如何为下一代服务配置服务集限制
要配置服务集限制,请执行以下操作:
- 设置服务集每秒允许的最大会话设置数。达到此设置速率后,将丢弃任何其他会话设置尝试。如果未包含
max-session-creation-rate语句,则会话设置速率不受限制。[edit services service-set service-set-name ] user@host# set max-session-setup-rate (number | numberk)
如果使用 numberk 格式,则 1k=1000。
- 当服务集中的流量超过语句在
[edit services service-set service-set-name]层次结构级别上设置max-flows的限制时,允许数据包绕过,而无需创建新会话。[edit services service-set service-set-name service-set-options] user@host# bypass-traffic-on-exceeding-flow-limits
- 要限制系统日志中的会话打开信息,可以禁止收集这些信息。
[edit services service-set service-set-name service-set-options] user@host# set disable-session-open-syslog
- 配置单个订阅者允许的最大会话数。
[edit services service-set service-set-name service-set-options] user@host# set max-sessions-per-subscriber session-number
- 指定服务集上同时允许的最大会话数。如果将最大会话数指定为零,则表示配置无效。您必须为最大会话数指定一个高于零的值。
[edit services service-set service-set-name service-set-options] user@host# set session-limit maximum number
- 配置服务集的会话生存期(以秒为单位)。在此时间之后,会话将关闭,即使该会话上有流量运行。
[edit services service-set service-set-name service-set-options] user@host# set session-timeout seconds
- 指定非 TCP 已建立会话的非活动超时期限。
user@host# set inactivity-non-tcp-timeout seconds
- 配置服务集的 TCP 会话参数。
设置传输控制协议 (TCP) 会话拆除的超时期限。
[edit services service-set-name services-options] user@host# set close-timout seconds
默认值为 1 秒。范围为 2 到 300 秒。
为非对称 TCP 建立的会话配置非活动超时期限
[edit services service-set service-set-name service-set-options tcp-session] user@host# set inactivity-asymm-tcp-timeout seconds
配置单向 TCP 会话在关闭之前可以处于非活动状态的秒数。
[edit services service-set service-set-name service-set-options tcp-session] user@host# set inactivity-tcp-timeout seconds
默认值为 30 秒。范围为 4 到 86,400 秒。在应用程序协议定义中配置的任何值都将覆盖此处指定的值;有关更多信息,请参阅 为下一代服务配置应用程序属性。
设置传输控制协议 (TCP) 会话建立的超时期限,以便与针对网络入侵的 SYN-cookie 防御配合使用。
[edit services service-set-name service-set-options ] user@host# set open-timeout seconds
默认值为 5 秒。可能值的范围为 4 到 224 秒。您在入侵检测服务 (IDS) 定义中配置的任何值都将覆盖此处指定的值;有关更多信息,请参阅 使用 IDS 屏幕为下一代服务配置网络攻击防护。