页面打开中,请稍候...
www.Gzu521.com
| GZU521.COM学习网 |
|
问题描述: 某大学一台s3526下接的用户常常使用bt下载软件。如果在s3526上不开启system-guard命令则容易死机,但是开启这条命令的话有很多用户反映bt软件工作异常。 原因分析: 首先我们看一下system-guard命令原理: system-guard是以太网交换机实现的蠕虫病毒检测功能。交换机通过自动下发acl方式使染毒主机下线 ,从而将染毒主机与网络隔离,保证网络其他主机不受感染,在超过一定时间后,交换机将恢复对这个染毒主机地址的正常转发流程。 也就是说这条命令限制了tcp并发连接数,它实时监控每一个进程的并发线程数目,只要超过了系统认为的安全线程数目就开始蔽屏掉部分线程。这是为了防止震荡波这类的蠕虫病毒,但是bt、emule这类的多线程的点对点工具也一起被同等对待了。于是不开启system-guard时,蠕虫病毒将导致设备死机,开启system-guard时导致很多用户bt软件工作异常。 首先掌握一下system-guard命令的配置: 使能system-guard检测功能:system-guard enable 禁止system-guard检测功能:undo system-guard enable 设置当前最大可检测染毒主机的数目: system-guard detect-maxnum number 恢复最大可检测的染毒主机数目至缺省值: undo system-guard detect-maxnum 设置地址学习数目的上限、重复检测次数的上限和隔离时间: system-guard detect-threshold ip-record-threshold record-times-threshold isolate-time 缺省情况下,system-guard地址学习数目的上限(ip-record-threshold)、重复检测次数的上限(record-times-threshold)、隔离时间(isolate-time)分别为:30、1、3. 例如:在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后,系统如果连续3次检测到来自某源ip的地址每次ip地址学习数目都超过了50,系统就认为受到了攻击,将此源ip检测出来,在5倍的老化周期内不学习来自此源ip的报文中的目的ip地址。 解决方法: 修改system-guard地址学习数目的上限值设为较大值(如50)问题得到解决(具体的参数值需要根据用户数量来确定,用户数量越多,该值应该越大)。 注:除s3526系列交换机外,s3526e系列交换机也支持system-guard特性。 |
责任编辑:gzu521
您现在的位置:
