IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置:首頁(yè)系統(tǒng)集成網(wǎng)絡(luò)管理 → 交換機(jī)system-guard命令常見(jiàn)問(wèn)題原因分析

交換機(jī)system-guard命令常見(jiàn)問(wèn)題原因分析

時(shí)間:2015/6/28來(lái)源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評(píng)論(0)

交換機(jī)system-guard命令常見(jiàn)問(wèn)題原因分析,交換機(jī)通過(guò)自動(dòng)下發(fā)ACL方式使染毒主機(jī)下線 ,從而將染毒主機(jī)與網(wǎng)絡(luò)隔離,保證網(wǎng)絡(luò)其他主機(jī)不受感染,在超過(guò)一定時(shí)間后,交換機(jī)將恢復(fù)對(duì)這個(gè)染毒主機(jī)地址的正常轉(zhuǎn)發(fā)流程。

交換機(jī)system-guard命令問(wèn)題描述:

某大學(xué)一臺(tái)S3526下接的用戶常常使用bt下載軟件。如果在S3526上不開(kāi)啟交換機(jī)system-guard命令則容易死機(jī),但是開(kāi)啟這條命令的話有很多用戶反映BT軟件工作異常。

交換機(jī)system-guard命令原因分析:

首先我們看一下system-guard命令原理:system-guard是以太網(wǎng)交換機(jī)實(shí)現(xiàn)的蠕蟲(chóng)病毒檢測(cè)功能。交換機(jī)通過(guò)自動(dòng)下發(fā)ACL方式使染毒主機(jī)下線 ,從而將染毒主機(jī)與網(wǎng)絡(luò)隔離,保證網(wǎng)絡(luò)其他主機(jī)不受感染,在超過(guò)一定時(shí)間后,交換機(jī)將恢復(fù)對(duì)這個(gè)染毒主機(jī)地址的正常轉(zhuǎn)發(fā)流程。

也就是說(shuō)這條命令限制了TCP并發(fā)連接數(shù),它實(shí)時(shí)監(jiān)控每一個(gè)進(jìn)程的并發(fā)線程數(shù)目,只要超過(guò)了系統(tǒng)認(rèn)為的安全線程數(shù)目就開(kāi)始蔽屏掉部分線程。這是為了防止震蕩波這類的蠕蟲(chóng)病毒,但是bt、emule這類的多線程的點(diǎn)對(duì)點(diǎn)工具也一起被同等對(duì)待了。于是不開(kāi)啟system-guard時(shí),蠕蟲(chóng)病毒將導(dǎo)致設(shè)備死機(jī),開(kāi)啟system-guard時(shí)導(dǎo)致很多用戶BT軟件工作異常。

首先掌握一下交換機(jī)system-guard命令的配置:
◆使能system-guard檢測(cè)功能:system-guard enable
◆禁止system-guard檢測(cè)功能:undo system-guard enable
◆設(shè)置當(dāng)前最大可檢測(cè)染毒主機(jī)的數(shù)目: system-guard detect-maxnum number
◆恢復(fù)最大可檢測(cè)的染毒主機(jī)數(shù)目至缺省值: undo system-guard detect-maxnum
◆設(shè)置地址學(xué)習(xí)數(shù)目的上限、重復(fù)檢測(cè)次數(shù)的上限和隔離時(shí)間:
◆system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
 
缺省情況下,system-guard地址學(xué)習(xí)數(shù)目的上限(IP-record-threshold)、重復(fù)檢測(cè)次數(shù)的上限(record-times-threshold)、隔離時(shí)間(isolate-time)分別為:30、1、3.例如:

在設(shè)置了地址學(xué)習(xí)數(shù)目的上限為50、重復(fù)檢測(cè)次數(shù)的上限為3、隔離時(shí)間為5后,系統(tǒng)如果連續(xù)3次檢測(cè)到來(lái)自某源IP的地址每次IP地址學(xué)習(xí)數(shù)目都超過(guò)了50,系統(tǒng)就認(rèn)為受到了攻擊,將此源IP檢測(cè)出來(lái),在5倍的老化周期內(nèi)不學(xué)習(xí)來(lái)自此源IP的報(bào)文中的目的IP地址。

交換機(jī)system-guard命令解決方法:

修改交換機(jī)system-guard命令地址學(xué)習(xí)數(shù)目的上限值設(shè)為較大值(如50)問(wèn)題得到解決(具體的參數(shù)值需要根據(jù)用戶數(shù)量來(lái)確定,用戶數(shù)量越多,該值應(yīng)該越大)。注:除S3526系列交換機(jī)外,S3526E系列交換機(jī)也支持system-guard特性。

關(guān)鍵詞標(biāo)簽:交換機(jī),system-guard命

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門(mén)文章 路由器地址大全-各品牌路由設(shè)置地址路由器地址大全-各品牌路由設(shè)置地址各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密Nslookup命令詳解-域名DNS診斷Nslookup命令詳解-域名DNS診斷站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼路由器地址大全-各品牌路由設(shè)置地址騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程路由表說(shuō)明(詳解route print)網(wǎng)管員實(shí)際工作的一天用此方法讓2M帶寬下載速度達(dá)到250K/S左右網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量