• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-安全配置指导

目录

19-System-Guard配置

本章节下载 19-System-Guard配置  (120.27 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/WiNet/S5120-WiNet/Configure/Operation_Manual/H3C_S5120-WiNet_CG-Release_151x-6W102/07/201706/999327_30005_0.htm

19-System-Guard配置


1 System-Gurad防攻击配置

1.1  System-Guard防攻击特性简介

攻击者通过构造大量恶意报文,对上送CPU的报文队列进行攻击,造成队列拥塞,致使正常协议报文丢失,导致协议运行异常或管理中断。为了防止上述情况发生,交换机提供了System-Guard防攻击特性。

该特性通过计算单位时间内每个端口上送CPU的报文数量,实时检测,动态分析CPU是否受到攻击。通过过滤攻击报文,提高了交换机CPU利用率,有效防止了大流量报文的恶意攻击,从而达到防攻击的目的。

还可以根据CPU队列进行软件限速,达到防攻击的目的。

1.1.1  攻击检测与防攻击方式

交换机支持如下两种攻击检测与防攻击方式:

1. 根据CPU队列报文检测与防攻击

当单位时间内上送CPU某个队列的报文数量超过设定值时,交换机会将超出的部分进行丢弃,从而达到防攻击的目的。

2. 根据入端口协议报文检测与防攻击

当单位时间内从某个端口上送CPU的报文数量超过设定值时,交换机就会根据协议报文类型,自动下发ACL,或将端口关闭。在老化时间之后,将ACL删除或重新打开端口,恢复正常。

对于源MAC或目的MAC为本设备MAC的报文、BPDU报文、GVRP、IGMP-snooping、MLD-snooping、NDP、LACP、BPDU Tunnel、OAM、DLDP、LLDP等功能使能后,这些协议的报文,以及使能基于端口802.1X认证的端口未认证通过前进入该端口的所有报文,或使能基于MAC的 802.1X认证的端口进入该端口的所有源MAC未认证通过的报文,ACL无法对其起作用,因此会采取关闭端口的动作。

1.2  配置System-Guard防攻击特性

通过本配置,可以完成:

·     设置System-Guard系统防攻击检测阈值。

·     设置System-Guard系统防攻击老化时间。

·     设置System-Guard系统防攻击CPU队列软件限速阈值。

·     启动端口报文检测与防攻击功能。

1.2.1  配置System-Guard防攻击

表1-1 配置System-Guard防攻击

操作

命令

说明

进入系统视图

system-view

-

设置系统防攻击门限值

system-guard detect-threshold threshold-value

可选

缺省情况下,门限值为300pps

设置系统防攻击策略的老化时间

system-guard aging-time time

可选

缺省情况下,防攻击策略的老化时间为60秒

设置防攻击对各个队列的报文的限速值

system-guard rate-limit queue queue-number rate&<1-8>

可选

缺省情况下,防攻击功能对队列4的限速值为1500pps,对其它队列的限制速值为360pps

进入二层以太网端口视图

interface interface-type interface-number

-

开启当前端口的防攻击功能

system-guard enable

可选

缺省情况下,端口的防攻击功能没有开启

开启当前端口的防攻击控制功能

system-guard control

可选

缺省情况下,端口的防攻击控制功能处于关闭状态

 

1.3  System-Guard显示

在完成上述配置后,在任意视图下执行display命令可以显示配置后防攻击特性的运行情况,通过查看显示信息验证配置的效果。

表1-2 防攻击显示和维护

操作

命令

显示System-Guard防攻击记录信息

display system-guard [ | { begin | exclude | include } regular-expression ]

 

1.4  System-Guard典型配置举例

1. 组网及应用需求

一般在做接入层的设备上启用System-Guard检测功能,能够有效防止大流量报文攻击。

2. 配置步骤

# 配置报文限制速率为200pps。

<Sysname> system-view

[Sysname] system-guard detect-threshold 200

# 在端口GigabiatEthernet1/0/1上启动报文检测与防攻击功能。

[Sysname-GigabiatEthernet1/0/1] system-guard enable

# 配置完成,查看详细信息。

[Sysname-GigabiatEthernet1/0/1] display system-guard

 system-guard detect-threshold:  200pps

 system-guard aging-time      :  60s

 system-guard rate-limit      :

     queue0  360 queue1  360 queue2  360 queue3  360

     queue4 1500 queue5  360 queue6  360 queue7  360

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们