搜索
Ruijie#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Ruijie(config)#intg0/1----进入需要配置SystemGuard功能的接口Ruijie(config-if-GigabitEthernet0/1)#system-guardenable---开启SystemGuard功能Ruijie(config-if-GigabitEthernet0/1)#system-guardisolate-time600----配置非法用户的隔离时间。取值范围为30秒到3600秒,缺省值为120秒Ruijie(config-if-GigabitEthernet0/1)#system-guardsame-dest-ip-attack-packets100----配置对某个不存在的IP不断的发IP报文进行攻击的最大阈值Ruijie(config-if-GigabitEthernet0/1)#system-guardscan-dest-ip-attack-packets100----配置对一批IP网段进行扫描攻击的最大阈值Ruijie(config-if-GigabitEthernet0/1)#exit----退出到全局模式Ruijie(config)#system-guarddetect-maxnum200----设置监控主机的最大数Ruijie(config)#system-guardexception-ip192.168.1.1/24----添加防攻击功能的特例IP地址Ruijie(config)#exit----退出到特权模式Ruijie#clearsystem-guard----清除所有已被隔离用户Ruijie#clearsystem-guardinterfaceg0/1----清除该端口下被隔离的所有用户Ruijie#clearsystem-guardinterfaceg0/1192.168.1.1---清除该接口下被隔离的指定IP用户注意:设置设备监控攻击主机的最大数。一般来说,这个数目保持在“实际运行的主机数的%20”左右即可。但是,如果您发现被隔离的主机数已经达到或接近监控的主机数最大数,那可以扩大监控主机的数目,以达到更好的保护系统的要求。对于已经被隔离的IP,即使该IP在配置的特例IP范围内,在该IP被老化之前仍会处于被隔离状态,如果您想要允许该IP的报文发往CPU,可以用clearsystem-guard命令来解除对该IP的隔离。可以用showsystem-guardisolated-ip来查看系统保护被隔离的IP的信息