亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

　　IP過濾功能

　　IP過濾功能是指交換機可以通過DHCP Snooping表項和手工配置的IP靜態(tài)綁定表，對非法IP報文進行過濾的功能。

　　在端口上開啟該功能后，交換機首先下發(fā)ACL規(guī)則，丟棄除DHCP報文以外的所有IP報文。(同時，需要考慮DHCP Snooping信任端口功能是否啟動。如果沒有啟動，則丟棄DHCP應答報文，否則，允許DHCP應答報文通過。)接著，下發(fā)ACL規(guī)則，允許源IP地址為DHCP Snooping表項或已經配置的IP靜態(tài)綁定表項中的IP地址的報文通過。

　　交換機對IP報文有兩種過濾方式：

　　根據報文中的源IP地址進行過濾。如果報文的源IP地址、接收報文的交換機端口號與DHCP Snooping動態(tài)表項或手工配置的IP靜態(tài)綁定表項一致，則認為該報文是合法的報文，允許其通過;否則認為是非法報文，直接丟棄。

　　根據報文中的源IP地址和源MAC地址進行過濾。如果報文的源IP地址、源MAC地址、接收報文的交換機端口號，與DHCP Snooping動態(tài)表項或手工配置的IP靜態(tài)綁定表項一致，則認為該報文是合法的報文，允許其通過;否則認為是非法報文，直接丟棄。

　　DHCP/ARP報文限速功能

　　為了防止DHCP報文泛洪攻擊，接入交換機支持配置端口上對DHCP/ARP報文的限速功能。開啟該功能后，交換機對每秒內該端口接收的DHCP/ARP報文數(shù)量進行統(tǒng)計，如果每秒收到的報文數(shù)量超過設定值，則認為該端口處于超速狀態(tài)(即受到攻擊)。此時，交換機將關閉該端口，使其不再接收任何報文，從而避免設備受到大量報文攻擊而癱瘓。

　　同時，設備支持配置端口狀態(tài)自動恢復功能，對于配置了報文限速功能的端口，在其因超速而被交換機關閉后，經過一段時間可以自動恢復為開啟狀態(tài)。

　　用戶隔離

　　運營商網絡中，通過用戶隔離技術可以有效的防范用戶間的相互影響，同樣也可以避免ARP“中間人”攻擊、偽DHCP服務器攻擊等。

　　通過上述幾種技術的配套使用，可以有效的降低在接入網中常見的安全隱患，保障運營商業(yè)務的正常運行。