CiscoCatalyst3560-E的安全特性

問：端口安全特性支持哪些違規(guī)模式？
    答：通過配置，接口能支持以下違規(guī)模式之一：
    保護：當安全MAC 地址的數(shù)量達到端口允許的額度時，源地址不明的包將被丟棄，直到一定數(shù)量的安全MAC地址被刪除，或者可允許地址的額度增加為止。在這種模式下，用戶不會得到安全違規(guī)通知。注意，思科并不建議用戶在中繼端口上使用保護模式，因為在保護模式下，當中繼上任何一個VLAN達到限額時交換機就會停止學習MAC，即使這個端口尚未達到限額。限制：當安全MAC地址的數(shù)量達到端口允許的額度時，源地址不明的包將被丟棄， 設(shè)為首頁 直到一定數(shù)量的安全MAC地址被刪除，或者可允許地址的額度增加為止。在這種模式下，用戶會得到安全違規(guī)通知。與此同時，將發(fā)送SNMP捕獲，記錄系統(tǒng)日志消息，并增加違規(guī)計數(shù)器的數(shù)量。關(guān)閉：在這種模式下，如果發(fā)生了端口安全違規(guī)，接口將立即因出錯而關(guān)閉，端口LED 將熄滅。與此同時，將發(fā)送SNMP捕獲，記錄系統(tǒng)日志消息，并增加違規(guī)計數(shù)器的數(shù)量。
    問：什么是 DHCP 監(jiān)聽和 DHCP選項82？
    答：利用DHCP監(jiān)聽，交換機能夠"竊聽"到針對 DHCP 包的交換流量，然后作為主機與DHCP 服務(wù)器之間的防火墻，提供針對DHCP的如下安全特性：
    檢查被截獲的來自不可信端口的 DHCP 消息； 對每個端口限制 DHCP 消息的速率； 跟蹤 DHCP 服務(wù)器與客戶端之間的 DHCP IP地址分配綁定； 將 DHCP選項82插入 DHCP消息，或者從DHCP消息中刪除 DHCP選項82。
    利用DHCP選項82，能根據(jù)客戶端的IP地址，方便地確定用戶使用了哪個端口。經(jīng)由DHCP 的這一擴展，邊緣交換機能夠?qū)⒆陨硇畔⒉迦氲酵ㄍ?DHCP 服務(wù)器的DHCP 請求包中。
    問：如果接入交換機上配置了DHCP選項82，還需要在上游路由接口上配置哪些內(nèi)容？
    答：如果已經(jīng)插入了DHCP選項82，上游路由接口必須配置與增加了選項82的下游DHCP監(jiān)聽交換機的信任關(guān)系。這個功能利用IP DHCP 中繼信息可信命令在面向下游交換機的VLAN接口配置中執(zhí)行。
    問：什么是 DHCP 監(jiān)管綁定表？
    DHCP 監(jiān)管綁定表包含以下信息：
    DHCP 選項82信息 MAC地址 IP地址 租用時間 綁定類型 VLAN號 與交換機本地不可信接口對應(yīng)的接口信息
    注意，表中并不包含與和可信接口互聯(lián)的主機的信息。
    問：DHCP監(jiān)管綁定表最多允許有多少個條目？
    答：最多支持8000個條目。
    問：交換機重加載時，怎樣保證綁定不變？
    答：為保證交換機重加載時綁定不變，應(yīng)使用 DHCP 監(jiān)聽數(shù)據(jù)庫代理。數(shù)據(jù)庫代理將綁定保存在規(guī)定位置的文件中。重加載時，交換機將讀取綁定文件，建立DHCP監(jiān)聽綁定數(shù)據(jù)庫。當數(shù)據(jù)庫變更時，交換機將通過更新保持文件處于最新狀態(tài)。
    問：什么是動態(tài)ARP檢查（DAI）特性？
    答：DAI 用于檢查來自面向用戶端口的所有 ARP 請求和答復，以保證請求和答復來自 ARP 所有者。ARP所有者指DHCP 綁定與 ARP 答復中包含的IP地址匹配的端口。來自DAI 可信端口的 ARP 包可以不接受檢查，通過橋接直接到達相應(yīng)的 VLAN。這個特性能在VLAN 級配置。
    問：什么是IP源保護（IPSG）特性？
    答：IP源保護能夠根據(jù)DHCP監(jiān)聽綁定表中的內(nèi)容，創(chuàng)建ACL。這個ACL 要求流量來自DHCP綁定表中發(fā)布的IP地址，并能夠防止任何流量由其它假冒地址轉(zhuǎn)發(fā)。
    問：為什么需要DHCP選項82，才能利用IP和MAC地址驗證來實施IP源保護？
    答：IP源保護能夠執(zhí)行源IP和MAC檢查，也能夠只執(zhí)行源IP地址檢查。但是，IP MAC過濾要通過端口安全和DHCP 選項82共同實現(xiàn)。接口上要求利用交換端口安全來實現(xiàn)端口安全性。另外，對于IP MAC 過濾，交換機和DHCP服務(wù)器上需要選項82。需要選項82的原因是，配置IP MAC過濾時，交換機并不直接從DHCP和ARP包中學習和識別MAC地址。這么做的原因是為了防止安全漏洞，因為任何主機都能形成假冒的DHCP和 ARP包。如果DHCP服務(wù)器上不支持選項82，IP MAC過濾也可以使用靜態(tài)綁定。
    問：DAI和DHCP 監(jiān)聽能否防止拒絕服務(wù)（DoS）攻擊？
    答：可以，DAI 能夠限制接口上每秒輸入的ARP的數(shù)量，從而防止遭受DoS攻擊。由于該特性是在CPU上執(zhí)行合法性檢查，因此，每個配有DAI的接口上的輸入ARP都要實現(xiàn)速率限制。DAI的性能取決于VLAN內(nèi)的接口數(shù)量。
    當輸入ARP包的速率超過預定值時，交換機將把端口設(shè)置為"error-dsiable"狀態(tài)。只有經(jīng)過人工干預，即需要人工開關(guān)接口，端口狀態(tài)才能改變。用戶還能配置"error-disable"恢復，以便端口能夠在規(guī)定期限之后，自動脫離這種狀態(tài)。
    問：支持哪些802.1x增強特性？
    答：支持的特性包括：
    802.1x 認證和VLAN分配 802.1x 認證和每用戶ACL 802.1x 認證和訪客VLAN 802.1x認證和不可訪問認證旁路 802.1x 認證和語音VLAN端口 802.1x 認證和端口安全 802.1x 認證和和LAN喚醒 802.1x 認證和MAC認證旁路
    問：什么是網(wǎng)絡(luò)準入控制（NAC）？
    答：NAC能夠訪問臺式計算機、筆記本和服務(wù)器等終端設(shè)備的狀態(tài)，以便防止非法或易損不安全的主機接入網(wǎng)絡(luò)。認證和狀態(tài)審核在主機請求接入網(wǎng)絡(luò)時執(zhí)行。通過第2層或第3層傳輸，網(wǎng)絡(luò)接入設(shè)備（NAD）能夠獲取主機的狀態(tài)證書。主機能夠執(zhí)行的接入數(shù)量由主機的身份和/或遵從狀態(tài)策略規(guī)定的程度確定，遵從狀態(tài)策略規(guī)定的程度則在訪問控制服務(wù)器（ACS）上規(guī)定。這些狀態(tài)證書通?；谥鳈C上運行的操作系統(tǒng)和防病毒應(yīng)用程序的狀態(tài)。
    問：在支持NAC的同時，是否還支持802.1X和每用戶ACL？
    答：不支持。
    問：什么是MAC認證旁路（MAB）？
    答：MAB能根據(jù)主機的MAC地址授權(quán)所連主機。
    問：執(zhí)行MAB時，如果一臺未安裝運行Supplicant的PC斷開與IP電話的連接，交換機是否能得到通報？
    答：不能。僅當線路上執(zhí)行了802.1x時，電話會發(fā)出EAPOL-Logoff。
    問：Cisco Catalyst 3560-E 交換機是否支持Cisco Clean Access？
    答：是的，Cisco Catalyst 3560-E 交換機支持Cisco Clean Access。
    問：Cisco Catalyst 3560-E 交換機是否支持反射性或動態(tài)ACL？
    答：不支持，Cisco Catalyst 3560-E 交換機不支持反射性和動態(tài)ACL。
    問：Cisco Catalyst 3560-E 交換機是否支持基于時間的ACL？
    答：是的，Cisco Catalyst 3560-E 交換機支持基于時間的ACL。
    問：什么是風暴控制？Cisco Catalyst 3560-E 交換機是否支持風暴控制？
    答：風暴控制能夠防止局域網(wǎng)上的流量受到某個物理接口上的廣播、組播或單播風暴的干擾。風暴控制使用以下方法衡量流量的行為：
    帶寬占廣播、組播或單播流量能使用的總端口帶寬的比例； 廣播、組播或單播包的流量接收速率，單位為每秒包數(shù)； 廣播、組播或單播包的流量接收速率，單位為每秒位數(shù)。
    問：是否支持專用VLAN特性？
    答：是的，Cisco Catalyst 3560-E 交換機支持專用VLAN。