nfpp(锐捷) 南京廖华

吐艳ARP抗袭击效能

您可以在nfpp配备塑造或许交流配备塑造下吐艳ARP抗袭击效能,默许经济状况下,它是翻开的。。

Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9

命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard enable Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(CONFIG)交流 interface-name Ruijie(config-if)#nfpp arp-guard enable Ruijie(配备IF) Ruijie#show nfpp arp-guard summary 进入大局配备塑造。 输出NFPP配备塑造。 大局吐艳ARP抗袭击效能,未履行任务或责任经济状况下翻开。 回复原来信仰的人自主塑造。 进入大局配备塑造。 拜访交流配备塑造。 在意义上吐艳ARP抗袭击效能,默许经济状况下,意义没配备住处附近的当地酒店配电盘。,应用大局接线台。 回复原来信仰的人自主塑造。 反省配备参量 生活配备。 功能 Step 10 Ruijie#copy running-config startup-config

? 在意

当ARP防袭击效能打烊时,零碎将无意识的倾倒监控熟练并扫描熟练。。

为袭击者设置使隔离工夫

对袭击者的使隔离工夫分为大局使隔离工夫和鉴于意义的使隔离工夫(即零件使隔离工夫)。向左舷,以防未配备意义使隔离工夫,因此应用大局使隔离工夫。;不然,鉴于意义的使隔离工夫。

Step 1 Step 2 Step 3

Ruijie(config-nfpp)#arp-guard isolate-period [秒 | 恒久的人的 Step 4 Step 5

Ruijie(config-nfpp)#end Ruijie#configure terminal 命令 Ruijie#configure terminal Ruijie(config)#nfpp 进入大局配备塑造。 输出NFPP配备塑造 为袭击者配备大局使隔离工夫。 投掷为0秒。,30秒到86400秒,就是说,有一天。,默许值为0秒。,训示非使隔离;无穷使隔离的无穷漂白者。。 回复原来信仰的人自主塑造 进入大局配备塑造。 功能 Step 6 Step 7

Ruijie(CONFIG)交流 interface-name 拜访交流配备塑造。 为意义上的袭击者配备使隔离工夫。 投掷为0秒。,180秒到86400秒,就是说,有一天。,默许经济状况下,没配备住处附近的当地酒店使隔离工夫。,大局使隔离工夫。0秒训示非使隔离;无穷使隔离的无穷漂白者。。 回复原来信仰的人自主塑造。 反省配备参量 生活配备。 Ruijie(config-if)#nfpp arp-guard isolate-period [秒 | 恒久的人的 Step 8 Step 9 Step10

Ruijie(配备IF) Ruijie#show nfpp arp-guard summary Ruijie#copy running-config startup-config 以防要将大局使隔离工夫回复为默许值,在nfpp配备塑造演技命令“no arp-guard isolate-period”。以防意义前段配备住处附近的当地酒店使隔离工夫,如今想大局使隔离工夫,因此在意义配备塑造下演技命令否。 nfpp arp-guard 使隔离学时除掉了住处附近的当地酒店使隔离工夫。。 设置袭击者监督工夫

以防使隔离工夫是0,就是说,没使隔离。,反袭击模块将无意识的监督袭击者,求婚公司或企业一般零碎中在哪独一袭击者的通讯。。当使隔离工夫分求出比值非零值时,,防袭击模块将无意识的使隔离熟练与熟练的武器装备。。

Step 1 Step 2 Step 3

命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard monitor-period seconds Ruijie(config-nfpp)#end Ruijie#show nfpp arp-guard summary Ruijie#copy running-config startup-config 进入大局配备塑造。 输出NFPP配备塑造 配备袭击者监督工夫。 取值程度为180秒到86400秒,就是说,有一天。,默许值为600秒。。 回复原来信仰的人自主塑造。 反省配备参量 生活配备。 功能 Step 4 Step 5 Step 6

以防要将监督工夫回复为默许值,在nfpp配备塑造演技命令“no arp-guard monitor-period”。

? 检测袭击者时,以防使隔离工夫为0,袭击者的软件监控,加时赛监控人员

? 在意

工夫。在软件监控折术中,当使隔离工夫被配备为非过渡期间,,来自某处袭击者的武器装备使隔离将被无意识的监控。,并设定加时赛工夫到使隔离工夫。。当使隔离工夫为0时,监控人员工夫才是重要的。。

? 以防使隔离工夫从零变为零。,互相牵连意义的袭击者将被指导使死亡。,而指责演技

软件监控。

设置监控熟练的最大发展成为。

Step 1 Step 2 Step 3

命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard monitored-host-limit number Ruijie(config-nfpp)#end Ruijie#show nfpp arp-guard summary Ruijie#copy running-config startup-config 进入大局配备塑造。 功能 输出NFPP配备塑造。 配备监控熟练的最大发展成为。 程度是1到4294967295。,默许经济状况下,监控熟练的最大发展成为为1000。。 回复原来信仰的人自主塑造。 反省配备参量 生活配备。 Step 4 Step 5 Step 6

以防监督熟练的发展成为回复到默许值,在nfpp配备塑造演技命令“no arp-guard monitored-host-limit”。 以防监控熟练的发展成为已积累到默许值1000,此刻,管理员将监控熟练的最大发展成为设置为,将不会的使死亡目前的监督的熟练。,相反,油印通讯%弄错。: The value that you configured is smaller than current monitored hosts 1000(配备熟练号) ,please clear a part of monitored 做东道主。鼓励管理员配备不无效。,我们家必要使死亡必然的被监控的熟练。。

? 在意 当受监控熟练表满时,油印日记“% NFPP_ARP_GUARD-4-SESSION_LIMIT: Attempt to exceed limit of 1000(配备熟练号) monitored 主人。鼓励

管理员。

鉴于熟练全速前进限度局限和有别于袭击

有别于熟练操纵IP/VLAN ID/意义和链路层源MAC/VLAN 有别于ID/意义的两种方式。每个熟练都有无限的全速前进裁决和袭击临界值(也称为AL)。,限速裁决一定较低的袭击临界值。。当未婚男子熟练的ARP音讯超越限速裁决时,这些通讯将被放纵超越全速前进限度局限。;以防未婚男子熟练的ARP音讯超越袭击临界值,将采取使隔离办法。,日记到日记,发送计谋。 ARP扫描有别于帮助,单位工夫为10秒。,默许值为15。,以防在10秒内收到15个或更多ARP音讯,,链路层源MAC地址常作复合词和源IP地址使变酸,或许链路层源MAC地址和源IP地址是常作复合词的。,据我的观点有疑问的扫描。,将日记到日记,发送计谋。 当检测到袭击行为时,油印日记通讯体式如次:

%NFPP_ARP_GUARD-4-DOS_DETECTED: Host was 检测。(2009-07-01 13:00:00) 日记心甘情愿的的决赛独一插入成分打中工夫是检测AT的工夫。。 表现在计谋音讯打中通讯表现以下DE:

ARP DoS attack from host was 检测。

以防管理员将使隔离工夫分求出比值非零值,当武器装备使隔离成时,油印日记通讯体式如次所示:

%NFPP_ARP_GUARD-4-ISOLATED:Host was 使隔绝的。 (2009-07-01 13:00:00) 发送到计谋音讯的记载表现以下表现通讯:

Host was 使隔绝的。

当武器装备使隔离落空时(通常是鉴于内存不足或内存不足),油印日记通讯体式如次所示:

%NFPP_ARP_GUARD-4-ISOLATE_FAILED: Failed to isolate host . (2009-07-01 13:00:00) 发送到计谋音讯的记载表现以下表现通讯:

Failed to isolate host.

当检测到ARP扫描时,油印日记通讯体式如次所示:

%NFPP_ARP_GUARD-4-SCAN: Host was 检测。 (2009-07-01 13:00:00) 发送到计谋音讯的记载表现以下表现通讯:

ARP scan from host< IP=1.1.1.1,MAC=0000.0000.0004,port=Gi4/1,VLAN=1> was 检测。

ARP扫描表只生活最新的256条记载。当ARP扫描表满的时分,会油印日记鼓励管理员: %NFPP_ARP_GUARD-4-SCAN_TABLE_FULL: ARP scan table is full.

当管理员配备的限速裁决大于袭击临界值时,油印命令鼓励通讯“%ERROR:rate limit is higher than attack threshold 500pps(配备的袭击临界值).”鼓励管理员。 当管理员配备的袭击临界值没有限速裁决时,油印命令鼓励通讯“%ERROR:attack threshold is smaller than rate limit 300pps(配备的限速裁决).”鼓励管理员。

? 对袭击者停止使隔离,会设置一转谋略到武器装备中,可是武器装备资源无限,当武器装备资源

使枯竭的时分,会油印日记鼓励管理员。

? 在意 ? 无法为检测到的袭击者分派内存时,油印日记%NFPPARPARGARAD-4-NO

MEMORY: Failed to alloc 记得。告警管理员。

? ARP扫描表只记载最新的256条记载。。当ARP扫描表满时,,最新记载将包含

最老记载。

管理员可以在nfpp配备塑造和交流配备塑造下停止配备。

Step 1 Step 2 Step 3

命令 Ruijie#configure terminal Ruijie(config)#nfpp 进入大局配备塑造。 功能 输出NFPP配备塑造 大局对每台熟练的ARP要旨全速前进停止限度局限。 程度是1到9999。,未履行任务或责任值为4个。 每个SRC IP是鉴于源IP / VID/意义来特有的熟练的。,每个SRC MAC是鉴于链路层源MAC/VID/PART来有别于的。。 大局配备袭击临界值。当熟练的ARP音讯超越袭击临界值时,据我看来这是一次袭击。,对因此主人无准备地采取检疫办法。,日记到日记,发送计谋。 程度是1到9999。,默许值为8。。 每个SRC IP是鉴于源IP / VID/意义来特有的熟练的。,每个SRC MAC是鉴于链路层源MAC/VID/PART来有别于的。。 大局配备ARP扫描临界值,程度是1到9999。,默许值为15。。单位值为10秒。。以防在10秒内收到超越15条ARP音讯,,链路层源MAC地址常作复合词和源IP地址使变酸,或许链路层源MAC地址和源IP地址是常作复合词的。,据我的观点有疑问的扫描。。 阐明:ARP扫描的特点是链路层源MAC地址常作复合词和源IP地址使变酸,或许链路层源MAC地址和源IP地址是常作复合词的。。 Ruijie(config-nfpp)#arp-guard rate-limit {per-src-ip | per-src-mac} pps Step 4

Ruijie(config-nfpp)#arp-guard attack-threshold {per-src-ip | per-src-mac} pps Step 5

Ruijie(config-nfpp)#arp-guard scan-threshold pkt-cnt Step 6 Step 7 Step 8 Step 9

Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(CONFIG)交流 interface-name 回复原来信仰的人自主塑造。 进入大局配备塑造。 拜访交流配备塑造。 Ruijie(config-if)#nfpp arp-guard policy {per-src-ip | per-src-mac} rate-limit-pps attack-threshold-pps 配备住处附近的当地酒店限速裁决并袭击裁决。,只对配备意义起功能。。 限速PPS是限速裁决。,程度是1到9999。,默许经济状况下指责配备鉴于意义的速率。,采取全球汇率。 袭击临界值PPS是袭击线。,程度是1到9999。。 默许经济状况下,意义没本人的限速裁决。,采取全球限速裁决和限速裁决。。 每个SRC IP是鉴于源IP / VID/意义来特有的熟练的。,每个SRC MAC是鉴于链路层源MAC/VID/PART来有别于的。。 Step 10

Ruijie(config-if)#nfpp arp-guard scan-threshold pkt-cnt 在每个意义上配备ARP扫描临界值,程度是1到9999。,默许指责配备鉴于意义的ARP扫描临界值。,使用大局ARP扫描临界值。单位值为10秒。。

发表评论

电子邮件地址不会被公开。 必填项已用*标注