硬件处置惩罚是祝愿边缘设备不会因为策动速率限制而影响其线速转发数据包的才能,大电流发生器电路隔离保护这一点对边缘设备来讲是很重要的性能目标。有了完全的速率限制功效,而又不影响网络的性能目标,才能有效地管理网络的带宽资本。ACL保险樊篱才能 搜集中,ACL不但可以或许让搜集管理者用来制定搜集战略,对个别用户或特定的大电流发生器数据流履行允许或者谢绝的节制,也可以或许用来加强网络的保险屏障。从简单的Pingto Death 进击、 TCP Sync 进击,一向到更多样化更复杂的黑客进击, ACL大电流发生器都可以起到必然的樊篱感化。ACL 有标准 ACL 及扩展 ACL Extend ACL两种,不论边沿是二层交换机还是三层交换机,*好都具备支撑尺度 ACL及扩展 ACL才能,才能将网络的保险樊篱及策略执行能力分离到收集的边沿。跟速率限制一样,搜集设备不但应该能执行完整的ACL功效,包含进站及出站,同时也必须大电流发生器强调由硬件处理的才能。如斯,能力在发动ACL同时,不会影响到二层或三层交换 trust ip arp inspect trust ip arp inspect limitrate15 对于没有利用 DHCP 设备可以或许采用下面法子: arp access-list static-arp permitiphost 202.65.3.42 mac host 0012.3F82.1B22ip arp inspectfilterstatic-arp vlan 201 设置装备摆设 DA I 后的结果:因为 DA I 查抄 DHCP snoop绑定表中的 IP和 MA C 对应大电流发生器联系,无法实施中间人攻击,攻击工具生效。下表为实施中间人攻击是调换机的忠告: 3w0d:%SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARP Req on Fa5/16,这里必须特别夸大。 vlan1.[000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2 由于对ARP请求报**了速度制约。www.shrihang.com.cn