当局域网内的主机遭受NAT攻击时,主机的网络连接数可能会超过几十万个,从而会严重影响业务的正常运行或出现网络掉线现象。此时,可对指定主机的最大网络连接数进行限制,保证网络资源的有效利用。
nat session limit 2000 per-ip
另外可以考虑在nat中排除所有私有网段,避免内网无效或非法数据泄露到公网及消耗NAT资源。
限制每个IP的最大连接数为2000,同时需要用display nat session all找出攻击源进行隔离
nat攻击的症状表现录下:
– 在内网访问外网卡顿甚至掉线,包括tcp,udp,dns不能正常请求
– ping基本上是正常的
– vpn或其它长连接应用如果不断开的话仍然能正常连接
– 外网访问内网服务器(静态NAT)可能正常连接,但速度会变慢
– 更换路由器及外网线路不能解决问题
– 路由器本身上网正常,不经过NAT的路由转发也正常
– IPv6正常(理论上如此,现网中没有IPv6)