交换机上配置防攻击的系统保护(SystemGuard功能)

Ruijie#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Ruijie(config)#intg0/1----进入需要配置SystemGuard功能的接口Ruijie(config-if-GigabitEthernet0/1)#system-guardenable---开启SystemGuard功能Ruijie(config-if-GigabitEthernet0/1)#system-guardisolate-time600----配置非法用户的隔离时间。取值范围为30秒到3600秒，缺省值为120秒Ruijie(config-if-GigabitEthernet0/1)#system-guardsame-dest-ip-attack-packets100----配置对某个不存在的IP不断的发IP报文进行攻击的最大阈值Ruijie(config-if-GigabitEthernet0/1)#system-guardscan-dest-ip-attack-packets100----配置对一批IP网段进行扫描攻击的最大阈值Ruijie(config-if-GigabitEthernet0/1)#exit----退出到全局模式Ruijie(config)#system-guarddetect-maxnum200----设置监控主机的最大数Ruijie(config)#system-guardexception-ip192.168.1.1/24----添加防攻击功能的特例IP地址Ruijie(config)#exit----退出到特权模式Ruijie#clearsystem-guard----清除所有已被隔离用户Ruijie#clearsystem-guardinterfaceg0/1----清除该端口下被隔离的所有用户Ruijie#clearsystem-guardinterfaceg0/1192.168.1.1---清除该接口下被隔离的指定IP用户注意：设置设备监控攻击主机的最大数。一般来说，这个数目保持在“实际运行的主机数的％20”左右即可。但是，如果您发现被隔离的主机数已经达到或接近监控的主机数最大数，那可以扩大监控主机的数目，以达到更好的保护系统的要求。对于已经被隔离的IP，即使该IP在配置的特例IP范围内，在该IP被老化之前仍会处于被隔离状态，如果您想要允许该IP的报文发往CPU，可以用clearsystem-guard命令来解除对该IP的隔离。可以用showsystem-guardisolated-ip来查看系统保护被隔离的IP的信息