接入交換機(jī)還有很多值得我們學(xué)習(xí)的地方，這里我們主要介紹接入交換機(jī)中常見(jiàn)的攻擊和防范。由于實(shí)際組網(wǎng)中，接入交換機(jī)的上行口會(huì)接收其他設(shè)備的請(qǐng)求和應(yīng)答的ARP報(bào)文，這些 ARP報(bào)文的源IP地址和源MAC地址并沒(méi)有在DHCP Snooping表項(xiàng)或者靜態(tài)綁定表中。

為了解決上行端口接收的ARP請(qǐng)求和應(yīng)答報(bào)文能夠通過(guò)ARP入侵檢測(cè)問(wèn)題，接入交換機(jī)支持通過(guò)配置ARP信任端口，靈活控制ARP報(bào)文檢測(cè)功能。對(duì)于來(lái)自信任端口的所有ARP報(bào)文不進(jìn)行檢測(cè)，對(duì)其它端口的ARP報(bào)文通過(guò)查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測(cè)。

IP過(guò)濾功能

IP過(guò)濾功能是指交換機(jī)可以通過(guò)DHCP Snooping表項(xiàng)和手工配置的IP靜態(tài)綁定表，對(duì)非法IP報(bào)文進(jìn)行過(guò)濾的功能。在端口上開(kāi)啟該功能后，接入交換機(jī)首先下發(fā)ACL規(guī)則，丟棄除DHCP報(bào)文以外的所有 IP報(bào)文。（同時(shí)，需要考慮DHCP Snooping信任端口功能是否啟動(dòng)。如果沒(méi)有啟動(dòng)，則丟棄DHCP應(yīng)答報(bào)文，否則，允許DHCP應(yīng)答報(bào)文通過(guò)。）接著，下發(fā)ACL規(guī)則，允許源IP地址為DHCP Snooping表項(xiàng)或已經(jīng)配置的IP靜態(tài)綁定表項(xiàng)中的IP地址的報(bào)文通過(guò)。

交換機(jī)對(duì)IP報(bào)文有兩種過(guò)濾方式

根據(jù)報(bào)文中的源IP地址進(jìn)行過(guò)濾。如果報(bào)文的源IP地址、接收?qǐng)?bào)文的接入交換機(jī)端口號(hào)與DHCP Snooping動(dòng)態(tài)表項(xiàng)或手工配置的IP靜態(tài)綁定表項(xiàng)一致，則認(rèn)為該報(bào)文是合法的報(bào)文，允許其通過(guò)；否則認(rèn)為是非法報(bào)文，直接丟棄。

根據(jù)報(bào)文中的源IP地址和源MAC地址進(jìn)行過(guò)濾。如果報(bào)文的源IP地址、源MAC地址、接收?qǐng)?bào)文的交換機(jī)端口號(hào)，與DHCP Snooping動(dòng)態(tài)表項(xiàng)或手工配置的IP靜態(tài)綁定表項(xiàng)一致，則認(rèn)為該報(bào)文是合法的報(bào)文，允許其通過(guò)；否則認(rèn)為是非法報(bào)文，直接丟棄。

DHCP/ARP報(bào)文限速功能

為了防止DHCP報(bào)文泛洪攻擊，接入交換機(jī)支持配置端口上對(duì)DHCP/ARP報(bào)文的限速功能。開(kāi)啟該功能后，接入交換機(jī)對(duì)每秒內(nèi)該端口接收的DHCP/ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，如果每秒收到的報(bào)文數(shù)量超過(guò)設(shè)定值，則認(rèn)為該端口處于超速狀態(tài)（即受到攻擊）。此時(shí)，交換機(jī)將關(guān)閉該端口，使其不再接收任何報(bào)文，從而避免設(shè)備受到大量報(bào)文攻擊而癱瘓。

同時(shí)，設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能，對(duì)于配置了報(bào)文限速功能的端口，在其因超速而被接入交換機(jī)關(guān)閉后，經(jīng)過(guò)一段時(shí)間可以自動(dòng)恢復(fù)為開(kāi)啟狀態(tài)。