问

登陆失败、源ip加入黑名单

4小时前提问

0关注
0收藏，51浏览

zhiliao_nJTemx

zhiliao_nJTemx 二段

粉丝：0人关注：0人

问题描述：

交换机和路由器可以做到连续登陆失败后把源ip加入黑名单的配置吗

4 个回答

按时间按赞数

zhiliao_Gixe

zhiliao_Gixe 二段

粉丝：2人关注：9人

可以。使用登录失败惩罚功能，配置登录失败一定次数后，将源IP加入黑名单（即IP静默）。

以交换机为例，关键配置如下：
进入系统视图
system-view
开启对指定登录方式（如SSH）的登录失败惩罚功能
security-login fail-penalty ssh enable
设置失败次数上限和静默时间（例如：5次失败后静默10分钟）
security-login fail-penalty ssh max-attempts 5 punish-time 10

对于路由器或防火墙，命令类似，具体语法可能因软件版本略有差异。配置前请备份当前配置。

国服第181小鱼人

国服第181小鱼人六段

粉丝：7人关注：0人

可以的。H3C的交换机和路由器都支持这个功能，官方叫 Login攻击防范，可以实现“连续登录失败后自动将源IP加入黑名单”。

一、配置方法（推荐方案）

方案一：Login攻击防范（官方推荐，针对SSH/Telnet/HTTP/HTTPS）

system-view

# 开启全局黑名单功能（必须） blacklist global enable

# 开启Login攻击防范功能 attack-defense login enable

# 可选：设置连续失败次数（默认3次，可调整为5次） attack-defense login max-attempt 5

# 可选：设置拉黑时长（单位：分钟，默认1分钟，可调至30分钟或更长） attack-defense login block-timeout 30

这个方案是专门针对网络登录方式（SSH、Telnet、HTTP、HTTPS）设计的，配置最简单，效果也最直接。

方案二：Password Control（可同时覆盖Console口）

如果你还想限制Console口的登录失败次数，需要配合Password Control功能：

system-view

# 开启全局密码管理功能 password-control enable

# 设置登录失败5次后锁定30分钟 password-control login-attempt 5 lock-time 30

二、功能验证

配置完成后，可以用以下命令查看效果：

# 查看黑名单中的IPdisplay blacklist all

# 查看Login攻击防范配置 display attack-defense login

# 查看被密码管理锁定的用户 display password-control blacklist

当某个IP连续登录失败达到设定次数后，会显示在黑名单中，且该IP的所有访问请求都会被设备直接丢弃

三、关键注意事项

必须开启全局黑名单：attack-defense login enable 必须配合 blacklist global enable 才能生效
Console口无法自动拉黑IP：因为Console口没有IP地址，无法用Login攻击防范功能。
用户名错误也会触发：无论是“用户名错误”还是“密码错误”，只要认证失败就会计数
防火墙的区别：如果你用的是H3C防火墙，封禁IP的方式会有所不同，主要通过黑名单或安全策略实现

请教下怎么配置

zhiliao_nJTemx 发表时间：4小时前 更多>>

请教下怎么配置

zhiliao_nJTemx 发表时间：4小时前

有飞不起的鸟

有飞不起的鸟九段

粉丝：18人关注：0人

是的，完全可以。华三（H3C）的交换机和路由器都具备强大的安全特性，能够实现“连续登录失败后将源IP自动加入黑名单”的功能。

其核心配置是通过 user-block（用户阻塞） 功能实现的，但根据设备类型（路由器/三层交换机或二层交换机）和软件版本，具体命令和细节略有不同。

一、核心配置原理与命令（通用）

华三设备通过以下命令链实现自动封锁：

启用登录失败检测与阻塞：

# 进入系统视图 system-view # 设置登录失败策略：在60秒内，如果来自同一IP的登录失败次数达到5次，则触发阻塞 user-block failed-times 5 within 60 # 设置阻塞时间为10分钟（600秒），超时后自动解除 user-block reactive 600
应用该策略到具体的登录服务：

# 对SSH服务应用该阻塞策略 ssh server user-block # 对Telnet服务应用该阻塞策略（如果启用） telnet server user-block # 对HTTP/Web服务应用该阻塞策略 ip http user-block # 对HTTPS/Web服务应用该阻塞策略 ip https user-block

二、针对不同设备的注意事项

设备类型	支持情况与关键点
路由器 / 三层交换机	完美支持。上述 `user-block`命令是标准配置，可直接使用。
二层交换机	部分支持，取决于具体型号和软件版本。 • 较新型号/高版本：支持上述 `user-block`命令。 • 老旧型号/低版本：可能不支持 `user-block`。此时需采用备用方案： 1. 使用ACL手动封锁：通过`acl`命令创建黑名单规则。 2. 使用`login-attack`策略：部分型号支持 `login-attack disable-source-ip`命令，效果类似。

设备类型

支持情况与关键点

路由器 / 三层交换机

完美支持。上述 user-block命令是标准配置，可直接使用。

二层交换机

部分支持，取决于具体型号和软件版本。
• 较新型号/高版本：支持上述 user-block命令。
• 老旧型号/低版本：可能不支持 user-block。此时需采用备用方案：
1. 使用ACL手动封锁：通过acl命令创建黑名单规则。
2. 使用login-attack策略：部分型号支持 login-attack disable-source-ip命令，效果类似。

三、至关重要的补充配置（避免误锁自己）

在启用自动封锁前，必须配置管理员的“白名单”，否则可能导致自己或合法管理终端被封锁。

# 1. 创建一个高级别ACL（例如3000），允许可信的管理IP网段
acl advanced 3000
 rule 0 permit ip source 192.168.1.0 0.0.0.255  # 允许整个管理网段
 rule 5 permit ip source 10.10.10.50 0         # 允许特定的管理主机
# 2. 将该ACL应用到VTY用户线（登录通道）上
line vty 0 63
 authentication-mode scheme
 acl 3000 inbound  # 只允许ACL 3000中定义的IP登录
 user-role network-admin

四、管理与查看

查看当前被阻塞的IP：

display user-block
手动解除某个IP的阻塞：

user-block reactive ip-address <被封锁的IP>

总结与建议

确认型号版本：登录设备后，使用 display version命令确认您的具体型号和软件版本，然后查阅对应的官方配置指南，这是最准确的依据。
配置顺序：务必遵循 “先配白名单ACL，再启用自动封锁” 的顺序。
测试验证：配置完成后，可从非白名单IP尝试错误登录，触发封锁后，使用 display user-block命令验证效果。
结合日志：使用 info-center enable和 terminal monitor开启日志，实时监控登录失败和封锁事件。

对于绝大多数华三企业级设备，使用 user-block系列命令即可高效、自动地实现您所需的安全防护。

zhiliao_v6hOyc

zhiliao_v6hOyc 九段

粉丝：43人关注：1人

attack-defense login enable //开启Login用户攻击防范功能

attack-defense login max-attempt 5 //配置Login用户登录失败的最大次数为5次

attack-defense login block-timeout 100 //配置Login用户登录失败后阻断时长为100分钟，即拉黑的时长

blacklist global enable //开启全局黑名单过滤功能

配置完成后模拟用不存在的用户反复登陆：

随后我测试的电脑就无法登陆设备了，直接显示访问目的ip超时，后续用其他电脑登陆上去发现我的ip被加入了黑名单

编辑答案

分享扩散:

➤

网站相关: 关于我们; 服务条款; 隐私政策; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

侵犯我的权益 >

对根叔社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

登陆失败、源ip加入黑名单

问题描述：

一、配置方法（推荐方案）

方案一：Login攻击防范（官方推荐，针对SSH/Telnet/HTTP/HTTPS）

方案二：Password Control（可同时覆盖Console口）

二、功能验证

三、关键注意事项

一、 核心配置原理与命令（通用）

二、 针对不同设备的注意事项

三、 至关重要的补充配置（避免误锁自己）

四、 管理与查看

总结与建议

编辑答案

提出建议

一、核心配置原理与命令（通用）

二、针对不同设备的注意事项

三、至关重要的补充配置（避免误锁自己）

四、管理与查看