Cisco Catalyst3560-E安全特性

　　cisco思科依靠自身的技術(shù)和對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解，使其成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一，其出產(chǎn)的路由器設(shè)備也是世界一流，那么你知道Cisco Catalyst 3560-E安全特性嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于Cisco Catalyst 3560-E安全特性的相關(guān)資料，供你參考。

　　Cisco Catalyst 3560-E安全特性知識(shí)1：

　　端口安全特性支持哪些違規(guī)模式?

　　答：通過(guò)配置，接口能支持以下違規(guī)模式之一：

　　保護(hù)：當(dāng)安全MAC地址的數(shù)量達(dá)到端口允許的額度時(shí)，源地址不明的包將被丟棄，直到一定數(shù)量的安全MAC地址被刪除，或者最高可允許地址的額度增加為止。在這種模式下，用戶不會(huì)得到安全違規(guī)通知。注意，思科并不建議用戶在中繼端口上使用保護(hù)模式，因?yàn)樵诒Ｗo(hù)模式下，當(dāng)中繼上任何一個(gè)VLAN達(dá)到最高限額時(shí)交換機(jī)就會(huì)停止學(xué)習(xí)MAC，即使這個(gè)端口尚未達(dá)到最高限額。 限制：當(dāng)安全MAC地址的數(shù)量達(dá)到端口允許的額度時(shí)，源地址不明的包將被丟棄，直到一定數(shù)量的安全MAC地址被刪除，或者最高可允許地址的額度增加為止。在這種模式下，用戶會(huì)得到安全違規(guī)通知。與此同時(shí)，將發(fā)送SNMP捕獲，記錄系統(tǒng)日志消息，并增加違規(guī)計(jì)數(shù)器的數(shù)量。 關(guān)閉：在這種模式下，如果發(fā)生了端口安全違規(guī)，接口將立即因出錯(cuò)而關(guān)閉，端口LED 將熄滅。與此同時(shí)，將發(fā)送SNMP捕獲，記錄系統(tǒng)日志消息，并增加違規(guī)計(jì)數(shù)器的數(shù)量。

　　Cisco Catalyst 3560-E安全特性知識(shí)2：

　　什么是 DHCP 監(jiān)聽(tīng)和 DHCP選項(xiàng)82?

　　答：利用DHCP監(jiān)聽(tīng)，交換機(jī)能夠"竊聽(tīng)"到針對(duì) DHCP 包的交換流量，然后作為主機(jī)與DHCP 服務(wù)器之間的防火墻，提供針對(duì)DHCP的如下安全特性：

　　檢查被截獲的來(lái)自不可信端口的 DHCP 消息; 對(duì)每個(gè)端口限制 DHCP 消息的速率; 跟蹤 DHCP 服務(wù)器與客戶端之間的 DHCP IP地址分配綁定; 將 DHCP選項(xiàng)82插入 DHCP消息，或者從DHCP消息中刪除 DHCP選項(xiàng)82。

　　利用DHCP選項(xiàng)82，能根據(jù)客戶端的IP地址，方便地確定用戶使用了哪個(gè)端口。經(jīng)由DHCP 的這一擴(kuò)展，邊緣交換機(jī)能夠?qū)⒆陨硇畔⒉迦氲酵ㄍ?DHCP 服務(wù)器的DHCP 請(qǐng)求包中。

　　Cisco Catalyst 3560-E安全特性知識(shí)3：

　　如果接入交換機(jī)上配置了DHCP選項(xiàng)82，還需要在上游路由接口上配置哪些內(nèi)容?

　　答：如果已經(jīng)插入了DHCP選項(xiàng)82，上游路由接口必須配置與增加了選項(xiàng)82的下游DHCP監(jiān)聽(tīng)交換機(jī)的信任關(guān)系。這個(gè)功能利用IP DHCP 中繼信息可信命令在面向下游交換機(jī)的VLAN接口配置中執(zhí)行。

　　Cisco Catalyst 3560-E安全特性知識(shí)4：

　　什么是 DHCP 監(jiān)管綁定表?

　　DHCP 監(jiān)管綁定表包含以下信息：

　　DHCP 選項(xiàng)82信息 MAC地址 IP地址 租用時(shí)間 綁定類型 VLAN號(hào) 與交換機(jī)本地不可信接口對(duì)應(yīng)的接口信息

　　注意，表中并不包含與和可信接口互聯(lián)的主機(jī)的信息。

　　Cisco Catalyst 3560-E安全特性知識(shí)5：

　　DHCP監(jiān)管綁定表最多允許有多少個(gè)條目?

　　答：最多支持8000個(gè)條目。

　　Cisco Catalyst 3560-E安全特性知識(shí)6：

　　交換機(jī)重加載時(shí)，怎樣保證綁定不變?

　　答：為保證交換機(jī)重加載時(shí)綁定不變，應(yīng)使用 DHCP 監(jiān)聽(tīng)數(shù)據(jù)庫(kù)代理。數(shù)據(jù)庫(kù)代理將綁定保存在規(guī)定位置的文件中。重加載時(shí)，交換機(jī)將讀取綁定文件，建立DHCP監(jiān)聽(tīng)綁定數(shù)據(jù)庫(kù)。當(dāng)數(shù)據(jù)庫(kù)變更時(shí)，交換機(jī)將通過(guò)更新保持文件處于最新?tīng)顟B(tài)。

　　Cisco Catalyst 3560-E安全特性知識(shí)7：

　　什么是動(dòng)態(tài)ARP檢查(DAI)特性?

　　答：DAI 用于檢查來(lái)自面向用戶端口的所有 ARP 請(qǐng)求和答復(fù)，以保證請(qǐng)求和答復(fù)來(lái)自 ARP 所有者。ARP所有者指DHCP 綁定與 ARP 答復(fù)中包含的IP地址匹配的端口。來(lái)自DAI 可信端口的 ARP 包可以不接受檢查，通過(guò)橋接直接到達(dá)相應(yīng)的 VLAN。這個(gè)特性能在VLAN 級(jí)配置。

　　Cisco Catalyst 3560-E安全特性知識(shí)8：

　　什么是IP源保護(hù)(IPSG)特性?

　　答：IP源保護(hù)能夠根據(jù)DHCP監(jiān)聽(tīng)綁定表中的內(nèi)容，創(chuàng)建ACL。這個(gè)ACL 要求流量來(lái)自DHCP綁定表中發(fā)布的IP地址，并能夠防止任何流量由其它假冒地址轉(zhuǎn)發(fā)。

　　Cisco Catalyst 3560-E安全特性知識(shí)9：

　　為什么需要DHCP選項(xiàng)82，才能利用IP和MAC地址驗(yàn)證來(lái)實(shí)施IP源保護(hù)?

　　答：IP源保護(hù)能夠執(zhí)行源IP和MAC檢查，也能夠只執(zhí)行源IP地址檢查。但是，IP MAC過(guò)濾要通過(guò)端口安全和DHCP 選項(xiàng)82共同實(shí)現(xiàn)。接口上要求利用交換端口安全來(lái)實(shí)現(xiàn)端口安全性。另外，對(duì)于IP MAC 過(guò)濾，交換機(jī)和DHCP服務(wù)器上需要選項(xiàng)82。需要選項(xiàng)82的原因是，配置IP MAC過(guò)濾時(shí)，交換機(jī)并不直接從DHCP和ARP包中學(xué)習(xí)和識(shí)別MAC地址。這么做的原因是為了防止安全漏洞，因?yàn)槿魏沃鳈C(jī)都能形成假冒的DHCP和ARP包。如果DHCP服務(wù)器上不支持選項(xiàng)82，IP MAC過(guò)濾也可以使用靜態(tài)綁定。

　　Cisco Catalyst 3560-E安全特性知識(shí)10：

　　DAI和DHCP 監(jiān)聽(tīng)能否防止拒絕服務(wù)(DoS)攻擊?

　　答：可以，DAI 能夠限制接口上每秒輸入的ARP的數(shù)量，從而防止遭受DoS攻擊。由于該特性是在CPU上執(zhí)行合法性檢查，因此，每個(gè)配有DAI的接口上的輸入ARP都要實(shí)現(xiàn)速率限制。DAI的性能取決于VLAN內(nèi)的接口數(shù)量。

　　當(dāng)輸入ARP包的速率超過(guò)預(yù)定值時(shí)，交換機(jī)將把端口設(shè)置為"error-dsiable"狀態(tài)。只有經(jīng)過(guò)人工干預(yù)，即需要人工開(kāi)關(guān)接口，端口狀態(tài)才能改變。用戶還能配置"error-disable"恢復(fù)，以便端口能夠在規(guī)定期限之后，自動(dòng)脫離這種狀態(tài)。