交換機(jī)system-guard命令常見問題原因分析，交換機(jī)通過自動下發(fā)ACL方式使染毒主機(jī)下線 ，從而將染毒主機(jī)與網(wǎng)絡(luò)隔離，保證網(wǎng)絡(luò)其他主機(jī)不受感染，在超過一定時間后，交換機(jī)將恢復(fù)對這個染毒主機(jī)地址的正常轉(zhuǎn)發(fā)流程。

交換機(jī)system-guard命令問題描述：

某大學(xué)一臺S3526下接的用戶常常使用BT下載軟件。如果在S3526上不開啟交換機(jī)system-guard命令則容易死機(jī)，但是開啟這條命令的話有很多用戶反映BT軟件工作異常。

交換機(jī)system-guard命令原因分析：

首先我們看一下system-guard命令原理：system-guard是以太網(wǎng)交換機(jī)實(shí)現(xiàn)的蠕蟲病毒檢測功能。交換機(jī)通過自動下發(fā)ACL方式使染毒主機(jī)下線 ，從而將染毒主機(jī)與網(wǎng)絡(luò)隔離，保證網(wǎng)絡(luò)其他主機(jī)不受感染，在超過一定時間后，交換機(jī)將恢復(fù)對這個染毒主機(jī)地址的正常轉(zhuǎn)發(fā)流程。

也就是說這條命令限制了TCP并發(fā)連接數(shù)，它實(shí)時監(jiān)控每一個進(jìn)程的并發(fā)線程數(shù)目，只要超過了系統(tǒng)認(rèn)為的安全線程數(shù)目就開始蔽屏掉部分線程。這是為了防止震蕩波這類的蠕蟲病毒，但是bt、emule這類的多線程的點(diǎn)對點(diǎn)工具也一起被同等對待了。于是不開啟system-guard時，蠕蟲病毒將導(dǎo)致設(shè)備死機(jī)，開啟system-guard時導(dǎo)致很多用戶BT軟件工作異常。

首先掌握一下交換機(jī)system-guard命令的配置：
◆使能system-guard檢測功能：system-guard enable
◆禁止system-guard檢測功能：undo system-guard enable
◆設(shè)置當(dāng)前最大可檢測染毒主機(jī)的數(shù)目： system-guard detect-maxnum number
◆恢復(fù)最大可檢測的染毒主機(jī)數(shù)目至缺省值： undo system-guard detect-maxnum
◆設(shè)置地址學(xué)習(xí)數(shù)目的上限、重復(fù)檢測次數(shù)的上限和隔離時間：
◆system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
　
缺省情況下，system-guard地址學(xué)習(xí)數(shù)目的上限（IP-record-threshold）、重復(fù)檢測次數(shù)的上限（record-times-threshold）、隔離時間（isolate-time）分別為：30、1、3.例如：

在設(shè)置了地址學(xué)習(xí)數(shù)目的上限為50、重復(fù)檢測次數(shù)的上限為3、隔離時間為5后，系統(tǒng)如果連續(xù)3次檢測到來自某源IP的地址每次IP地址學(xué)習(xí)數(shù)目都超過了50，系統(tǒng)就認(rèn)為受到了攻擊，將此源IP檢測出來，在5倍的老化周期內(nèi)不學(xué)習(xí)來自此源IP的報文中的目的IP地址。

交換機(jī)system-guard命令解決方法：

修改交換機(jī)system-guard命令地址學(xué)習(xí)數(shù)目的上限值設(shè)為較大值（如50）問題得到解決（具體的參數(shù)值需要根據(jù)用戶數(shù)量來確定，用戶數(shù)量越多，該值應(yīng)該越大）。注：除S3526系列交換機(jī)外，S3526E系列交換機(jī)也支持system-guard特性。