问题描述:
某大学一台S3526下接的用户常常使用BT下载软件。如果在S3526上不开启system-guard命令则容易死机,但是开启这条命令的话有很多用户反映BT软件工作异常。
原因分析:
首先我们看一下system-guard命令原理:
system-guard是以太网交换机实现的蠕虫病毒检测功能。交换机通过自动下发ACL方式使染毒主机下线,从而将染毒主机与网络隔离,保证网络其他主机不受感染,在超过一定时间后,交换机将恢复对这个染毒主机地址的正常转发流程。
也就是说这条命令限制了TCP并发连接数,它实时监控每一个进程的并发线程数目,只要超过了系统认为的安全线程数目就开始蔽屏掉部分线程。这是为了防止震荡波这类的蠕虫病毒,但是bt、emule这类的多线程的点对点工具也一起被同等对待了。于是不开启system-guard时,蠕虫病毒将导致设备死机,开启system-guard时导致很多用户BT软件工作异常。
首先掌握一下system-guard命令的配置:
使能system-guard检测功能:system-guard enable
禁止system-guard检测功能:undo system-guard enable
设置当前最大可检测染毒主机的数目: system-guard detect-maxnum number
恢复最大可检测的染毒主机数目至缺省值: undo system-guard detect-maxnum
设置地址学习数目的上限、重复检测次数的上限和隔离时间:
system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
缺省情况下,system-guard地址学习数目的上限(IP-record-threshold)、重复检测次数的上限(record-times-threshold)、隔离时间(isolate-time)分别为:30、1、3.
例如:在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后,系统如果连续3次检测到来自某源IP的地址每次IP地址学习数目都超过了50,系统就认为受到了攻击,将此源IP检测出来,在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。
解决方法:
修改system-guard地址学习数目的上限值设为较大值(如50)问题得到解决(具体的参数值需要根据用户数量来确定,用户数量越多,该值应该越大)。
注:除S3526系列交换机外,S3526E系列交换机也支持system-guard特性。打开: http://www.qqread.com/exchange/f388341.html
更多内容请看三层交换技术专题、交换机与路由器密码恢复、交换机的选购专题,或进入讨论组讨论。
某大学一台S3526下接的用户常常使用BT下载软件。如果在S3526上不开启system-guard命令则容易死机,但是开启这条命令的话有很多用户反映BT软件工作异常。
原因分析:
首先我们看一下system-guard命令原理:
system-guard是以太网交换机实现的蠕虫病毒检测功能。交换机通过自动下发ACL方式使染毒主机下线,从而将染毒主机与网络隔离,保证网络其他主机不受感染,在超过一定时间后,交换机将恢复对这个染毒主机地址的正常转发流程。
也就是说这条命令限制了TCP并发连接数,它实时监控每一个进程的并发线程数目,只要超过了系统认为的安全线程数目就开始蔽屏掉部分线程。这是为了防止震荡波这类的蠕虫病毒,但是bt、emule这类的多线程的点对点工具也一起被同等对待了。于是不开启system-guard时,蠕虫病毒将导致设备死机,开启system-guard时导致很多用户BT软件工作异常。
首先掌握一下system-guard命令的配置:
使能system-guard检测功能:system-guard enable
禁止system-guard检测功能:undo system-guard enable
设置当前最大可检测染毒主机的数目: system-guard detect-maxnum number
恢复最大可检测的染毒主机数目至缺省值: undo system-guard detect-maxnum
设置地址学习数目的上限、重复检测次数的上限和隔离时间:
system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
缺省情况下,system-guard地址学习数目的上限(IP-record-threshold)、重复检测次数的上限(record-times-threshold)、隔离时间(isolate-time)分别为:30、1、3.
例如:在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后,系统如果连续3次检测到来自某源IP的地址每次IP地址学习数目都超过了50,系统就认为受到了攻击,将此源IP检测出来,在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。
解决方法:
修改system-guard地址学习数目的上限值设为较大值(如50)问题得到解决(具体的参数值需要根据用户数量来确定,用户数量越多,该值应该越大)。
注:除S3526系列交换机外,S3526E系列交换机也支持system-guard特性。打开: http://www.qqread.com/exchange/f388341.html
更多内容请看三层交换技术专题、交换机与路由器密码恢复、交换机的选购专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- 三层交换技术专题 (1708篇文章)
- 交换机与路由器密码恢复 (3943篇文章)
- 交换机的选购 (1634篇文章)
- 常用交换机典型配置 (1634篇文章)
- 交换机故障处理手册 (1693篇文章)
- Cisco交换机专题 (4265篇文章)
- 华为交换机 (2439篇文章)
- 思科交换机配置 (4265篇文章)
- 交换机配置基础知识与实战技巧 (1634篇文章)
- Linux命令简介 (9952篇文章)
- 关于思科局域网交换机维护与配置应用技巧 (0次浏览)
- 交换机安全技术 如何架设安全的交换机系统 (0次浏览)
- Juniper出击交换机市场 与老对手思科展开新竞 (0次浏览)
- 智能交换平台迎接存储挑战 (0次浏览)
