项目3 交换机安全管理与配置

1 交换机概述

1. 集线器与交换机的区别

2. 以太网交换机自学习和转发帧的流程

3. 以太网交换机的生成树协议STP

2 虚拟局域网 VLAN

1. VLAN 概述

2. VLAN 的实现机制

3 用户认证方式

1. IEEE802.1X简介

2. Portal认证

4 端口安全机制

1. 限制交换机单个端口最大连接数

2. 交换机的端口+IP+MAC地址绑定

3. 端口映像

5 动态ARP检测（DAI）

动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时，将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。

此安全机制需与“DHCP监听安全机制”共同使用。

DHCP监听安全机制仅允许受信任的DHCP服务器通过DHCP响应来分发DHCP地址，这就避免了因存在其他DHCP服务器而导致网络内IP地址冲突的风险。

而DAI通过查看DHCP响应，可以完成端口+IP+MAC地址绑定。因为不需要手动完成此绑定，而是在DHCP响应时动态完成，所以被称为“动态ARP检测”。

6 QoS安全机制

QoS（Quality of Service）即服务质量。在有限的带宽资源下，QoS为各种业务分配带宽，为业务提供端到端的服务质量保证。例如，语音、视频和重要的数据应用在网络设备中可以通过配置QoS优先得到服务。

简介

7 ACL安全机制

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。