亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

　　IP過濾功能

　　IP過濾功能是指交換機(jī)可以通過DHCP Snooping表項(xiàng)和手工配置的IP靜態(tài)綁定表，對(duì)非法IP報(bào)文進(jìn)行過濾的功能。

　　在端口上開啟該功能后，交換機(jī)首先下發(fā)ACL規(guī)則，丟棄除DHCP報(bào)文以外的所有IP報(bào)文。(同時(shí)，需要考慮DHCP Snooping信任端口功能是否啟動(dòng)。如果沒有啟動(dòng)，則丟棄DHCP應(yīng)答報(bào)文，否則，允許DHCP應(yīng)答報(bào)文通過。)接著，下發(fā)ACL規(guī)則，允許源IP地址為DHCP Snooping表項(xiàng)或已經(jīng)配置的IP靜態(tài)綁定表項(xiàng)中的IP地址的報(bào)文通過。

　　交換機(jī)對(duì)IP報(bào)文有兩種過濾方式：

　　根據(jù)報(bào)文中的源IP地址進(jìn)行過濾。如果報(bào)文的源IP地址、接收?qǐng)?bào)文的交換機(jī)端口號(hào)與DHCP Snooping動(dòng)態(tài)表項(xiàng)或手工配置的IP靜態(tài)綁定表項(xiàng)一致，則認(rèn)為該報(bào)文是合法的報(bào)文，允許其通過;否則認(rèn)為是非法報(bào)文，直接丟棄。

　　根據(jù)報(bào)文中的源IP地址和源MAC地址進(jìn)行過濾。如果報(bào)文的源IP地址、源MAC地址、接收?qǐng)?bào)文的交換機(jī)端口號(hào)，與DHCP Snooping動(dòng)態(tài)表項(xiàng)或手工配置的IP靜態(tài)綁定表項(xiàng)一致，則認(rèn)為該報(bào)文是合法的報(bào)文，允許其通過;否則認(rèn)為是非法報(bào)文，直接丟棄。

　　DHCP/ARP報(bào)文限速功能

　　為了防止DHCP報(bào)文泛洪攻擊，接入交換機(jī)支持配置端口上對(duì)DHCP/ARP報(bào)文的限速功能。開啟該功能后，交換機(jī)對(duì)每秒內(nèi)該端口接收的DHCP/ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，如果每秒收到的報(bào)文數(shù)量超過設(shè)定值，則認(rèn)為該端口處于超速狀態(tài)(即受到攻擊)。此時(shí)，交換機(jī)將關(guān)閉該端口，使其不再接收任何報(bào)文，從而避免設(shè)備受到大量報(bào)文攻擊而癱瘓。

　　同時(shí)，設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能，對(duì)于配置了報(bào)文限速功能的端口，在其因超速而被交換機(jī)關(guān)閉后，經(jīng)過一段時(shí)間可以自動(dòng)恢復(fù)為開啟狀態(tài)。

　　用戶隔離

　　運(yùn)營(yíng)商網(wǎng)絡(luò)中，通過用戶隔離技術(shù)可以有效的防范用戶間的相互影響，同樣也可以避免ARP“中間人”攻擊、偽DHCP服務(wù)器攻擊等。

　　通過上述幾種技術(shù)的配套使用，可以有效的降低在接入網(wǎng)中常見的安全隱患，保障運(yùn)營(yíng)商業(yè)務(wù)的正常運(yùn)行。