nfpp(锐捷) 南京廖华

nfpp(锐捷) 南京廖华

Step 11 Ruijie(config-if)#完毕 Step 12 Ruijie#show nfpp arp-guard summary Step 13 Ruijie#copy running-config startup-config 返乡特免典范。 反省设定限度局限因素 做蜜饯设定。 转向左舷一步限度局限和引人注目袭击

每个转向左舷都有独身限速统治和独身袭击临界值。,限速统治必需较低的袭击线。。当转向左舷的ARP音讯一步超越限速统治时,被抛弃的人ARP音讯。结果转向左舷的ARP音讯一步超越了袭击临界值,日记将记载在日记中。,发送起凹点。 当转向左舷蒙受ARP拒绝服务袭击时,标记正告知识的体式如次所示:

%NFPP_ARP_GUARD-4-PORT_ATTACKED: ARP DoS attack was detected on port Gi4/1. (2009-07-01 13:00:00) 发送的起凹点音讯的创纪录的收录以下扮演知识: ARP DoS attack was detected on port Gi4/1.

管理员可以在nfpp设定典范和喷嘴设定典范下举行设定。

Step 1 Step 2 Step 3 Step 4

命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard rate-limit per-port pps Ruijie(config-nfpp)#arp-guard attack-threshold per-port pps Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#喷嘴 interface-name Ruijie(config-if)#nfpp arp-guard policy per-port rate-limit-pps attack-threshold-pps 进入大局设定典范。 进入玛丽玫瑰工程设定典范 限度局限每个转向左舷的ARP音讯一步。 值的程度是1到9999。,Windows 默许值是100。。 设定爆发临界值,当转向左舷的ARP音讯超越临界值时,登录到日记,发送起凹点。 值的程度是1到9999。,Windows 默许值是200。。 返乡特免典范。 进入大局设定典范。 游览喷嘴设定典范。 功用 Step 5 Step 6 Step 7 Step 8

设定天真的一步线和统治,它只对设定所属的转向左舷见效。。 速率限度局限PPS是限速水管线,值的程度是1到9999。。 袭击临界值PPS是统治,值的程度是1到9999。。 默许正式的下,转向左舷无本人的一步线和水,运用全球一步线和统治。 Step 9

Ruijie(config-if)#完毕 返乡特免典范。 反省设定限度局限因素 做蜜饯设定。 Step 10 Ruijie#show nfpp arp-guard summary Step 11 Ruijie#copy running-config startup-config

? 因为MAC地址的一步限度局限先高于,而因为IP地址的限速比基数要高。

安息所限速。

? 为了使ARP反袭击相当最适宜条件的抗袭击引起。,提议管理员设定限速统治B。

? 注重 遵照以下基础:正告统治:

因为IP地址的限速供统治 < 因为IP地址的告警统治 < 因为源MAC地址的限速统治 < 因为源MAC地址的告警统治。

? 设定转向左舷一步限度局限统治,您可以商议这样地转向左舷上的作为主人数。,像,转向左舷上有500个转向左舷。

台作为主人,和,安息所的限速统治可以设置为500。。

净化监督作为主人

使脱离作为主人在一段工夫后志愿地回复。,结果管理员愿望手工操作净化作为主人,可以在特免典范下运用以下命令净化。

Step 1

命令 Ruijie#clear nfpp arp-guard hosts 【VLAN 录像磁带] 【喷嘴 interface-id] 【IP地址 | mac-address] 功用 无限度局限因素净化已检测到的全部作为主人。,带有用于净化同质的限度局限因素的作为主人。。 净化ARP扫描

结果管理员要手工操作净化ARP扫描,可以在特免典范下运用以下命令净化。

Step 1

命令 Ruijie#clear nfpp arp-guard scan 排空ARP扫描 功用 检查ARP的反袭击知识

? 检查

ARP反袭击设定限度局限因素 ARP扫描表

? 检查监督作为主人的知识 ? 检查

检查ARP反袭击设定限度局限因素

运用阐明 nfpp arp-guard summary检查ARP反袭击设定限度局限因素:

Step 1

命令 Ruijie#show nfpp arp-guard summary 功用 检查ARP反袭击设定限度局限因素 下面是独身榜样:

Ruijie# show nfpp arp-guard summary

(体式 of column Rate-limit and Attack-threshold is per-src-ip/per-src-mac/per-port.)

Interface Status Isolate-period Rate-limit Attack-threshold Scan-threshold

Global Enable 300 4/5/60 8/10/100 15 G 0/1 Enable 180 5/-/- 8/-/- –

G 0/2 Disable 200 4/5/60 8/10/100 20

Maximum count of monitored hosts: 1000 Monitor period:300s ? 领域喷嘴代表大局的大局设定。。 ? 领域正式的指代可能的选择翻开反袭击功用。。

? 领域Rate-limit的体式为(对源IP地址的限速统治/对源MAC地址的限速统治/端

? 阐明

口速限度局限线),领域袭击临界值的显示体式相似。。无设定。举例阐明:

? “4/5/60”表现对源IP地址的限速统治是4,源代码MAC地址的限一步线是5。。,

每个安息所的限速统治是60。。 ? G 这社交聚会0/1的领域速率限度局限是5。,G代表港 0/1对源IP地址的限度局限

一步线是5。,一步限度局限水位线和转向左舷的限速线产生断层秘诀。

检查监督作为主人的知识

Step 1 Step 2

命令 Ruijie#show nfpp arp-guard hosts statistics Ruijie#show nfpp arp-guard hosts 【VLAN 录像磁带] 【喷嘴 interface-id] 【IP地址 | mac-address] 功用 检查监督的作为主人表的数数知识。,包含作为主人总额、成作为主人的量和从中部分浮现的作为主人的量。。 检查已检测到要袭击的作为主人。 无限度局限因素显示已检测到的全部被袭击的作为主人。,带限度局限因素只显示划一的作为主人。。 Ruijie#show nfpp arp-guard hosts statistics success fail total ——- —- —– 100 20 120

意义是:总同120个作为主人是脱离的。,100的款待成部分。,20作为主人使脱离毛病。。

Ruijie# show nfpp arp-guard hosts

If column 1 shows ”*”, it means \VLAN interface IP address MAC address remain-time(s) —- ——– ——— ———– ————- 1 Gi0/1 1.1.1.1 – 110 2 Gi0/2 1.1.2.1 – 61

*3 Gi0/3 – 0000.0000.1111 110 4 Gi0/4 – 0000.0000.2222 61 Total:4 hosts

Ruijie# show nfpp arp-guard hosts vlan 1 interface G 0/1 1.1.1.1

If column 1 shows ”*”, it means \VLAN interface IP address MAC address remain-time(s) —- ——– ——— ———– ————- 1 Gi0/1 1.1.1.1 – 110 Total:1 host

下面的领域使著名代表VLAN的量。、转向左舷、IP地址、MAC地址,和剩余工夫的使脱离。

? 阐明

结果显示行的第一列, 这暗示作为主人流传的仅是软件监督器或武器装备。。

结果Mac 地址字段显示,此作为主人指代作为主人与源IP地址举行首数。;结果IP 地址字段显示,此作为主人指代作为主人与源MAC地址举行首数。。

检查ARP扫描表

Step 1 Step 2

命令 Ruijie#show nfpp arp-guard scan statistic Ruijie#show nfpp arp-guard scan 【VLAN 录像磁带] 【喷嘴 interface-id] 【IP地址] [mac-address] 功用 检查ARP扫描表切中要害入口处数量 检查ARP扫描表的记载。 在无限度局限因素表现的正式的下检查所有的ARP扫描,取独身限度局限因素只显示适合的表项。。 Ruijie# show nfpp arp-guard scan statistics ARP scan table has 4 记载(s) 意义是:ARP扫描中有4条记载。。

Ruijie# show nfpp arp-guard scan

VLAN interface IP address MAC address timestamp —- ——– ———- ———– ———- 1 Gi0/1 N/A 0000.0000.0001 2008-01-23 16:23:10

2 Gi0/2 1.1.1.1 0000.0000.0002 2008-01-23 16:24:10 3 Gi0/3 N/A 0000.0000.0003 2008-01-23 16:25:10 4 Gi0/4 N/A 0000.0000.0004 2008-01-23 16:26:10 Total:4 记载(s)

工夫戳记载是检测ARP扫描的工夫。,如“2008-01-23 16:23:10”表现在2008年1月23日16点23分10秒检测出ARP扫描。

Ruijie# show nfpp arp-guard scan vlan 1 interface G 0/1 0000.0000.0001

VLAN interface IP address MAC address timestamp —- ——– ———- ———– ———- 1 Gi0/1 N/A 0000.0000.0001 2008-01-23 16:23:10 Total:1 记载(s)

63.3.2 IP扫描

反扫描简介

东窗事发,数不清的黑客袭击、电网络病毒入侵都是从扫描电网络内活跃的作为主人开端的。因而宽宏大量的的扫描知识曾经庞大地任职带宽,电网络传染:扩散不正常。 因此,锐捷电网络的三层方法供奉防IP袭击功用,戒像冲击波病毒那么的黑客扫描和袭击。,还可以缩减三层方法的CPU担负。 眼前瞥见的IP袭击有两种次要典型。:

(1) 扫描IP地址的交替。这种扫描对电网络是最损害的。,不光耗费电网络带宽,加强

方法的担负,这是显得庞大黑客袭击的先声。。 (2) 快车道发送IP音讯到没有遮住视线的IP地址。这种袭击次要是说起方法CPU的担负。

来设计。三层方法,结果目标的IP地址在,音讯将由调换碎裂径直转发。,方法CPU的资源无任职。,结果目标的IP地址不在,IP音讯将被发送到CPU。,由CPU发送ARP邀请查问MAC对应目标的地址,结果发派人CPU的音讯那么多,cpu资源耗费。自然,这次袭击的要挟要比初小得多。。 大约“向不在的目标的IP地址快车道发IP信息”这种IP袭击,反办法一方面是IP音讯的一步限度局限。,在另一方面,检测到袭击的发起。,对袭击源采用使脱离办法。 因为作为主人和因为IP的IP袭击引人注目分为两类。。作为主人因为源IP地址/ VLAN。 ID /身体检查转向左舷三方引人注目。每个袭击引人注目都有限速统治和用警戒线围住。。当IP音讯速率超越限速统治时,淹没音讯将被被抛弃的人。。当IP音讯速率超越用警戒线围住时,标记正告知识,发送起凹点,因为作为主人的袭击引人注目还会对袭击源采用使脱离办法。

必要特殊阐明的是,IP扫描旨在的是目标的IP地址产生断层本机IP地址的IP信息袭击。目标的IP地址的IP音讯是本机IP地址。,CPP(CPU Protect 策略性)车速限度局限。 二层调换机不忍受IP扫描,仅三层调换机忍受IP扫描。

? 注重

宽宏大量的不明不白IP扫描,结果在转向左舷上翻开IP扫描功用,和设定的使脱离工夫

非零的值,将采用使脱离办法。。, IP反袭击设定命令包含:

? 翻开IP扫描功用 ? 设置袭击者的使脱离工夫 ? 设置袭击者的监督工夫 ? 设置监督作为主人的最宽宏大量的 ? 因为作为主人一步限度局限和引人注目袭击 ? 转向左舷一步限度局限和引人注目袭击 ? 设置未受监督的受相信作为主人 ? 净化监督作为主人

? 检查IP扫描的互相牵连知识

发表评论

电子邮件地址不会被公开。 必填项已用*标注