2018年10月31日

nfpp(锐捷) 南京廖华

吐艳ARP抗袭击功用

您可以在nfpp养家费类型或许鼻子养家费类型下吐艳ARP抗袭击功用,默许局面下,它是翻开的。。

Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9

命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard enable Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(CONFIG)鼻子 interface-name Ruijie(config-if)#nfpp arp-guard enable Ruijie(养家费IF) Ruijie#show nfpp arp-guard summary 进入大局养家费类型。 输出NFPP养家费类型。 大局吐艳ARP抗袭击功用,未履行任务或责任局面下翻开。 反复赋予公民权类型。 进入大局养家费类型。 接近鼻子养家费类型。 在左舷上吐艳ARP抗袭击功用,默许局面下,左舷没养家费本土电话交换机。,应用大局使脱轨。 反复赋予公民权类型。 反省养家费参量 保存养家费。 功能 Step 10 Ruijie#copy running-config startup-config

? 当心

当ARP防袭击功用结束当日广播时,体系将无意识的卸下监控大师并扫描大师。。

为袭击者设置屏蔽的工夫

对袭击者的屏蔽的工夫分为大局屏蔽的工夫和鉴于左舷的屏蔽的工夫(即分岔屏蔽的工夫)。四处走动的躲藏处,万一未养家费左舷屏蔽的工夫,和应用大局屏蔽的工夫。;要不然,鉴于左舷的屏蔽的工夫。

Step 1 Step 2 Step 3

Ruijie(config-nfpp)#arp-guard isolate-period [秒 | 四季开花的的 Step 4 Step 5

Ruijie(config-nfpp)#end Ruijie#configure terminal 命令 Ruijie#configure terminal Ruijie(config)#nfpp 进入大局养家费类型。 输出NFPP养家费类型 为袭击者养家费大局屏蔽的工夫。 管辖的见识为0秒。,30秒到86400秒,换句话说,有朝一日。,默许值为0秒。,指挥的非屏蔽的;无穷屏蔽的的无穷竖直放置。。 反复赋予公民权类型 进入大局养家费类型。 功能 Step 6 Step 7

Ruijie(CONFIG)鼻子 interface-name 接近鼻子养家费类型。 为左舷上的袭击者养家费屏蔽的工夫。 管辖的见识为0秒。,180秒到86400秒,换句话说,有朝一日。,默许局面下,没养家费本土屏蔽的工夫。,大局屏蔽的工夫。0秒指挥的非屏蔽的;无穷屏蔽的的无穷竖直放置。。 反复赋予公民权类型。 反省养家费参量 保存养家费。 Ruijie(config-if)#nfpp arp-guard isolate-period [秒 | 四季开花的的 Step 8 Step 9 Step10

Ruijie(养家费IF) Ruijie#show nfpp arp-guard summary Ruijie#copy running-config startup-config 万一要将大局屏蔽的工夫回复为默许值,在nfpp养家费类型实现命令“no arp-guard isolate-period”。万一左舷首要的养家费本土屏蔽的工夫,如今想大局屏蔽的工夫,和在左舷养家费类型下实现命令否。 nfpp arp-guard 屏蔽的自行车避免了本土屏蔽的工夫。。 设置袭击者监督工夫

万一屏蔽的工夫是0,换句话说,没屏蔽的。,反袭击模块将无意识的监督袭击者,企图关系出席的体系中在什么人袭击者的要旨。。当屏蔽的工夫分养家费非零值时,,防袭击模块将无意识的屏蔽的大师与大师的计算机硬件。。

Step 1 Step 2 Step 3

命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard monitor-period seconds Ruijie(config-nfpp)#end Ruijie#show nfpp arp-guard summary Ruijie#copy running-config startup-config 进入大局养家费类型。 输出NFPP养家费类型 养家费袭击者监督工夫。 取值见识为180秒到86400秒,换句话说,有朝一日。,默许值为600秒。。 反复赋予公民权类型。 反省养家费参量 保存养家费。 功能 Step 4 Step 5 Step 6

万一要将监督工夫回复为默许值,在nfpp养家费类型实现命令“no arp-guard monitor-period”。

? 检测袭击者时,万一屏蔽的工夫为0,袭击者的软件监控,使超越时间监听

? 当心

工夫。在软件监控进程中,当屏蔽的工夫被养家费为非临时性,,来自某处袭击者的计算机硬件屏蔽的将被无意识的监控。,并设定使超越时间工夫到屏蔽的工夫。。当屏蔽的工夫为0时,监听工夫才是重量的。。

? 万一屏蔽的工夫从零变为零。,相关性左舷的袭击者将被坦率地切断。,而过失实现

软件监控。

设置监控大师的最大本利之和。

Step 1 Step 2 Step 3

命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard monitored-host-limit number Ruijie(config-nfpp)#end Ruijie#show nfpp arp-guard summary Ruijie#copy running-config startup-config 进入大局养家费类型。 功能 输出NFPP养家费类型。 养家费监控大师的最大本利之和。 见识是1到4294967295。,默许局面下,监控大师的最大本利之和为1000。。 反复赋予公民权类型。 反省养家费参量 保存养家费。 Step 4 Step 5 Step 6

万一监督大师的本利之和回复到默许值,在nfpp养家费类型实现命令“no arp-guard monitored-host-limit”。 万一监控大师的本利之和已遂愿默许值1000,此刻,管理员将监控大师的最大本利之和设置为,将不能胜任的切断目前的监督的大师。,相反,用脚踩踏要旨%不正确的。: The value that you configured is smaller than current monitored hosts 1000(养家费大师号) ,please clear a part of monitored 做东道主。提示管理员养家费不无效。,敝需求切断稍微被监控的大师。。

? 当心 当监控大师已满时,,用脚踩踏日记“% NFPP_ARP_GUARD-4-SESSION_LIMIT: Attempt to exceed limit of 1000(养家费大师号) monitored 主人。提示

管理员。

鉴于大师事业限度局限和引人注目袭击

引人注目大师雨、雪等猛烈的IP/VLAN ID/左舷和链路层源MAC/VLAN 引人注目ID/左舷的两种方式。每个大师都有有穷的的事业统治和袭击级限协定(也称为AL)。,限速统治霉臭在水下袭击级限协定。。当怪人大师的ARP音讯超越限速统治时,这些要旨将被出无用的牌超越事业限度局限。;万一怪人大师的ARP音讯超越袭击级限协定,将采取屏蔽的办法。,日记到日记,发送骗局。 ARP扫描引人注目维持,单位工夫为10秒。,默许值为15。,万一在10秒内收到15个或更多ARP音讯,,链路层源MAC地址使合在一起:封合和源IP地址使适应,或许链路层源MAC地址和源IP地址是使合在一起:封合的。,据我的观点有疑心的扫描。,将日记到日记,发送骗局。 当检测到袭击行为时,用脚踩踏日记要旨体式如次:

%NFPP_ARP_GUARD-4-DOS_DETECTED: Host was 检测。(2009-07-01 13:00:00) 日记满足的的最初任何人插曲射中靶子工夫是检测AT的工夫。。 表现在骗局音讯射中靶子要旨表现以下DE:

ARP DoS attack from host was 检测。

万一管理员将屏蔽的工夫分养家费非零值,当计算机硬件屏蔽的成时,用脚踩踏日记要旨体式如次所示:

%NFPP_ARP_GUARD-4-ISOLATED:Host was 使隔绝的。 (2009-07-01 13:00:00) 发送到骗局音讯的资料表现以下形容要旨:

Host was 使隔绝的。

当计算机硬件屏蔽的错过时(通常是鉴于内存不足或内存不足),用脚踩踏日记要旨体式如次所示:

%NFPP_ARP_GUARD-4-ISOLATE_FAILED: Failed to isolate host . (2009-07-01 13:00:00) 发送到骗局音讯的资料表现以下形容要旨:

Failed to isolate host.

当检测到ARP扫描时,用脚踩踏日记要旨体式如次所示:

%NFPP_ARP_GUARD-4-SCAN: Host was 检测。 (2009-07-01 13:00:00) 发送到骗局音讯的资料表现以下形容要旨:

ARP scan from host< IP=1.1.1.1,MAC=0000.0000.0004,port=Gi4/1,VLAN=1> was 检测。

ARP扫描表只保存最新的256条记载。。当ARP扫描已满时,,用脚踩踏日记提示处理者: %NFPP_ARP_GUARD-4-SCAN_TABLE_FULL: ARP scan table is 满的。

当管理员的事业限度局限线大于袭击THR时,用脚踩踏命令提示符要旨%不正确的:rate limit is higher than attack threshold 500 PPS(养家费的袭击级限协定)。提示管理员。。 当管理员的袭击级限协定没有事业,用脚踩踏命令提示符要旨%不正确的:attack threshold is smaller than rate limit 300 PPS(养家费事业限度局限统治)。提示管理员。。

? 袭击者屏蔽的,将在计算机硬件中建造谋略。,不管怎样计算机硬件资源是有穷的的。,计算机硬件资源时

精疲力竭,用脚踩踏日记提示处理者。

? 当心 ? 无法为检测到的袭击者分派内存时,用脚踩踏日记%NFPPARPARGARAD-4-NO

MEMORY: Failed to alloc 记得。告警管理员。

? ARP扫描表只记载最新的256条记载。。当ARP扫描表满时,,最新记载将包孕

最老记载。

管理员可以在nfpp养家费类型和鼻子养家费类型下举行养家费。

Step 1 Step 2 Step 3

命令 Ruijie#configure terminal Ruijie(config)#nfpp 进入大局养家费类型。 功能 输出NFPP养家费类型 在全球见识内,每个大师的ARP音讯的事业是有穷的的。。 见识是1到9999。,默许值为4。。 每个SRC IP是鉴于源IP / VID/左舷来验明大师的。,每个SRC MAC是鉴于链路层源MAC/VID/PART来引人注目的。。 大局养家费袭击级限协定。当大师的ARP音讯超越袭击级限协定时,我以为这是一次袭击。,对这么主人毫不迟疑采取检疫办法。,日记到日记,发送骗局。 见识是1到9999。,默许值为8。。 每个SRC IP是鉴于源IP / VID/左舷来验明大师的。,每个SRC MAC是鉴于链路层源MAC/VID/PART来引人注目的。。 大局养家费ARP扫描级限协定,见识是1到9999。,默许值为15。。单位值为10秒。。万一在10秒内收到超越15条ARP音讯,,链路层源MAC地址使合在一起:封合和源IP地址使适应,或许链路层源MAC地址和源IP地址是使合在一起:封合的。,据我的观点有疑心的扫描。。 阐明:ARP扫描的特点是链路层源MAC地址使合在一起:封合和源IP地址使适应,或许链路层源MAC地址和源IP地址是使合在一起:封合的。。 Ruijie(config-nfpp)#arp-guard rate-limit {per-src-ip | per-src-mac} pps Step 4

Ruijie(config-nfpp)#arp-guard attack-threshold {per-src-ip | per-src-mac} pps Step 5

Ruijie(config-nfpp)#arp-guard scan-threshold pkt-cnt Step 6 Step 7 Step 8 Step 9

Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(CONFIG)鼻子 interface-name 反复赋予公民权类型。 进入大局养家费类型。 接近鼻子养家费类型。 Ruijie(config-if)#nfpp arp-guard policy {per-src-ip | per-src-mac} rate-limit-pps attack-threshold-pps 养家费本土限速统治并袭击统治。,只对养家费左舷起功能。。 限速PPS是限速统治。,见识是1到9999。,默许局面下过失养家费鉴于左舷的速率。,采取全球汇率。 袭击级限协定PPS是袭击线。,见识是1到9999。。 默许局面下,左舷没本人的限速统治。,采取全球限速统治和限速统治。。 每个SRC IP是鉴于源IP / VID/左舷来验明大师的。,每个SRC MAC是鉴于链路层源MAC/VID/PART来引人注目的。。 Step 10

Ruijie(config-if)#nfpp arp-guard scan-threshold pkt-cnt 在每个左舷上养家费ARP扫描级限协定,见识是1到9999。,默许过失养家费鉴于左舷的ARP扫描级限协定。,使用大局ARP扫描级限协定。单位值为10秒。。

发表评论

电子邮件地址不会被公开。 必填项已用*标注