cisco catalyst 3560 Cisco Catalyst 3560-E安全特性

cisco思科依靠自身的技术和对网络经济模式的深刻理解,使其成为了网络应用的成功实践者之一,其出产的路由器设备也是世界一流,那么你知道Cisco Catalyst 3560-E安全特性吗?下面是小编整理的一些关于Cisco Catalyst 3560-E安全特性的相关资料,供你参考。

Cisco Catalyst 3560-E安全特性知识1:

端口安全特性支持哪些违规模式?

答:通过配置,接口能支持以下违规模式之一:

保护:当安全MAC地址的数量达到端口允许的额度时,源地址不明的包将被丢弃,直到一定数量的安全MAC地址被删除,或者最高可允许地址的额度增加为止。在这种模式下,用户不会得到安全违规通知。注意,思科并不建议用户在中继端口上使用保护模式,因为在保护模式下,当中继上任何一个VLAN达到最高限额时交换机就会停止学习MAC,即使这个端口尚未达到最高限额。 限制:当安全MAC地址的数量达到端口允许的额度时,源地址不明的包将被丢弃,直到一定数量的安全MAC地址被删除,或者最高可允许地址的额度增加为止。在这种模式下,用户会得到安全违规通知。与此同时,将发送SNMP捕获,记录系统日志消息,并增加违规计数器的数量。 关闭:在这种模式下,如果发生了端口安全违规,接口将立即因出错而关闭,端口LED 将熄灭。与此同时,将发送SNMP捕获,记录系统日志消息,并增加违规计数器的数量。

Cisco Catalyst 3560-E安全特性知识2:

什么是 DHCP 监听和 DHCP选项82?

答:利用DHCP监听,交换机能够"窃听"到针对 DHCP 包的交换流量,然后作为主机与DHCP 服务器之间的防火墙,提供针对DHCP的如下安全特性:

检查被截获的来自不可信端口的 DHCP 消息; 对每个端口限制 DHCP 消息的速率; 跟踪 DHCP 服务器与客户端之间的 DHCP IP地址分配绑定; 将 DHCP选项82插入 DHCP消息,或者从DHCP消息中删除 DHCP选项82。

利用DHCP选项82,能根据客户端的IP地址,方便地确定用户使用了哪个端口。经由DHCP 的这一扩展,边缘交换机能够将自身信息插入到通往 DHCP 服务器的DHCP 请求包中。

cisco catalyst 3560 Cisco Catalyst 3560-E安全特性
Cisco Catalyst 3560-E安全特性知识3:

如果接入交换机上配置了DHCP选项82,还需要在上游路由接口上配置哪些内容?

答:如果已经插入了DHCP选项82,上游路由接口必须配置与增加了选项82的下游DHCP监听交换机的信任关系。这个功能利用IP DHCP 中继信息可信命令在面向下游交换机的VLAN接口配置中执行。

Cisco Catalyst 3560-E安全特性知识4:

什么是 DHCP 监管绑定表?

DHCP 监管绑定表包含以下信息:

DHCP 选项82信息 MAC地址 IP地址 租用时间 绑定类型 VLAN号 与交换机本地不可信接口对应的接口信息

注意,表中并不包含与和可信接口互联的主机的信息。

Cisco Catalyst 3560-E安全特性知识5:

DHCP监管绑定表最多允许有多少个条目?

答:最多支持8000个条目。

Cisco Catalyst 3560-E安全特性知识6:

交换机重加载时,怎样保证绑定不变?

答:为保证交换机重加载时绑定不变,应使用 DHCP 监听数据库代理。数据库代理将绑定保存在规定位置的文件中。重加载时,交换机将读取绑定文件,建立DHCP监听绑定数据库。当数据库变更时,交换机将通过更新保持文件处于最新状态。

Cisco Catalyst 3560-E安全特性知识7:

什么是动态ARP检查(DAI)特性?

答:DAI 用于检查来自面向用户端口的所有 ARP 请求和答复,以保证请求和答复来自 ARP 所有者。ARP所有者指DHCP 绑定与 ARP 答复中包含的IP地址匹配的端口。来自DAI 可信端口的 ARP 包可以不接受检查,通过桥接直接到达相应的 VLAN。这个特性能在VLAN 级配置。

Cisco Catalyst 3560-E安全特性知识8:

什么是IP源保护(IPSG)特性?

答:IP源保护能够根据DHCP监听绑定表中的内容,创建ACL。这个ACL 要求流量来自DHCP绑定表中发布的IP地址,并能够防止任何流量由其它假冒地址转发。

Cisco Catalyst 3560-E安全特性知识9:

为什么需要DHCP选项82,才能利用IP和MAC地址验证来实施IP源保护?

答:IP源保护能够执行源IP和MAC检查,也能够只执行源IP地址检查。但是,IP MAC过滤要通过端口安全和DHCP 选项82共同实现。接口上要求利用交换端口安全来实现端口安全性。另外,对于IP MAC 过滤,交换机和DHCP服务器上需要选项82。需要选项82的原因是,配置IP MAC过滤时,交换机并不直接从DHCP和ARP包中学习和识别MAC地址。这么做的原因是为了防止安全漏洞,因为任何主机都能形成假冒的DHCP和ARP包。如果DHCP服务器上不支持选项82,IP MAC过滤也可以使用静态绑定。

Cisco Catalyst 3560-E安全特性知识10:

DAI和DHCP 监听能否防止拒绝服务(DoS)攻击?

答:可以,DAI 能够限制接口上每秒输入的ARP的数量,从而防止遭受DoS攻击。由于该特性是在CPU上执行合法性检查,因此,每个配有DAI的接口上的输入ARP都要实现速率限制。DAI的性能取决于VLAN内的接口数量。

当输入ARP包的速率超过预定值时,交换机将把端口设置为"error-dsiable"状态。只有经过人工干预,即需要人工开关接口,端口状态才能改变。用户还能配置"error-disable"恢复,以便端口能够在规定期限之后,自动脱离这种状态。

  

爱华网本文地址 » http://www.aihuau.com/a/229561/901478259.html

更多阅读

网络安全基本知识 网络安全小知识

1、上网前可以做那些事情来确保上网安全?首先,你需要安装个人防火墙,利用隐私控制特性,你可以选择哪些信息需要保密,而不会不慎把这些信息发送到不安全的网站。这样,还可以防止网站服务器在你不察觉的情况下跟踪你的电子邮件地址和其他

win7如何访问加密共享文件 win7共享文件夹加密

您在 Windows 7中创建过非家庭组的高级共享,相信您还记得,默认情况下,所有用户在尝试访问您的计算机时都是需要输入凭据来连接的,凭据验证通过后才能列出可用的共享。其实这就是Windows 7 中的默认的共享安全特性,启用密码保护的共享。

windows多线程编程一 windows多线程编程c

断断续续搞了好几天的Windows下多线程编程,现将一点总结写出来,供大家参考:一、什么是进程和线程进程和线程的区别:进程主要包括:(1)私有虚拟地址空间(2)可执行程序(代码和数据)(3)打开系统资源列表句柄(4)进程ID(5)安全访问标志(6)至少一个执行线程线

Linux文件系统的barrier:启用还是禁用

大多数当前流行的Linux文件系统,包括EXT3和EXT4,都将文件系统barrier作为一个增强的安全特性。它保护数据不被写入日记。但是,在许多情况下,我们并不清楚这些barrier是否有用。本文就为什么要在你的Linux系统上启用barrier做出了解释。

世上最难破译的棋局 第58节:第五章 大产业链上的棋局(6)

系列专题:《日本财团的中国布局:三井帝国在行动》  正是因为Linux的安全特性,使得它在市场中保持了一定的占有率,且市场占有率有扩大的趋势。据IDC的预测,预计到2008年,Linux服务器的市场年销售增长率将达到30%,届时Linux服务器的市场份

声明:《cisco catalyst 3560 Cisco Catalyst 3560-E安全特性》为网友无畏不惧分享!如侵犯到您的合法权益请联系我们删除