Cisco Catalyst3560-E安全特性

　　cisco思科依靠自身的技术和对网络经济模式的深刻理解，使其成为了网络应用的成功实践者之一，其出产的路由器设备也是世界一流，那么你知道Cisco Catalyst 3560-E安全特性吗?下面是学习啦小编整理的一些关于Cisco Catalyst 3560-E安全特性的相关资料，供你参考。

　　Cisco Catalyst 3560-E安全特性知识1：

　　端口安全特性支持哪些违规模式?

　　答：通过配置，接口能支持以下违规模式之一：

　　保护：当安全MAC地址的数量达到端口允许的额度时，源地址不明的包将被丢弃，直到一定数量的安全MAC地址被删除，或者最高可允许地址的额度增加为止。在这种模式下，用户不会得到安全违规通知。注意，思科并不建议用户在中继端口上使用保护模式，因为在保护模式下，当中继上任何一个VLAN达到最高限额时交换机就会停止学习MAC，即使这个端口尚未达到最高限额。 限制：当安全MAC地址的数量达到端口允许的额度时，源地址不明的包将被丢弃，直到一定数量的安全MAC地址被删除，或者最高可允许地址的额度增加为止。在这种模式下，用户会得到安全违规通知。与此同时，将发送SNMP捕获，记录系统日志消息，并增加违规计数器的数量。 关闭：在这种模式下，如果发生了端口安全违规，接口将立即因出错而关闭，端口LED 将熄灭。与此同时，将发送SNMP捕获，记录系统日志消息，并增加违规计数器的数量。

　　Cisco Catalyst 3560-E安全特性知识2：

　　什么是 DHCP 监听和 DHCP选项82?

　　答：利用DHCP监听，交换机能够"窃听"到针对 DHCP 包的交换流量，然后作为主机与DHCP 服务器之间的防火墙，提供针对DHCP的如下安全特性：

　　检查被截获的来自不可信端口的 DHCP 消息; 对每个端口限制 DHCP 消息的速率; 跟踪 DHCP 服务器与客户端之间的 DHCP IP地址分配绑定; 将 DHCP选项82插入 DHCP消息，或者从DHCP消息中删除 DHCP选项82。

　　利用DHCP选项82，能根据客户端的IP地址，方便地确定用户使用了哪个端口。经由DHCP 的这一扩展，边缘交换机能够将自身信息插入到通往 DHCP 服务器的DHCP 请求包中。

　　Cisco Catalyst 3560-E安全特性知识3：

　　如果接入交换机上配置了DHCP选项82，还需要在上游路由接口上配置哪些内容?

　　答：如果已经插入了DHCP选项82，上游路由接口必须配置与增加了选项82的下游DHCP监听交换机的信任关系。这个功能利用IP DHCP 中继信息可信命令在面向下游交换机的VLAN接口配置中执行。

　　Cisco Catalyst 3560-E安全特性知识4：

　　什么是 DHCP 监管绑定表?

　　DHCP 监管绑定表包含以下信息：

　　DHCP 选项82信息 MAC地址 IP地址 租用时间 绑定类型 VLAN号 与交换机本地不可信接口对应的接口信息

　　注意，表中并不包含与和可信接口互联的主机的信息。

　　Cisco Catalyst 3560-E安全特性知识5：

　　DHCP监管绑定表最多允许有多少个条目?

　　答：最多支持8000个条目。

　　Cisco Catalyst 3560-E安全特性知识6：

　　交换机重加载时，怎样保证绑定不变?

　　答：为保证交换机重加载时绑定不变，应使用 DHCP 监听数据库代理。数据库代理将绑定保存在规定位置的文件中。重加载时，交换机将读取绑定文件，建立DHCP监听绑定数据库。当数据库变更时，交换机将通过更新保持文件处于最新状态。

　　Cisco Catalyst 3560-E安全特性知识7：

　　什么是动态ARP检查(DAI)特性?

　　答：DAI 用于检查来自面向用户端口的所有 ARP 请求和答复，以保证请求和答复来自 ARP 所有者。ARP所有者指DHCP 绑定与 ARP 答复中包含的IP地址匹配的端口。来自DAI 可信端口的 ARP 包可以不接受检查，通过桥接直接到达相应的 VLAN。这个特性能在VLAN 级配置。

　　Cisco Catalyst 3560-E安全特性知识8：

　　什么是IP源保护(IPSG)特性?

　　答：IP源保护能够根据DHCP监听绑定表中的内容，创建ACL。这个ACL 要求流量来自DHCP绑定表中发布的IP地址，并能够防止任何流量由其它假冒地址转发。

　　Cisco Catalyst 3560-E安全特性知识9：

　　为什么需要DHCP选项82，才能利用IP和MAC地址验证来实施IP源保护?

　　答：IP源保护能够执行源IP和MAC检查，也能够只执行源IP地址检查。但是，IP MAC过滤要通过端口安全和DHCP 选项82共同实现。接口上要求利用交换端口安全来实现端口安全性。另外，对于IP MAC 过滤，交换机和DHCP服务器上需要选项82。需要选项82的原因是，配置IP MAC过滤时，交换机并不直接从DHCP和ARP包中学习和识别MAC地址。这么做的原因是为了防止安全漏洞，因为任何主机都能形成假冒的DHCP和ARP包。如果DHCP服务器上不支持选项82，IP MAC过滤也可以使用静态绑定。

　　Cisco Catalyst 3560-E安全特性知识10：

　　DAI和DHCP 监听能否防止拒绝服务(DoS)攻击?

　　答：可以，DAI 能够限制接口上每秒输入的ARP的数量，从而防止遭受DoS攻击。由于该特性是在CPU上执行合法性检查，因此，每个配有DAI的接口上的输入ARP都要实现速率限制。DAI的性能取决于VLAN内的接口数量。

　　当输入ARP包的速率超过预定值时，交换机将把端口设置为"error-dsiable"状态。只有经过人工干预，即需要人工开关接口，端口状态才能改变。用户还能配置"error-disable"恢复，以便端口能够在规定期限之后，自动脱离这种状态。