------------------------------------ ==
在交换机和路由器中, 要清除 设备上的 某些功能 配置的命令:
是 clear,
但是 模式是在 特权模式下: sw# clear nfpp
-------------------------------------==
mac地址供48bit, 其中一半即24位是厂商的mac地址编号, 即6位H16进制数.
如锐捷的mac地址编号是:
1414.4b
在cmd中输入help显示帮助, 并不能完全显示所有的 可用的命令,所以, 不要以为这个里面没有的命令, 就不能使用。
实际上, 在 Windows/System32/....中还有很多没有被help显示的命令
ping 也能显示路由跟踪:
-n 包的个数
-l 包的长度
-r:相当于 -route, 表示跟踪路由, 最大数为 9
----------------------------------- ==
对于两张网卡:
在默认状态下,没有修过连接名称的情况下:
连接图标的排序是按 连接的名字先后排列的...
- 在主板上集成显卡的名字是“ 本地连接”
- 在pci上的扩展显卡的名字是“本地连接2"
但是这一切都是可以修过的!
NFPP: network foundation protection policy: 网络基础性保护策略.
主要是应对一些DOS攻击等...
sw2-1#*May 21 17:32:12: %NFPP_ARP_GUARD-4-DOS_DETECTED: Host<IP=172.16.1.101,MAC=N/A,port=Fa0/5,VLAN=1> was detected.(2016-5-21 17:32:12)
*May 21 17:32:42: %NFPP_ARP_GUARD-4-DOS_DETECTED: Host<IP=N/A,MAC=c03f.d53d.34b7,port=Fa0/5,VLAN=1> was detected.(2016-5-21 17:32:12)
*May 21 17:33:12: %NFPP_ARP_GUARD-4-SCAN: Host<IP=172.16.1.101,MAC=c03f.d53d.34b7,port=Fa0/5,VLAN=1> was detected.(2016-5-21 17:32:17)
*May 21 17:34:46: %NFPP_ARP_GUARD-4-SCAN: Host<IP=172.16.1.101,MAC=c03f.d53d.34b7,port=Fa0/5,VLAN=1> was detected.(2016-5-21 17:34:46)
*May 21 17:35:16: %NFPP_ARP_GUARD-4-DOS_DETECTED: Host<IP=172.16.1.101,MAC=N/A,port=Fa0/5,VLAN=1> was detected.(2016-5-21 17:34:46)
*May 21 17:35:46: %NFPP_ARP_GUARD-4-DOS_DETECTED: Host<IP=N/A,MAC=c03f.d53d.34b7,port=Fa0/5,VLAN=1> was detected.(2016-5-21 17:34:46)
::::::::::
3)*Dec 26 13:55:10:%NFPP_ARP_GUARD-4-DOS_DETECTED: Host<IP=N/A,MAC=0000.0000.0004,port=Gi4/1,VLAN=1> was detected.(2012-12-26 13:43:04)
a、设备检测到有arp攻击的事件的日志记录,基于per-src-mac的攻击水线达到告警值,设备记录了该用户的MAC,端口,vlan信息。
b、 这个信息也只是作为提醒,不会做硬件隔离,但是超过扫描阀值的部分报文会被设备丢弃,已保护cpu。
c、如果检测的信息包含的都是合法的用户,并且经过管理员确认后确认不存在攻击可能性的话,那么需要考虑是否是大用户数的情况,或者是否流量比较大,此时可能需要考虑调整arp-guard里面的各项参数到合理的值。
d、show nfpp arp-guard scan/hosts命令来查看具体的超告警水线,超攻击水线的用户记录。
---------------------------------------------------==
show nfpp 可以查看三种被guard isolated 隔离的主机/扫描等信息:
show nfpp arp-guard hosts/scan/..
show nfpp ip-guard hosts/scan/summ
show nfpp icmp-guard hosts/scan/...
----------------------------------------------------==
交换机的console口一直弹出NFPP模块的告警日志,例如
*Dec 26 13:55:10:%NFPP_ARP_GUARD-4-DOS_DETECTED: Host<IP=N/A,MAC=0000.0000.0004,port=Gi4/1,VLAN=1> was detected.(2012-12-26 13:43:04)
通过关闭对应的arp-guard,ip-guard等功能,发现还是持续打印这个log
nfpp
no arp-guard enable
no ip-guard enable
分析:
a、NFPP的日志缓存区的大小默认是256条,每个事件产生的log都会先存在这个缓存区,然后由打印线程每隔interval的时间从里面取number个日志消息打印
出来,如果某个时间nfpp的事件集中发生,产生很多日志,那么打印调度比较缓慢(或者是管理员配置的策略导致),来不及打的日志都暂存在buffer里,这样就会造成
打印的时间比nfpp事件的时间滞后。
b、注意观察就会发现每条NFPP日志最前头有一个时间戳(*Dec 26 13:55:10:),是log打印的时间,日志信息最后括号里面还有一个时间就是该nfpp事件发生的时间(2012-12-26 13:43:04)
两者的时间有时候不一致,就是a中分析的情况。
c、当把nfpp功能关闭的时候,交换机不会产生新的检测事件了,但是留在nfpp log buffer里面的信息还没打印完,系统会继续打印,所以就会给管理员造成
关闭nfpp功能不生效的错觉,实际配置没有问题。
d、可以通过 在特权模式下 : clear nfpp log命令将缓冲区清空,就不会再打印此类log了。