利用Secpath防火墙限制TCP会话连接

　　在局域网内的某台PC感染病毒，它会发起大量的连接，迅速消耗路由器资源，导致路由器效率下降，影响其他用户使用。NAT限制最大连接数可以避免出现这种情况。通过连接数限制功能，可以设置某种特征的连接数上限，从而可以实现NAT限制最大连接数的功能。

　　配置如下：

　　# 创建ACL并配置规则，来匹配源IP地址为192.168.1.2/24的数据。

　　system-view

　　[Quidway] acl number 2000

　　[Quidway-acl-basic-2000] rule 0 permit source 192.168.1.2 0

　　[Quidway-acl-basic-2000] quit

　　# 创建连接数限制策略，并配置子规则，对单一源地址发起的连接数进行限制。

　　[Quidway] connection-limit enable

　　[Quidway] connection-limit policy 0

　　[Quidway-connection-limit-policy-0] limit 0 acl 2000 per-source amount 10 1

　　[Quidway-connection-limit-policy-0] quit

　　# NAT引用连接数限制策略0。

　　[Quidway] nat connection-limit-policy 0

　　但要明确一个问题：

　　通过定义连接限制策略规则的ACL，不但可以限制TCP连接数量，也可以限制非TCP流量（如：UDP、ICMP）。如果只对TCP连接进行限制，需要在ACL中明确指定。