S600-E V200R019C10 命令参考
本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
auto-defend trace-type
命令功能
auto-defend trace-type命令用来配置攻击溯源的溯源模式。
undo auto-defend trace-type命令用来删除攻击溯源的溯源模式。
缺省情况下,攻击溯源默认开启的溯源模式为基于源IP地址和基于源MAC地址。
命令格式
auto-defend trace-type { source-mac | source-ip | source-portvlan } *
undo auto-defend trace-type { source-mac | source-ip | source-portvlan } *
参数说明
参数 | 参数说明 | 取值 |
---|---|---|
source-mac |
指定攻击溯源的方式为基于源MAC地址,设备根据源MAC地址进行分类统计,识别攻击源。 |
- |
source-ip |
指定攻击溯源的方式为基于源IP地址,设备根据源IP地址进行分类统计,识别攻击源。 |
- |
source-portvlan |
指定攻击溯源的方式为基于源接口+VLAN,设备根据基于源接口+VLAN进行分类统计,识别攻击源。 |
- |
使用指南
应用场景
使能攻击溯源功能后,网络管理员可以配置多种攻击溯源的溯源模式。当攻击溯源启动后,设备将根据所配置的溯源模式进行溯源。
目前,设备支持三种溯源模式,分别适用于以下场景:
- 针对三层报文的攻击,配置基于源IP地址进行溯源。
- 针对固定源MAC地址报文的攻击,配置基于源MAC地址进行溯源。
- 针对变换源MAC地址报文的攻击,配置基于接口和VLAN进行溯源。
前置条件
在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。
注意事项
不同类型报文支持的溯源模式情况也不相同,具体如表11-14所示。
报文类型 |
支持的溯源模式 |
---|---|
802.1X |
基于源MAC地址、基于源接口+VLAN |
ARP、DHCP、IGMP、ND、DHCPv6、MLDv6 |
基于源IP地址、基于源MAC地址、基于源接口+VLAN |
ICMP、TTL-expired、Telnet、TCP、UDP、UDPv6 |
基于源IP地址、基于源接口+VLAN |
该命令为覆盖式命令,重复配置此命令行,新配置将覆盖已有配置。
对于不同类型的协议报文,设备支持的攻击溯源模式的数量也不同,具体差异可参考此命令的缺省情况。
相应的攻击溯源方式启动后,如果设备受到攻击,并且进行了溯源,可以使用display auto-defend attack-source查看相应的溯源信息。
对于攻击溯源的溯源模式为source-ip且惩罚措施为error-down的情况,如果多个接口同时接收到source-ip相同的攻击报文,当此报文数量超过检查阈值时,设备不会将所有接口都shutdown掉,而是先shutdown其中一个接口,然后继续进行检测。如果报文数量还是超过检查阈值,设备会再shutdown掉其中一个接口,以此类推,直到报文数量在阈值范围内。