交換機命令問題：解決system-guard命令問題，一個朋友托我給他解決一下交換機命令問題，問詢了很多人，都沒有滿意的答復。下面是在網上找到的一篇跟交換機命令問題相似的解答。

交換機命令問題描述：

某大學一臺S3526下接的用戶常常使用BT下載軟件。如果在S3526上不開啟交換機命令問題system-guard命令則容易死機，但是開啟這條命令的話有很多用戶反映BT軟件工作異常。

交換機命令問題原因分析：

首先我們看一下交換機命令問題system-guard命令原理：system-guard是以太網交換機實現的蠕蟲病毒檢測功能。交換機通過自動下發ACL方式使染毒主機下線，從而將染毒主機與網絡隔離，保證網絡其他主機不受感染，在超過一定時間后，交換機將恢復對這個染毒主機地址的正常轉發流程。

也就是說這條命令限制了TCP并發連接數，它實時監控每一個進程的并發線程數目，只要超過了系統認為的安全線程數目就開始蔽屏掉部分線程。這是為了防止震蕩波這類的蠕蟲病毒，但是bt、emule這類的多線程的點對點工具也一起被同等對待了。于是不開啟system-guard時，蠕蟲病毒將導致設備死機，開啟交換機命令問題system-guard時導致很多用戶BT軟件工作異常。

首先掌握一下交換機命令問題system-guard命令的配置：
◆使能system-guard檢測功能：system-guard enable
◆禁止system-guard檢測功能：undo system-guard enable
◆設置當前最大可檢測染毒主機的數目: system-guard detect-maxnum number
◆恢復最大可檢測的染毒主機數目至缺省值: undo system-guard detect-maxnum

交換機命令問題設置地址學習數目的上限、重復檢測次數的上限和隔離時間：system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time缺省情況下，system-guard地址學習數目的上限（IP-record-threshold）、重復檢測次數的上限（record-times-threshold）、隔離時間（isolate-time）分別為：30、1、3。

例如：在設置了地址學習數目的上限為50、重復檢測次數的上限為3、隔離時間為5后，系統如果連續3次檢測到來自某源IP的地址每次IP地址學習數目都超過了50，系統就認為受到了攻擊，將此源IP檢測出來，在5倍的老化周期內不學習來自此源IP的報文中的目的IP地址。

交換機命令問題解決方法：

修改交換機命令問題system-guard地址學習數目的上限值設為較大值（如50）問題得到解決（具體的參數值需要根據用戶數量來確定，用戶數量越多，該值應該越大）。注：除S3526系列交換機外，S3526E系列交換機也支持system-guard特性。