思科交换产品

常见问题--安全

安全

下面讨论 Cisco Catalyst 3560-E 的安全特性。

问:端口安全特性支持哪些违规模式?
答:通过配置,接口能支持以下违规模式之一:

  • 保护:当安全MAC地址的数量达到端口允许的额度时,源地址不明的包将被丢弃,直到一定数量的安全MAC地址被删除,或者最高可允许地址的额度增加为止。在这种模式下,用户不会得到安全违规通知。注意,思科并不建议用户在中继端口上使用保护模式,因为在保护模式下,当中继上任何一个VLAN达到最高限额时交换机就会停止学习MAC,即使这个端口尚未达到最高限额。
  • 限制:当安全MAC地址的数量达到端口允许的额度时,源地址不明的包将被丢弃,直到一定数量的安全MAC地址被删除,或者最高可允许地址的额度增加为止。在这种模式下,用户会得到安全违规通知。与此同时,将发送SNMP捕获,记录系统日志消息,并增加违规计数器的数量。
  • 关闭:在这种模式下,如果发生了端口安全违规,接口将立即因出错而关闭,端口LED 将熄灭。与此同时,将发送SNMP捕获,记录系统日志消息,并增加违规计数器的数量。

问:什么是 DHCP 监听和 DHCP选项82?
答:利用DHCP监听,交换机能够"窃听"到针对 DHCP 包的交换流量,然后作为主机与DHCP 服务器之间的防火墙,提供针对DHCP的如下安全特性:

  • 检查被截获的来自不可信端口的 DHCP 消息;
  • 对每个端口限制 DHCP 消息的速率;
  • 跟踪 DHCP 服务器与客户端之间的 DHCP IP地址分配绑定;
  • 将 DHCP选项82插入 DHCP消息,或者从DHCP消息中删除 DHCP选项82。

利用DHCP选项82,能根据客户端的IP地址,方便地确定用户使用了哪个端口。经由DHCP 的这一扩展,边缘交换机能够将自身信息插入到通往 DHCP 服务器的DHCP 请求包中。

问:如果接入交换机上配置了DHCP选项82,还需要在上游路由接口上配置哪些内容?
答:如果已经插入了DHCP选项82,上游路由接口必须配置与增加了选项82的下游DHCP监听交换机的信任关系。这个功能利用IP DHCP 中继信息可信命令在面向下游交换机的VLAN接口配置中执行。

问:什么是 DHCP 监管绑定表?
DHCP 监管绑定表包含以下信息:

  • DHCP 选项82信息
  • MAC地址
  • IP地址
  • 租用时间
  • 绑定类型
  • VLAN号
  • 与交换机本地不可信接口对应的接口信息

注意,表中并不包含与和可信接口互联的主机的信息。

问:DHCP监管绑定表最多允许有多少个条目?
答:最多支持8000个条目。

问:交换机重加载时,怎样保证绑定不变?
答:为保证交换机重加载时绑定不变,应使用 DHCP 监听数据库代理。数据库代理将绑定保存在规定位置的文件中。重加载时,交换机将读取绑定文件,建立DHCP监听绑定数据库。当数据库变更时,交换机将通过更新保持文件处于最新状态。

问:什么是动态ARP检查(DAI)特性?
答:DAI 用于检查来自面向用户端口的所有 ARP 请求和答复,以保证请求和答复来自 ARP 所有者。ARP所有者指DHCP 绑定与 ARP 答复中包含的IP地址匹配的端口。来自DAI 可信端口的 ARP 包可以不接受检查,通过桥接直接到达相应的 VLAN。这个特性能在VLAN 级配置。

问:什么是IP源保护(IPSG)特性?
答:IP源保护能够根据DHCP监听绑定表中的内容,创建ACL。这个ACL 要求流量来自DHCP绑定表中发布的IP地址,并能够防止任何流量由其它假冒地址转发。

问:为什么需要DHCP选项82,才能利用IP和MAC地址验证来实施IP源保护?
答:IP源保护能够执行源IP和MAC检查,也能够只执行源IP地址检查。但是,IP MAC过滤要通过端口安全和DHCP 选项82共同实现。接口上要求利用交换端口安全来实现端口安全性。另外,对于IP MAC 过滤,交换机和DHCP服务器上需要选项82。需要选项82的原因是,配置IP MAC过滤时,交换机并不直接从DHCP和ARP包中学习和识别MAC地址。这么做的原因是为了防止安全漏洞,因为任何主机都能形成假冒的DHCP和ARP包。如果DHCP服务器上不支持选项82,IP MAC过滤也可以使用静态绑定。

问:DAI和DHCP 监听能否防止拒绝服务(DoS)攻击?
答:可以,DAI 能够限制接口上每秒输入的ARP的数量,从而防止遭受DoS攻击。由于该特性是在CPU上执行合法性检查,因此,每个配有DAI的接口上的输入ARP都要实现速率限制。DAI的性能取决于VLAN内的接口数量。

当输入ARP包的速率超过预定值时,交换机将把端口设置为"error-dsiable"状态。只有经过人工干预,即需要人工开关接口,端口状态才能改变。用户还能配置"error-disable"恢复,以便端口能够在规定期限之后,自动脱离这种状态。

问:支持哪些802.1x增强特性?
答:支持的特性包括:

  • 802.1x 认证和VLAN分配
  • 802.1x 认证和每用户ACL
  • 802.1x 认证和访客VLAN
  • 802.1x认证和不可访问认证旁路
  • 802.1x 认证和语音VLAN端口
  • 802.1x 认证和端口安全
  • 802.1x 认证和和LAN唤醒
  • 802.1x 认证和MAC认证旁路

问:什么是网络准入控制(NAC)?
答:NAC能够访问台式计算机、笔记本和服务器等终端设备的状态,以便防止非法或易损不安全的主机接入网络。认证和状态审核在主机请求接入网络时执行。通过第2层或第3层传输,网络接入设备(NAD)能够获取主机的状态证书。主机能够执行的接入数量由主机的身份和/或遵从状态策略规定的程度确定,遵从状态策略规定的程度则在访问控制服务器(ACS)上规定。这些状态证书通常基于主机上运行的操作系统和防病毒应用程序的状态。

问:在支持NAC的同时,是否还支持802.1X和每用户ACL?
答:不支持。

问:什么是MAC认证旁路(MAB)?
答:MAB能根据主机的MAC地址授权所连主机。

问:执行MAB时,如果一台未安装运行Supplicant的PC断开与IP电话的连接,交换机是否能得到通报?
答:不能。仅当线路上执行了802.1x时,电话会发出EAPOL-Logoff。

问:Cisco Catalyst 3560-E 交换机是否支持Cisco Clean Access?
答:是的,Cisco Catalyst 3560-E 交换机支持Cisco Clean Access。

问:Cisco Catalyst 3560-E 交换机是否支持反射性或动态ACL?
答:不支持,Cisco Catalyst 3560-E 交换机不支持反射性和动态ACL。

问:Cisco Catalyst 3560-E 交换机是否支持基于时间的ACL?
答:是的,Cisco Catalyst 3560-E 交换机支持基于时间的ACL。

问:什么是风暴控制?Cisco Catalyst 3560-E 交换机是否支持风暴控制?
答:风暴控制能够防止局域网上的流量受到某个物理接口上的广播、组播或单播风暴的干扰。风暴控制使用以下方法衡量流量的行为:

  • 带宽占广播、组播或单播流量能使用的总端口带宽的比例;
  • 广播、组播或单播包的流量接收速率,单位为每秒包数;
  • 广播、组播或单播包的流量接收速率,单位为每秒位数。

问:是否支持专用VLAN特性?
答:是的,Cisco Catalyst 3560-E 交换机支持专用VLAN。

联系我们