nfpp(锐捷) 南京廖华

Step 11 Ruijie(词的搭配IF) Step 12 Ruijie#show nfpp arp-guard summary Step 13 Ruijie#copy running-config startup-config 隐现存的特权的模仿。 反省词的搭配限度局限因素 果酱词的搭配。 入港停泊限速褒奖侵犯人身

每个港口都有限速海岸线和侵犯人身开端。,限速海岸线不得不较低的侵犯人身开端。。当港口的ARP音讯超越限速海岸线时,投降ARP音讯。倘若港口的ARP音讯超越侵犯人身开端,日记将记载在日记中。,发送铁钩。 当港口遭遇ARP拒绝服务侵犯人身时,蜡纸油印件正告新闻的体式列举如下:

%NFPP_ARP_GUARD-4-PORT_ATTACKED: ARP DoS attack was detected on port Gi4/1. (2009-07-01 13:00:00) 发送到铁钩音讯的消息包罗以下周转新闻: ARP DoS attack was detected on port Gi4/1.

管理员可以在nfpp词的搭配模仿和啮合词的搭配模仿下举行词的搭配。

Step 1 Step 2 Step 3 Step 4

命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard rate-limit per-port pps Ruijie(config-nfpp)#arp-guard attack-threshold per-port pps Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(CONFIG)啮合 interface-name Ruijie(config-if)#nfpp arp-guard policy per-port rate-limit-pps attack-threshold-pps 进入大局词的搭配模仿。 进入NFPP词的搭配模仿 限度局限每个港口的ARP音讯爆炸。 数值视野为1至9999。,Windows 默许值为100。。 词的搭配侵犯人身开端,当港口的ARP音讯超越开端时,日记记载,发送铁钩。 数值视野为1至9999。,Windows 默许值为200。。 隐现存的特权的模仿。 进入大局词的搭配模仿。 接近啮合词的搭配模仿。 效能 Step 5 Step 6 Step 7 Step 8

词的搭配住处附近的当地酒店爆炸线和海岸线,它只对词的搭配所属的港口失效。。 限速PPS是限速水管线,数值视野为1至9999。。 侵犯人身开端PPS是海岸线,数值视野为1至9999。。 默许机遇下,港口不注意到本身的限速海岸线。,应用全球爆炸线和海岸线。 Step 9

Ruijie(词的搭配IF) 隐现存的特权的模仿。 反省词的搭配限度局限因素 果酱词的搭配。 Step 10 Ruijie#show nfpp arp-guard summary Step 11 Ruijie#copy running-config startup-config

? 鉴于MAC地址爆炸限度局限的先高于IP地址爆炸,鉴于IP地址的爆炸限度局限高于基址。

入港停泊限速。

? 为了使ARP顶住侵犯人身,得到姣姣者的抗侵犯人身归结为。,提议管理员词的搭配限速海岸线B

? 注意到 遵照饰带的原理:

鉴于IP地址的限速海岸线 < 鉴于IP地址的告警海岸线 < 鉴于源MAC地址的限速海岸线 < 鉴于源MAC地址的告警海岸线。

? 词的搭配入港停泊限速海岸线,您可以在上面所说的事港口上援用征服的号码。,比如,港口上有500个

台征服,此后,港口的限速海岸线可以设置为500。。

肃清调查征服

征服已在一段工夫后自然的回复。,倘若管理员希望的事人工控制清算征服,可以在有特权的模仿下用以下命令肃清。

Step 1

命令 Ruijie#clear nfpp arp-guard hosts [蠢货广播网] VID] [交流] interface-id] [ IP地址] | mac-address] 效能 使死亡财产未检测到限度局限因素的征服。,具有用于肃清连贯的限度局限因素的征服。。 肃清ARP扫描

倘若管理员要人工控制肃清ARP扫描,可以在有特权的模仿下用以下命令肃清。

Step 1

命令 Ruijie#clear nfpp arp-guard scan 清空ARP扫描 效能 看ARP的反侵犯人身新闻

? 检查

ARP抗侵犯人身词的搭配限度局限因素 ARP扫描表

? 检查被监控征服的新闻 ? 检查

检查ARP反侵犯人身词的搭配限度局限因素

应用提出 nfpp arp-guard summary检查ARP反侵犯人身词的搭配限度局限因素:

Step 1

命令 Ruijie#show nfpp arp-guard summary 效能 检查ARP反侵犯人身词的搭配限度局限因素 上面是独一探察:

Ruijie# show nfpp arp-guard summary

(体式 of column Rate-limit and Attack-threshold is per-src-ip/per-src-mac/per-port.)

Interface Status Isolate-period Rate-limit Attack-threshold Scan-threshold

Global Enable 300 4/5/60 8/10/100 15 G 0/1 Enable 180 5/-/- 8/-/- –

G 0/2 Disable 200 4/5/60 8/10/100 20

Maximum count of monitored hosts: 1000 Monitor period:300s ? 音节Interface为Global表现大局词的搭配。 ? 音节状况指代设想翻开了防侵犯人身效能。。

? 音节Rate-limit的体式为(对源IP地址的限速海岸线/对源MAC地址的限速海岸线/端

? 阐明

口限速海岸线,音节Attack-threshold的显示体式同类的。“-”表现不注意到词的搭配。举例阐明:

? “4/5/60”表现对源IP地址的限速海岸线是4,源MAC地址的限速海岸线为5。,

每个入港停泊的限速海岸线为60。。 ? G 0/1这党的责骂限度局限是5。,代表G港 0/1对源IP地址的限度局限

爆炸线是5,爆炸限度局限海岸线和S的港口不注意到爆炸限度局限线。。

检查被监控征服的新闻

Step 1 Step 2

命令 Ruijie#show nfpp arp-guard hosts statistics Ruijie#show nfpp arp-guard hosts [蠢货广播网] VID] [交流] interface-id] [ IP地址] | mac-address] 效能 检查监控征服表的合乎情理新闻,包罗征服总额、隔离所成的征服号码和隔离所耽搁的征服号码。 检查已检测到侵犯人身的征服。 显示财产未检测到一些限度局限因素的征服。,带限度局限因素只显示适合环境的征服。。 Ruijie#show nfpp arp-guard hosts statistics success fail total ——- —- —– 100 20 120

意义是:共零件出120个寄主,成零件出100的寄主,20征服隔离所毛病。。

Ruijie# show nfpp arp-guard hosts

If column 1 shows ”*”, it means \VLAN interface IP address MAC address remain-time(s) —- ——– ——— ———– ————- 1 Gi0/1 1.1.1.1 – 110 2 Gi0/2 1.1.2.1 – 61

*3 Gi0/3 – 0000.0000.1111 110 4 Gi0/4 – 0000.0000.2222 61 Total:4 hosts

Ruijie# show nfpp arp-guard hosts vlan 1 interface G 0/1 1.1.1.1

If column 1 shows ”*”, it means \VLAN interface IP address MAC address remain-time(s) —- ——– ——— ———– ————- 1 Gi0/1 1.1.1.1 – 110 Total:1 host

前述的音节零件表现VLAN号。、港口、IP地址、MAC地址,剩余工夫的零件。

? 阐明

倘若显示行的第一列, 表现这台征服眼前纯粹软件监控或许武器装备由于资源缺乏而隔离所耽搁。

倘若MAC 地址字段显示,表现这台征服是以源IP地址鉴定的;倘若IP 地址字段显示,此征服指代征服用源MAC地址鉴定。。

看ARP扫描表

Step 1 Step 2

命令 Ruijie#show nfpp arp-guard scan statistic Ruijie#show nfpp arp-guard scan [蠢货广播网] VID] [交流] interface-id] [ IP地址]] [mac-address] 效能 看ARP扫描表的记载条数 看ARP扫描表的记载 无限度局限因素表现的全体的ARP扫描,仅应用独一限度局限因素来显示适合以下环境的表项。 Ruijie# show nfpp arp-guard scan statistics ARP scan table has 4 记载(s) 意义是:ARP扫描有4条记载。。

Ruijie# show nfpp arp-guard scan

VLAN interface IP address MAC address timestamp —- ——– ———- ———– ———- 1 Gi0/1 N/A 0000.0000.0001 2008-01-23 16:23:10

2 Gi0/2 1.1.1.1 0000.0000.0002 2008-01-23 16:24:10 3 Gi0/3 N/A 0000.0000.0003 2008-01-23 16:25:10 4 Gi0/4 N/A 0000.0000.0004 2008-01-23 16:26:10 Total:4 记载(s)

工夫戳记载检测ARP扫描的工夫。,如“2008-01-23 16:23:10”表现在2008年1月23日16点23分10秒检测出ARP扫描。

Ruijie# show nfpp arp-guard scan vlan 1 interface G 0/1 0000.0000.0001

VLAN interface IP address MAC address timestamp —- ——– ———- ———– ———- 1 Gi0/1 N/A 0000.0000.0001 2008-01-23 16:23:10 Total:1 记载(s)

63.3.2 IP扫描

反扫描简介

如所周知,好多黑客侵犯人身、广播网病毒入侵都是从扫描广播网内参加战役的征服开端的。从此,宽大的扫描消息包任职了广播网带宽。,广播网交流不正常。 就此而论,尖锐地的三层使牢固布置抗IP侵犯人身的效能,预防黑客扫描和侵犯人身同类的的冲击波病毒。,还可以缩减三层使牢固的CPU担负。 眼前发现存的两种次要的IP侵犯人身典型。:

(1) 扫描IP地址的多样化。这种扫描是对广播网最罪行的。,不独仅是广播网带宽的消费,加法运算

使牢固担负,这是黑客侵犯人身的先声。 (2) 快车道发送IP音讯到急切的IP地址。这种侵犯人身次要是就使牢固CPU的担负。

来设计。三层使牢固,倘若急切的IP地址在,该音讯将由换成重击直系的转发。,使牢固CPU的资源未任职,倘若急切的IP地址不在,IP音讯将被发送到CPU。,将CPU的ARP请发送到与急切的IP A对应的MAC地址,倘若送到CPU的消息这样,CPU资源消费。自然,这种侵犯人身的似将发生比初侵犯人身要小得多。。 在附近的IP地址不在,快车道IP音讯,上面所说的事IP ATT,预防是一方面IP音讯的爆炸限度局限,在另一方面,检测到侵犯人身源。,采用单独的办法打击侵犯人身源头。 鉴于征服和自然的层的IP侵犯人身褒奖分为两类。征服是鉴于源IP地址/VLAN的。 ID /自然的港口三方褒奖器。每个侵犯人身褒奖器都有限速海岸线和饰带。。当IP消息速率超越限速海岸线时,漏箱音讯将被投降。。当IP消息速率超越告警线路时,蜡纸油印件正告新闻,发送铁钩,鉴于征服的侵犯人身褒奖还会采用单独的办法打击侵犯人身源头。

需求特殊阐明的是,IP扫描对着干的是急切的IP地址指责本机IP地址的IP消息侵犯人身。急切的IP地址的IP音讯是住处附近的当地酒店IP地址。,CPP(CPU) Protect 策略性限速。 二层换成机不支援IP扫描,仅三层换成机支援IP扫描。

? 注意到

疑似IP扫描的征服,倘若在港口上翻开IP扫描效能,词的搭配的隔离所工夫

非零值,采用隔离所办法。, IP防侵犯人身词的搭配命令包罗:

? 翻开IP扫描效能 ? 设置侵犯人身者的隔离所工夫 ? 设置侵犯人身者的监督工夫 ? 设置监控征服的最大号码 ? 鉴于征服爆炸限度局限和褒奖侵犯人身 ? 入港停泊限速褒奖侵犯人身 ? 设置未监督的踏实征服 ? 肃清调查征服

? 检查IP扫描的互相牵连新闻

发表评论

电子邮件地址不会被公开。 必填项已用*标注