对于网络管理人员来说，最头疼的无非是带宽永远都无法满足下面员工的需求，经常有人抱怨网速慢的问题。以笔者的经验看，占用带宽最多的还是来自于p2p下载和视频网站。有什么好办法可以有效解决这个问题呢？最近使用H3C SECPATH的nat 连接数限制来，可以在一定程度上做到。

设备:h3c secpath F1000-A

功能:NAT 连接数限制

步骤：

一：使用连接数限制

connection-limit enable                                //使用连接数限制功能
connection-limit default deny                    //默认操作为deny
connection-limit default amount upper-limit 50 lower-limit 20 //默认上限连接数为50，下限为20

二：配置ACL

acl number 2007
 description Nat-Limit-Acl
 rule 10 permit source 172.17.16.0 0.0.0.255       //匹配172.17.16.0/24网段
 rule 20 permit source 172.17.17.0 0.0.0.255       //匹配172.17.17.0/24网段
 rule 30 permit source 172.17.18.0 0.0.0.255       //匹配172.17.18.0/24网段

三：建立策略

connection-limit policy 0                     //建立策略0
 limit 0 acl 2007 per-source amount 200 150   //匹配ACL2007中，每个源地址的连接上限为200，连接下限为150.

注释：连接上限指的是，当一台电脑的nat连接数达到200个时，将执行上面设定的deny操作，此时用户将无法继续上网。用户断网后，连接数将逐步减少，当连接数少于150个的连接下限时，用户将被“解禁”，可以继续上网。连接数的多少，看大家的实际情况而定，可能自由更改。