锐捷产品手册
  • Home
  • 交换产品
    • 第一部分:交换机的概述
      • 1. 交换机的几种配置方法
        • 1.1 控制台
        • 1.2 远程登录
        • 1.3 其它配置方法
      • 2. 命令行(CLI)操作
        • 2.1 命令模式的切换
        • 2.2 CLI命令的编辑技巧
        • 2.3 常见CLI错误提示
        • 2.4 使用no和default选项
      • 3. 交换机的初始化配置
        • 3.1 交换机的初始化配置
        • 3.2 setup命令
      • 4. 配置文件的保存、查看与备份
        • 4.1 查看配置文件
        • 4.2 保存配置文件
        • 4.3 删除配置文件
        • 4.4 备份配置文件
      • 5. 文件系统
        • 5.1 文件系统概述
        • 5.2 文件操作
        • 5.3 目录操作
      • 6. 系统文件的备份与升级
        • 6.1 搭建环境
        • 6.2 用TFTP传输文件
        • 6.3 用Xmodem传输文件
        • 6.4 ROM监控模式
      • 7. 密码丢失的解决方法
    • 第二部分:交换机的基本配置
      • 1. 配置主机名
        • 1.1 配置主机名
      • 2. 配置口令
        • 2.1 配置控制台口令
        • 2.2 配置远程登录口令
        • 2.3 配置特权口令
      • 3. 配置管理IP和默认网关
        • 3.1 配置交换机的管理IP
        • 3.2 配置交换机的默认网关
      • 4. 远程登录(Telnet)的配置
        • 4.1 远程登录条件
        • 4.2 开启和禁止远程登录
        • 4.3 限制远程登录访问
        • 4.4 设置远程登录的超时时间
        • 4.5 查看Telnet Server的状态
      • 5. 配置接口的基本参数
        • 5.1 交换机接口的类型
        • 5.2 交换机接口的默认配置
        • 5.3 交换机接口配置的一般方法
        • 5.4 配置接口描述
        • 5.5 配置接口速率
        • 5.6 配置接口的双工模式
        • 5.7 禁用/启用交换机接口
        • 5.8 查看交换机接口信息
      • 6. 单个接口的配置
        • 6.1 2层Access Port(普通口)的配置
        • 6.2 2层Trunk Port(Trunk口)的配置
        • 6.3 3层Routed Port(路由口)的配置
      • 7. VLAN和SVI的配置
        • 7.1 VLAN的配置
        • 7.2 SVI的配置
      • 8. Aggregate Port的配置
        • 8.1 2层Aggregate Port(通道口)的配置
        • 8.2 3层Aggregate Port(通道口)的配置
      • 9. 路由的配置与查看
        • 9.1 启用和关闭IP路由
        • 9.2 配置默认路由
        • 9.3 查看路由表
      • 10. RIP协议的配置
        • 10.1 RIP协议的一般配置
        • 10.2 RIP协议参数的配置
      • 11. OSPF协议的配置
        • 11.1 OSPF协议的一般配置
    • 第三部分:交换机的高级配置
      • 1. 配置系统时间
        • 1.1 设置系统时间
        • 1.2 设置时区
        • 1.3 查看系统时间
      • 2. 配置DHCP代理
        • 2.1 多网段的DHCP构建
        • 2.2 DHCP代理的配置
      • 3. 接口风暴控制的配置
        • 3.1 风暴控制
        • 3.2 查看风暴控制信息
      • 4. 配置预防DoS攻击的入口过滤
        • 4.1 DoS攻击概述
        • 4.2 在三层交换机上配置DoS过滤
      • 5. 配置防范扫描攻击的系统保护
        • 5.1 扫描攻击概述
        • 5.2 在三层交换机上配置系统保护
        • 5.3 系统保护信息的查看
    • 第四部分:交换机的配置举例
      • 1. 实例----用3层交换机划分子网
      • 2. 实例----交换机VLAN的划分
      • 3. 实例----交换机SVI接口的定义
    • VSU配置
      • 10.x版本
        • 1. VSU基本配置
        • 2. VSU优化配置
        • 3. 三台交换机VSU组网案例
      • 11.x版本
        • 1. VSU基本配置
        • 2. VSU优化配置
        • 3. 三台交换机VSU组网案例
    • 端口防环
      • 端口防环路RLDP功能介绍及配置
      • 环路排查方法
    • 交换产品常用命令
    • 常规交换机配置模板
    • 交换机Q&A
  • 无线产品
    • AC旁挂核心配置(AC-核心)
    • 无线产品常用命令
  • 外部链接
Powered by GitBook
On this page
  • 1、打开系统保护功能:
  • 模式:
  • 命令:
  • 说明:
  • 2、关闭系统保护功能:
  • 模式:
  • 命令:
  • 3、配置系统保护参数:
  • 模式:
  • ①配置攻击阀值:
  • 命令:
  • 说明:
  • ②配置隔离时间:
  • 命令:
  • 说明:
  • ③配置监控主机的最大数目:
  • 命令:
  • 说明:
  • 4、手工解除隔离的主机:
  • 模式:
  • 命令:
  • 配置举例:

Was this helpful?

  1. 交换产品
  2. 第三部分:交换机的高级配置
  3. 5. 配置防范扫描攻击的系统保护

5.2 在三层交换机上配置系统保护

在缺省情况下,3层交换机上防扫描的系统保护功能是关闭的,配置时,需要打开该服务。

1、打开系统保护功能:

模式:

接口配置模式。

命令:

Switch(config-if)#system-guard enable

这条命令用于打开指定接口的系统保护功能。

说明:

这条命令只能用于3层口。你可以使用 interface range 命令在一批接口上进行设置。

2、关闭系统保护功能:

模式:

接口配置模式。

命令:

Switch(config-if)#no system-guard

3、配置系统保护参数:

模式:

接口配置模式。

①配置攻击阀值:

攻击阀值是判断是否发生扫描攻击的条件,当系统检测到连续的扫描次数超过设定的阀值时就认为发生了扫描攻击。

攻击阀值有两个:一是 scan dest ip attack packets,它用于判断是否发生对一批网段进行扫描的攻击,每个端口的默认值都是每秒10个;另一是 same dest ip attack packets,它用于判断是否发生不存在的IP发送报文的攻击,每个端口的默认值都是每秒20个。你可以用命令修改它们。

命令:

Switch(config-if)#system-guard scan-dest-ip-attack-packets number
Switch(config-if)#system-guard same-dest-ip-attack-packets number

scan dest ip attack packets 的取值范围是0~1000,单位是每秒报文数,默认值为10。如果设置为0表示不对这种攻击进行监控。

same dest ip attack packets 的取值范围是0~2000,单位是每秒报文数,默认值为20。如果设置为0表示不对这种攻击进行监控。

说明:

如果把攻击阀值设置太小,会导致判断攻击的准确度变差,容易误隔离正常上网的主机。

②配置隔离时间:

当保护系统发现攻击时,会自动隔离发动攻击的IP地址,隔离一段时间该IP地址会自动恢复通信。

命令:

Switch(config-if)#system-guard isolate-time time

隔离时间的取值范围是30~3600,单位是秒,默认值为120秒。

说明:

当用户被隔离时,会发一个LOG记录到日志系统,解除隔离时也会发一个LOG通知,管理员可以在日志中进行查询。

③配置监控主机的最大数目:

这个数目是同时被隔离的和监控的IP地址的最大数量。

命令:

Switch(config-if)#system-guard detect-maxnum number

number的取值范围是1~500,默认值为100个。

说明:

一般来说,这个数目保持在“实际运行的主机数/20”左右即可,当发现实际隔离的主机数已接近最大数值时,应适当扩大此数值。但如果你把它改小,会引起当前隔离的主机数据清空。

4、手工解除隔离的主机:

被隔离的IP在隔离时间到后会自动解除隔离,你也可以用命令提前解除某些主机的隔离。

模式:

特权模式。

命令:

Switch#clear system-guard interface interface-id ip-address ip-address

用 1clear system-guard1 命令可清除所有隔离的IP;

用 clear system-guard interface interface-id命令可清除指定接口下所有隔离的IP;

用 clear system-guard interface interface-id ip-address ip-address命令可清除指定接口下指定的IP。

配置举例:

Switch>enable
Switch#configure terminal
Switch(config)#interface range f0/1-5
Switch(config-if)#system-guard enable
Switch(config-if)#system-guard scan-dest-ip-attack-packets 20
Switch(config-if)#system-guard same-dest-ip-attack-packets 30
Switch(config-if)#end
Switch#

本例假设f0/1~f0/5都已经配置为3层路由口,然后在它们上面启用系统保护功能。

Previous5.1 扫描攻击概述Next5.3 系统保护信息的查看

Last updated 5 years ago

Was this helpful?