国产成人v爽在线免播放观看,日韩欧美色,久久99国产精品久久99软件,亚洲综合色网站,国产欧美日韩中文久久,色99在线,亚洲伦理一区二区

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識 > 路由器 > 路由器設(shè)置 > cisco思科 > Cisco Catalyst3560-E安全特性

Cisco Catalyst3560-E安全特性

時間: 權(quán)威724 分享

Cisco Catalyst3560-E安全特性

  cisco思科依靠自身的技術(shù)和對網(wǎng)絡(luò)經(jīng)濟模式的深刻理解,使其成為了網(wǎng)絡(luò)應(yīng)用的成功實踐者之一,其出產(chǎn)的路由器設(shè)備也是世界一流,那么你知道Cisco Catalyst 3560-E安全特性嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于Cisco Catalyst 3560-E安全特性的相關(guān)資料,供你參考。

  Cisco Catalyst 3560-E安全特性知識1:

  端口安全特性支持哪些違規(guī)模式?

  答:通過配置,接口能支持以下違規(guī)模式之一:

  保護:當(dāng)安全MAC地址的數(shù)量達到端口允許的額度時,源地址不明的包將被丟棄,直到一定數(shù)量的安全MAC地址被刪除,或者最高可允許地址的額度增加為止。在這種模式下,用戶不會得到安全違規(guī)通知。注意,思科并不建議用戶在中繼端口上使用保護模式,因為在保護模式下,當(dāng)中繼上任何一個VLAN達到最高限額時交換機就會停止學(xué)習(xí)MAC,即使這個端口尚未達到最高限額。 限制:當(dāng)安全MAC地址的數(shù)量達到端口允許的額度時,源地址不明的包將被丟棄,直到一定數(shù)量的安全MAC地址被刪除,或者最高可允許地址的額度增加為止。在這種模式下,用戶會得到安全違規(guī)通知。與此同時,將發(fā)送SNMP捕獲,記錄系統(tǒng)日志消息,并增加違規(guī)計數(shù)器的數(shù)量。 關(guān)閉:在這種模式下,如果發(fā)生了端口安全違規(guī),接口將立即因出錯而關(guān)閉,端口LED 將熄滅。與此同時,將發(fā)送SNMP捕獲,記錄系統(tǒng)日志消息,并增加違規(guī)計數(shù)器的數(shù)量。

  Cisco Catalyst 3560-E安全特性知識2:

  什么是 DHCP 監(jiān)聽和 DHCP選項82?

  答:利用DHCP監(jiān)聽,交換機能夠"竊聽"到針對 DHCP 包的交換流量,然后作為主機與DHCP 服務(wù)器之間的防火墻,提供針對DHCP的如下安全特性:

  檢查被截獲的來自不可信端口的 DHCP 消息; 對每個端口限制 DHCP 消息的速率; 跟蹤 DHCP 服務(wù)器與客戶端之間的 DHCP IP地址分配綁定; 將 DHCP選項82插入 DHCP消息,或者從DHCP消息中刪除 DHCP選項82。

  利用DHCP選項82,能根據(jù)客戶端的IP地址,方便地確定用戶使用了哪個端口。經(jīng)由DHCP 的這一擴展,邊緣交換機能夠?qū)⒆陨硇畔⒉迦氲酵ㄍ?DHCP 服務(wù)器的DHCP 請求包中。

  Cisco Catalyst 3560-E安全特性知識3:

  如果接入交換機上配置了DHCP選項82,還需要在上游路由接口上配置哪些內(nèi)容?

  答:如果已經(jīng)插入了DHCP選項82,上游路由接口必須配置與增加了選項82的下游DHCP監(jiān)聽交換機的信任關(guān)系。這個功能利用IP DHCP 中繼信息可信命令在面向下游交換機的VLAN接口配置中執(zhí)行。

  Cisco Catalyst 3560-E安全特性知識4:

  什么是 DHCP 監(jiān)管綁定表?

  DHCP 監(jiān)管綁定表包含以下信息:

  DHCP 選項82信息 MAC地址 IP地址 租用時間 綁定類型 VLAN號 與交換機本地不可信接口對應(yīng)的接口信息

  注意,表中并不包含與和可信接口互聯(lián)的主機的信息。

  Cisco Catalyst 3560-E安全特性知識5:

  DHCP監(jiān)管綁定表最多允許有多少個條目?

  答:最多支持8000個條目。

  Cisco Catalyst 3560-E安全特性知識6:

  交換機重加載時,怎樣保證綁定不變?

  答:為保證交換機重加載時綁定不變,應(yīng)使用 DHCP 監(jiān)聽數(shù)據(jù)庫代理。數(shù)據(jù)庫代理將綁定保存在規(guī)定位置的文件中。重加載時,交換機將讀取綁定文件,建立DHCP監(jiān)聽綁定數(shù)據(jù)庫。當(dāng)數(shù)據(jù)庫變更時,交換機將通過更新保持文件處于最新狀態(tài)。

  Cisco Catalyst 3560-E安全特性知識7:

  什么是動態(tài)ARP檢查(DAI)特性?

  答:DAI 用于檢查來自面向用戶端口的所有 ARP 請求和答復(fù),以保證請求和答復(fù)來自 ARP 所有者。ARP所有者指DHCP 綁定與 ARP 答復(fù)中包含的IP地址匹配的端口。來自DAI 可信端口的 ARP 包可以不接受檢查,通過橋接直接到達相應(yīng)的 VLAN。這個特性能在VLAN 級配置。

  Cisco Catalyst 3560-E安全特性知識8:

  什么是IP源保護(IPSG)特性?

  答:IP源保護能夠根據(jù)DHCP監(jiān)聽綁定表中的內(nèi)容,創(chuàng)建ACL。這個ACL 要求流量來自DHCP綁定表中發(fā)布的IP地址,并能夠防止任何流量由其它假冒地址轉(zhuǎn)發(fā)。

  Cisco Catalyst 3560-E安全特性知識9:

  為什么需要DHCP選項82,才能利用IP和MAC地址驗證來實施IP源保護?

  答:IP源保護能夠執(zhí)行源IP和MAC檢查,也能夠只執(zhí)行源IP地址檢查。但是,IP MAC過濾要通過端口安全和DHCP 選項82共同實現(xiàn)。接口上要求利用交換端口安全來實現(xiàn)端口安全性。另外,對于IP MAC 過濾,交換機和DHCP服務(wù)器上需要選項82。需要選項82的原因是,配置IP MAC過濾時,交換機并不直接從DHCP和ARP包中學(xué)習(xí)和識別MAC地址。這么做的原因是為了防止安全漏洞,因為任何主機都能形成假冒的DHCP和ARP包。如果DHCP服務(wù)器上不支持選項82,IP MAC過濾也可以使用靜態(tài)綁定。

  Cisco Catalyst 3560-E安全特性知識10:

  DAI和DHCP 監(jiān)聽能否防止拒絕服務(wù)(DoS)攻擊?

  答:可以,DAI 能夠限制接口上每秒輸入的ARP的數(shù)量,從而防止遭受DoS攻擊。由于該特性是在CPU上執(zhí)行合法性檢查,因此,每個配有DAI的接口上的輸入ARP都要實現(xiàn)速率限制。DAI的性能取決于VLAN內(nèi)的接口數(shù)量。

  當(dāng)輸入ARP包的速率超過預(yù)定值時,交換機將把端口設(shè)置為"error-dsiable"狀態(tài)。只有經(jīng)過人工干預(yù),即需要人工開關(guān)接口,端口狀態(tài)才能改變。用戶還能配置"error-disable"恢復(fù),以便端口能夠在規(guī)定期限之后,自動脫離這種狀態(tài)。

569589