用H3C防火墙的nat连接数限制功能，来实现限制P2P下载

对于网络管理人员来说，较头疼的无非是带宽永远都无法满足下面员工的需求，经常有人抱怨网速慢的问题。以笔者的经验看，占用带宽较多的还是来自于p2p下载和视频网站。有什么好办法可以有效解决这个问题呢？较近使用H3C SECPATH的nat 连接数限制来，可以在一定程度上做到。
设备:h3c secpath F1000-A
功能:NAT 连接数限制
步骤：
一：使用连接数限制
connection-limit enable                                //使用连接数限制功能
connection-limit default deny                    //默认操作为deny
connection-limit default amount upper-limit 50 lower-limit 20 //默认上限连接数为50，下限为20
二：配置ACL
acl number 2007
 description Nat-Limit-Acl
 rule 10 permit source 172.17.16.0 0.0.0.255       //匹配172.17.16.0/24网段
 rule 20 permit source 172.17.17.0 0.0.0.255       //匹配172.17.17.0/24网段
 rule 30 permit source 172.17.18.0 0.0.0.255       //匹配172.17.18.0/24网段
三：建立策略
connection-limit policy 0                     //建立策略0
 limit 0 acl 2007 per-source amount 200 150   //匹配ACL2007中，每个源地址的连接上限为200，连接下限为150.
四：使用策略
system-view下：
nat connect-limit-policy 0  //启用刚刚设立的策略
注释：连接上限指的是，当一台电脑的nat连接数达到200个时，将执行上面设定的deny操作，此时用户将无法继续上网。用户断网后，连接数将逐步减少，当连接数少于150个的连接下限时，用户将被“解禁”，可以继续上网。连接数的多少，看大家的实际情况而定，可能自由更改。