Cisco Catalyst3560-E安全特性
Cisco Catalyst3560-E安全特性
cisco思科依靠自身的技术和对网络经济模式的深刻理解,使其成为了网络应用的成功实践者之一,其出产的路由器设备也是世界一流,那么你知道Cisco Catalyst 3560-E安全特性吗?下面是学习啦小编整理的一些关于Cisco Catalyst 3560-E安全特性的相关资料,供你参考。
Cisco Catalyst 3560-E安全特性知识1:
端口安全特性支持哪些违规模式?
答:通过配置,接口能支持以下违规模式之一:
保护:当安全MAC地址的数量达到端口允许的额度时,源地址不明的包将被丢弃,直到一定数量的安全MAC地址被删除,或者最高可允许地址的额度增加为止。在这种模式下,用户不会得到安全违规通知。注意,思科并不建议用户在中继端口上使用保护模式,因为在保护模式下,当中继上任何一个VLAN达到最高限额时交换机就会停止学习MAC,即使这个端口尚未达到最高限额。 限制:当安全MAC地址的数量达到端口允许的额度时,源地址不明的包将被丢弃,直到一定数量的安全MAC地址被删除,或者最高可允许地址的额度增加为止。在这种模式下,用户会得到安全违规通知。与此同时,将发送SNMP捕获,记录系统日志消息,并增加违规计数器的数量。 关闭:在这种模式下,如果发生了端口安全违规,接口将立即因出错而关闭,端口LED 将熄灭。与此同时,将发送SNMP捕获,记录系统日志消息,并增加违规计数器的数量。
Cisco Catalyst 3560-E安全特性知识2:
什么是 DHCP 监听和 DHCP选项82?
答:利用DHCP监听,交换机能够"窃听"到针对 DHCP 包的交换流量,然后作为主机与DHCP 服务器之间的防火墙,提供针对DHCP的如下安全特性:
检查被截获的来自不可信端口的 DHCP 消息; 对每个端口限制 DHCP 消息的速率; 跟踪 DHCP 服务器与客户端之间的 DHCP IP地址分配绑定; 将 DHCP选项82插入 DHCP消息,或者从DHCP消息中删除 DHCP选项82。
利用DHCP选项82,能根据客户端的IP地址,方便地确定用户使用了哪个端口。经由DHCP 的这一扩展,边缘交换机能够将自身信息插入到通往 DHCP 服务器的DHCP 请求包中。
Cisco Catalyst 3560-E安全特性知识3:
如果接入交换机上配置了DHCP选项82,还需要在上游路由接口上配置哪些内容?
答:如果已经插入了DHCP选项82,上游路由接口必须配置与增加了选项82的下游DHCP监听交换机的信任关系。这个功能利用IP DHCP 中继信息可信命令在面向下游交换机的VLAN接口配置中执行。
Cisco Catalyst 3560-E安全特性知识4:
什么是 DHCP 监管绑定表?
DHCP 监管绑定表包含以下信息:
DHCP 选项82信息 MAC地址 IP地址 租用时间 绑定类型 VLAN号 与交换机本地不可信接口对应的接口信息
注意,表中并不包含与和可信接口互联的主机的信息。
Cisco Catalyst 3560-E安全特性知识5:
DHCP监管绑定表最多允许有多少个条目?
答:最多支持8000个条目。
Cisco Catalyst 3560-E安全特性知识6:
交换机重加载时,怎样保证绑定不变?
答:为保证交换机重加载时绑定不变,应使用 DHCP 监听数据库代理。数据库代理将绑定保存在规定位置的文件中。重加载时,交换机将读取绑定文件,建立DHCP监听绑定数据库。当数据库变更时,交换机将通过更新保持文件处于最新状态。
Cisco Catalyst 3560-E安全特性知识7:
什么是动态ARP检查(DAI)特性?
答:DAI 用于检查来自面向用户端口的所有 ARP 请求和答复,以保证请求和答复来自 ARP 所有者。ARP所有者指DHCP 绑定与 ARP 答复中包含的IP地址匹配的端口。来自DAI 可信端口的 ARP 包可以不接受检查,通过桥接直接到达相应的 VLAN。这个特性能在VLAN 级配置。
Cisco Catalyst 3560-E安全特性知识8:
什么是IP源保护(IPSG)特性?
答:IP源保护能够根据DHCP监听绑定表中的内容,创建ACL。这个ACL 要求流量来自DHCP绑定表中发布的IP地址,并能够防止任何流量由其它假冒地址转发。
Cisco Catalyst 3560-E安全特性知识9:
为什么需要DHCP选项82,才能利用IP和MAC地址验证来实施IP源保护?
答:IP源保护能够执行源IP和MAC检查,也能够只执行源IP地址检查。但是,IP MAC过滤要通过端口安全和DHCP 选项82共同实现。接口上要求利用交换端口安全来实现端口安全性。另外,对于IP MAC 过滤,交换机和DHCP服务器上需要选项82。需要选项82的原因是,配置IP MAC过滤时,交换机并不直接从DHCP和ARP包中学习和识别MAC地址。这么做的原因是为了防止安全漏洞,因为任何主机都能形成假冒的DHCP和ARP包。如果DHCP服务器上不支持选项82,IP MAC过滤也可以使用静态绑定。
Cisco Catalyst 3560-E安全特性知识10:
DAI和DHCP 监听能否防止拒绝服务(DoS)攻击?
答:可以,DAI 能够限制接口上每秒输入的ARP的数量,从而防止遭受DoS攻击。由于该特性是在CPU上执行合法性检查,因此,每个配有DAI的接口上的输入ARP都要实现速率限制。DAI的性能取决于VLAN内的接口数量。
当输入ARP包的速率超过预定值时,交换机将把端口设置为"error-dsiable"状态。只有经过人工干预,即需要人工开关接口,端口状态才能改变。用户还能配置"error-disable"恢复,以便端口能够在规定期限之后,自动脱离这种状态。