三层交换机有防内网syn、ddos、高并发攻击的功能？

sealin

以下是看的华为 S5700-24TP-SI-AC 三层24口全千兆交换机的介绍
里面红色部分提到了防护功能
想请教下这个级别的三层交换机能实现此类功能么？
性能如何？
带3000用户有压力么？

完备的QoS策略和安全机制

S5700系列交换机可以基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流分流功能，支持双向ACL。5700支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、SP、WRR＋SP、DRR+SP多种队列调度算法，有效地保证了话音、视频和数据等网络业务质量。

　　S5700系列交换机提供多种安全保护功能。支持DoS（Denial of Service）类防攻击、网络的防攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYN Flood、Land、Smurf、ICMP Flood。网络的防攻击主要是指STP的bpdu/root攻击。用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MAC Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。

　　S5700支持通过建立和维护DHCP Snooping 绑定表，侦听接入用户的MAC/IP 地址、租用期、VLAN-ID、接口等信息，解决 DHCP 用户的IP 和端口跟踪定位问题。同时，对不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址等）直接丢弃，有效防止黑客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性还可以保证DHCP Server 的合法性。

　　S5700支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。同时，支持IP Source Check 特性，防止包括MAC 欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。

S5700支持集中式MAC地址认证和802.1x 认证及NAC功能，支持用户账号、IP、MAC、VLAN、端口、客户端是否安装病毒防范等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发。

　　S5700支持基于端口的源MAC地址学习限制功能，有效防止用户源MAC欺骗冲击设备MAC表项，导致正常用户无法学到MAC表而泛洪的问题等。