IP过滤功能

IP过滤功能是指交换机可以通过DHCP Snooping表项和手工配置的IP静态绑定表,对非法IP报文进行过滤的功能。

在端口上开启该功能后,交换机首先下发ACL规则,丢弃除DHCP报文以外的所有IP报文。(同时,需要考虑DHCP Snooping信任端口功能是否启动。如果没有启动,则丢弃DHCP应答报文,否则,允许DHCP应答报文通过。)接着,下发ACL规则,允许源IP地址为DHCP Snooping表项或已经配置的IP静态绑定表项中的IP地址的报文通过。

交换机对IP报文有两种过滤方式:

根据报文中的源IP地址进行过滤。如果报文的源IP地址、接收报文的交换机端口号与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致,则认为该报文是合法的报文,允许其通过;否则认为是非法报文,直接丢弃。

根据报文中的源IP地址和源MAC地址进行过滤。如果报文的源IP地址、源MAC地址、接收报文的交换机端口号,与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致,则认为该报文是合法的报文,允许其通过;否则认为是非法报文,直接丢弃。

DHCP/ARP报文限速功能

为了防止DHCP报文泛洪攻击,接入交换机支持配置端口上对DHCP/ARP报文的限速功能。开启该功能后,交换机对每秒内该端口接收的DHCP/ARP报文数量进行统计,如果每秒收到的报文数量超过设定值,则认为该端口处于超速状态(即受到攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免设备受到大量报文攻击而瘫痪。

同时,设备支持配置端口状态自动恢复功能,对于配置了报文限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。

用户隔离

运营商网络中,通过用户隔离技术可以有效的防范用户间的相互影响,同样也可以避免ARP“中间人”攻击、伪DHCP服务器攻击等。

通过上述几种技术的配套使用,可以有效的降低在接入网中常见的安全隐患,保障运营商业务的正常运行。

  1. 关于IPTV接入网解决方案的研究应用
  2. Catalyst 4000系列接入网关模块


共3页: 上一页123下一页

相关内容