三层交换机有防内网syn、ddos、高并发攻击的功能?
以下是看的华为 S5700-24TP-SI-AC 三层24口全千兆交换机的介绍里面红色部分提到了防护功能
想请教下这个级别的三层交换机能实现此类功能么?
性能如何?
带3000用户有压力么?
完备的QoS策略和安全机制
S5700系列交换机可以基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息,实现复杂流分流功能,支持双向ACL。5700支持基于流的双速三色限速功能,每端口支持8个优先级队列,支持WRR、DRR、SP、WRR+SP、DRR+SP多种队列调度算法,有效地保证了话音、视频和数据等网络业务质量。
S5700系列交换机提供多种安全保护功能。支持DoS(Denial of Service)类防攻击、网络的防攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYN Flood、Land、Smurf、ICMP Flood。网络的防攻击主要是指STP的bpdu/root攻击。用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MAC Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。
S5700支持通过建立和维护DHCP Snooping 绑定表,侦听接入用户的MAC/IP 地址、租用期、VLAN-ID、接口等信息,解决 DHCP 用户的IP 和端口跟踪定位问题。同时,对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址等)直接丢弃,有效防止黑客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性还可以保证DHCP Server 的合法性。
S5700支持ARP表项严格学习功能,可以防止因ARP欺骗攻击将交换机ARP表项占满,导致正常用户无法上网。同时,支持IP Source Check 特性,防止包括MAC 欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。
S5700支持集中式MAC地址认证和802.1x 认证及NAC功能,支持用户账号、IP、MAC、VLAN、端口、客户端是否安装病毒防范等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发。
S5700支持基于端口的源MAC地址学习限制功能,有效防止用户源MAC欺骗冲击设备MAC表项,导致正常用户无法学到MAC表而泛洪的问题等。
页:
[1]