基于交换机端的安全控制.ppt

网络优化与安全 冗余链路技术保证网络稳定 安全技术保障网络安全 交换机端口安全 交换机尤其是二层接入层交换机，是用户和网络的接口。 一个合理的全局性的安全策略，需要在接入层交换机部署相应的安全策略。 包括端口安全等等。 从网络设计的角度看，安全设计应该是一个整体性的设计。 不应该是局部的打补丁。 基于交换机端口的安全控制 利用端口安全这个特性， 可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现严格控制对该端口的输入 交换机端口安全 利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定 最大连接数：设定每一个交换接口的地址连接数 用于防止管理员对网络管理失控 防止DDOS 防止恶意带宽耗费，保证正常用户使用 交换机端口安全 安全违例产生于以下情况： 如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时，你可以选择多种方式来处理违例： Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包 Restrict：当违例产生时，将发送一个Trap通知 Shutdown：当违