セッションコントロールの操作 (asg_session_control)
新しい通信セッションを開く速度を制御することができます。
セッションコントロール
説明
Expert モードで "asg_session_control
" コマンドを使用すると、事前に定義したルール 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。に基づき、新しい通信セッションを開く速度を設定することができます。
このコマンドは、Session Rate Throttling とも呼ばれます。
注:セッションレート制御はデフォルトで無効になっています。セッションコントロールのルールは、$FWDIR/conf/control_rules
ファイルで作成します。
構文
# asg_session_control apply disable stats verify |
パラメータ
パラメータ |
説明 |
---|---|
パラメータなし |
コマンドの構文とヘルプ情報を表示します。 |
|
|
|
すべてのセキュリティグループメンバのセッションレートルールを無効にします。 |
|
すべてのセッション・レート・ルールとドロップされたトラフィックの統計情報を表示します。 |
|
コンフィギュレーションが正しいかどうかを確認します。 |
セッション制御ルールの定義
$FWDIR/conf/control_rules
ファイルにセッション・レート・ルールを定義します。
各ルールには1行を使用します。
各ルールには、"limit
" パラメータを含める必要があります。その他のパラメータは任意である。
|
重要- ルールはできるだけ具体的に定義し、複数のルールが同じトラフィックに適用されないようにします。ルールが重なると予想外の結果になることがあります。 |
|
ベストプラクティス- 各ルールのすべてのパラメータを明示的に定義する。 |
ルール構文
|
パラメータ
パラメータ |
説明 |
---|---|
|
送信元IPv4アドレスとネットマスクを指定します。 |
|
宛先IPv4アドレスとネットマスクを指定します。 |
|
宛先ポート番号を指定します。 |
|
プロトコル番号を指定する。 IANA Protocol Numbers参照してください。 |
|
1秒間に許可される新規接続数の最大値を指定します。 |
|
ルール制限の適用方法を指定します。
|
|
注:
|
例

|
このルールは、このトラフィックに対して、1秒間に20件の新規接続の制限を定義します。
-
すべての送信元IPアドレスから
-
宛先ネットワークへ
1.1.1.0/24
-
宛先ポート
67
-
Over UDP (プロトコル
17
)

|
このルールでは、このトラフィックに対して、1秒間に13の新規接続の制限を定義します。
-
すべての送信元IPアドレスから
-
宛先ホストへ
1.1.1.1/32
-
宛先ポート
80
-
Over TCP (プロトコル
6
)
セッションコントロールの統計情報を表示する
説明
"asg_session_control stats
" コマンドは、セッション制御規則を表示します。
構文
|

出力には、各セキュリティグループメンバのセッション制御ルールと、各ルールによってドロップされた接続が表示されます。
セッション制御ルールの適用
説明
"asg_session_control apply
" コマンドは、設定されたセッション制御ルールを適用します。
構文
|