CiscoCatalyst3560-E的安全特性.docVIP

问：端口安全特性支持哪些违规模式？ 　　答：通过配置，接口能支持以下违规模式之一： 　　保护：当安全MAC 地址的数量达到端口允许的额度时，源地址不明的包将被丢弃，直到一定数量的安全MAC地址被删除，或者最高可允许地址的额度增加为止。在这种模式下，用户不会得到安全违规通知。注意，思科并不建议用户在中继端口上使用保护模式，因为在保护模式下，当中继上任何一个VLAN达到最高限额时交换机就会停止学习MAC，即使这个端口尚未达到最高限额。限制：当安全MAC地址的数量达到端口允许的额度时，源地址不明的包将被丢弃， 直到一定数量的安全MAC地址被删除，或者最高可允许地址的额度增加为止。在这种模式下，用户会得到安全违规通知。与此同时，将发送SNMP捕获，记录系统日志消息，并增加违规计数器的数量。关闭：在这种模式下，如果发生了端口安全违规，接口将立即因出错而关闭，端口LED 将熄灭。与此同时，将发送SNMP捕获，记录系统日志消息，并增加违规计数器的数量。 　　问：什么是 DHCP 监听和 DHCP选项82？ 　　答：利用DHCP监听，交换机能够窃听到针对 DHCP 包的交换流量，然后作为主机与DHCP 服务器之间的防火墙，提供针对DHCP的如下安全特性： 　　检查被截获的来自不可信端口的 DHCP 消息； 对每个端口限制 DHCP 消息的速率； 跟踪 DHCP 服务器与客户端之间的 DHCP IP地址分配绑定； 将 DHCP选项82插入 DHCP消息，或者从DHCP消息中删除 DHCP选项82。 　　利用DHCP选项82，能根据客户端的IP地址，方便地确定用户使用了哪个端口。经由DHCP 的这一扩展，边缘交换机能够将自身信息插入到通往 DHCP 服务器的DHCP 请求包中。 　　问：如果接入交换机上配置了DHCP选项82，还需要在上游路由接口上配置哪些内容？ 　　答：如果已经插入了DHCP选项82，上游路由接口必须配置与增加了选项82的下游DHCP监听交换机的信任关系。这个功能利用IP DHCP 中继信息可信命令在面向下游交换机的VLAN接口配置中执行。 　　问：什么是 DHCP 监管绑定表？ 　　DHCP 监管绑定表包含以下信息： 　　DHCP 选项82信息 MAC地址 IP地址 租用时间 绑定类型 VLAN号 与交换机本地不可信接口对应的接口信息 　　注意，表中并不包含与和可信接口互联的主机的信息。 　　问：DHCP监管绑定表最多允许有多少个条目？ 　　答：最多支持8000个条目。 　　问：交换机重加载时，怎样保证绑定不变？ 　　答：为保证交换机重加载时绑定不变，应使用 DHCP 监听数据库代理。数据库代理将绑定保存在规定位置的文件中。重加载时，交换机将读取绑定文件，建立DHCP监听绑定数据库。当数据库变更时，交换机将通过更新保持文件处于必威体育精装版状态。 　　问：什么是动态ARP检查（DAI）特性？ 　　答：DAI 用于检查来自面向用户端口的所有 ARP 请求和答复，以保证请求和答复来自 ARP 所有者。ARP所有者指DHCP 绑定与 ARP 答复中包含的IP地址匹配的端口。来自DAI 可信端口的 ARP 包可以不接受检查，通过桥接直接到达相应的 VLAN。这个特性能在VLAN 级配置。 　　问：什么是IP源保护（IPSG）特性？ 　　答：IP源保护能够根据DHCP监听绑定表中的内容，创建ACL。这个ACL 要求流量来自DHCP绑定表中发布的IP地址，并能够防止任何流量由其它假冒地址转发。 　　问：为什么需要DHCP选项82，才能利用IP和MAC地址验证来实施IP源保护？ 　　答：IP源保护能够执行源IP和MAC检查，也能够只执行源IP地址检查。但是，IP MAC过滤要通过端口安全和DHCP 选项82共同实现。接口上要求利用交换端口安全来实现端口安全性。另外，对于IP MAC 过滤，交换机和DHCP服务器上需要选项82。需要选项82的原因是，配置IP MAC过滤时，交换机并不直接从DHCP和ARP包中学习和识别MAC地址。这么做的原因是为了防止安全漏洞，因为任何主机都能形成假冒的DHCP和 ARP包。如果DHCP服务器上不支持选项82，IP MAC过滤也可以使用静态绑定。 　　问：DAI和DHCP 监听能否防止拒绝服务（DoS）攻击？ 　　答：可以，DAI 能够限制接口上每秒输入的ARP的数量，从而防止遭受DoS攻击。由于该特性是在CPU上执行合法性检查，因此，每个配有DAI的接口上的输入ARP都要实现速率限制。DAI的性能取决于VLAN内的接口数量。 　　当输入ARP包的速率超过预定值时，交换机将把端口设置为error-dsiable状态。只有经过人工干预，即需要人工开关接口，端口状态才能改变。用户还能配置error-disable恢复，以便