TEST1<br>pixfirewall(config-pmap-c)# set connection per-client-max 100<br>pixfirewall(config)# service-policy TEST2 interface outside<br><br>НО, необходимо это сделать либо на 3750, либо на 6500, либо на роутере 2800.<br><br>Кто-нибудь знает как это реализовать?<br>Или может есть какие то еще варианты??<br> https://www.opennet.dev/openforum/vsluhforumID6/18336.html#12 Tue, 03 Mar 2009 14:10:40 GMT &gt;вот я только не вижу где указать чтобы эти лимиты применялись для <br>&gt;каждого хоста, а не целиком для всего трафика <br><br>хороший вопрос, я пока на него тоже ответа не нашел, кроме как насоздавать кучу class-ов.<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/18336.html#11 Tue, 03 Mar 2009 13:53:58 GMT вот я только не вижу где указать чтобы эти лимиты применялись для каждого хоста, а не целиком для всего трафика<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/18336.html#10 Tue, 03 Mar 2009 13:32:58 GMT &gt;знаю что есть такие команды <br>&gt;(config)# service-policy PPPOE_1 interface fastethernet0/0 <br>&gt;<br>&gt;только вот применимы ли они в случае zone-base .... <br>&gt;<br>&gt;а что это у тебя policy-map и class-map одинаково называются? <br><br>Да какая разница? зови хоть горшком...<br> https://www.opennet.dev/openforum/vsluhforumID6/18336.html#9 Tue, 03 Mar 2009 13:25:54 GMT знаю что есть такие команды<br>(config)# service-policy PPPOE_1 interface fastethernet0/0<br><br>только вот применимы ли они в случае zone-base ....<br><br>а что это у тебя policy-map и class-map одинаково называются?<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/18336.html#8 Tue, 03 Mar 2009 13:19:11 GMT Теперь сижу и думаю как это ограничение "прилепить" не на зону вцелом а "поинтерфейсно" или "по_IP-шно"...<br>Если кто подскажет мудрую мысль - буду благодарен.<br> https://www.opennet.dev/openforum/vsluhforumID6/18336.html#7 Tue, 03 Mar 2009 13:16:33 GMT &gt;я вот если честно не смог там сразу разобраться что к чему. <br>&gt;<br>&gt;Не скинете свой конфиг? <br><br>parameter-map type inspect sessions_limit<br> sessions maximum 200<br><br>class-map type inspect match-any PPPOE_1<br> description ADSL_For_BADUSER<br> match protocol tcp<br> match protocol udp<br> match protocol icmp<br>!<br>!<br>policy-map type inspect PPPOE_1<br> class type inspect PPPOE_1<br> inspect sessions_limit<br> class class-default<br> drop<br><br>zone security PPPOE_1<br> description For_BADUSER<br><br>zone security EXT<br> description External_Zone<br><br>zone-pair security PPPOE_1-ext source PPPOE_1 destination EXT<br> service-policy type inspect PPPOE_1<br>zone-pair security ext-PPPOE_1 source EXT destination PPPOE_1<br> service-policy type inspect PPPOE_1<br><br>На ВСЕХ интерфейсах кроме нужного.<br>zone-member security EXT<br>(иначе трафик между интерфейсами не передается)<br><br><br>На нужном <br>zone-member security PPPOE_1<br><br> https://www.opennet.dev/openforum/vsluhforumID6/18336.html#6 Tue, 03 Mar 2009 12:22:30 GMT я вот если честно не смог там сразу разобраться что к чему.<br>Не скинете свой конфиг?<br><br> https://www.opennet.dev/openforum/vsluhforumID6/18336.html#5 Tue, 03 Mar 2009 12:18:07 GMT &gt;&gt;В версии 12.4T есть zone based firewall, <br>&gt;&gt;там можно ограничить количество tcp сессий из одной зоны в другую. <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00808bc994.shtml#conf6 <br>&gt;&gt;<br>&gt;&gt;Проверил - на 2800 работает :) <br>&gt;<br>&gt;а это общее число сессий задается? <br>&gt;или для каждого пользователя? <br><br>Я так понимаю - как policy опишите - так и будет задаваться :)<br> https://www.opennet.dev/openforum/vsluhforumID6/18336.html#4 Tue, 03 Mar 2009 12:16:50 GMT &gt;В версии 12.4T есть zone based firewall, <br>&gt;там можно ограничить количество tcp сессий из одной зоны в другую. <br>&gt;<br>&gt;<br>&gt;http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00808bc994.shtml#conf6 <br>&gt;<br>&gt;Проверил - на 2800 работает :) <br><br>а это общее число сессий задается?<br>или для каждого пользователя?<br><br>