思科3650交换机有哪些高级安全功能

wanglv77

　　Cisco Catalyst 3650 系列交换机支持高级安全功能，包括但不限于：
　　防范攻击者：
　　端口安全性可以确保对基于 MAC 地址的接入点或中继端口的访问的安全性。它会限制已知 MAC 地址的数 量，从而拒绝 MAC 地址扩散。
　　DHCP 侦听可防止恶意用户欺骗 DHCP 服务器并发出伪造地址。此功能由其他主要安全功能使用，可防止 许多其他攻击，如 ARP 中毒。
　　动态 ARP 检测 (DAI) 通过防止恶意用户利用 ARP 的不安全特质，帮助确保用户完整性。
　　IP 源保护通过创建客户端 IP 和 MAC 地址、端口和 VLAN 之间的绑定表，来防止恶意用户欺骗或接管其 他用户的 IP 地址。
　　单播逆向转发 (RPF) 功能通过丢弃缺少可验证 IP 源地址的 IP 数据包，帮助缓解由格式错误或伪造（欺 诈）的 IP 源地址引入网络所带来的问题。
　　SPAN 端口的双向数据支持使思科入侵检测系统 (Intrusion Detection System, IDS) 可以在检测到入侵者时 采取行动。
　　用户身份验证：
　　灵活的身份验证：通过单个、一致的配置来支持多种身份验证机制，包括 802.1X、MAC 身份验证绕行和 Web 身份验证。
　　RADIUS 授权更改和可下载调用：可提供综合的策略管理功能。
　　专用 VLAN：通过在第 2 层将流量分段，将广播段调整为非广播的、类似多访问的段，从而对公共段中主 机之间的流量进行限制。专用 VLAN 边界：在思科交换机端口之间提供安全性和隔离，有助于帮助确保用户无 法在其他用户流量上进行侦听。
　　多域身份验证：使 IP 电话和 PC 可以在同一交换机端口上进行身份验证，同时将它们放在适当的语音和数 据 VLAN 上。
　　MAC 地址通知可在网络中添加或删除用户时通知管理员。
　　使安全可靠的无线连接获得移动性和安全性并享受一致的最终用户体验。提前拦截已知威胁，提高网络畅 通性。
　　IGMP 过滤：通过过滤非订阅用户来提供组播身份验证，并限制每个端口可用的并发组播流数量。
　　ACL：
　　思科安全 VLAN ACL：（在所有 VLAN 上）可防止非授权数据流在 VLAN 内桥接。
　　思科的标准和扩展 IP 安全路由器 ACL：在路由接口上为控制层面和数据层面的流量定义安全策略。可以 应用 IPv6 ACL 来过滤 IPv6 通信流。
　　基于端口的 ACL：用于第 2 层接口，支持将安全策略应用到个别交换机端口。
　　设备访问：
　　Secure Shell (SSH) 协议、Kerberos 和简单网络管理协议版本 3 (SNMPv3)：通过在 Telnet 和 SNMP 会 话期间加密管理员流量，来提供网络安全性。由于美国的出口限制，SSH 协议、Kerberos 和 SNMPv3 的 加密版本需要特殊的加密软件映像。
　　TACACS+ 和 RADIUS 身份验证：可以简化交换机的集中控制，限制未经授权的用户更改配置。
　　控制台访问的多级安全性：可避免未经授权的用户更改交换机配置。
　　桥接协议数据单元 (BPDU) 保护：在收到 BPDU 时，关闭支持生成树 PortFast 的接口，以避免意外的拓扑 环路。
　　生成树根保护 (STRG)：可防止不在网络管理员控制范围内的边缘设备成为生成树协议的根节点。
　　无线端到端安全性提供了符合 CAPWAP 规定的 DTLS 加密，可确保跨远程 WAN/LAN 链路在接入点和控制 器之间进行加密。
　　恢复能力：
　　无边界网络支持企业移动性和企业级视频服务。业内的第一个统一网络（有线和无线）位置服务可针对有线和无线设 备，跟踪移动资产及其用户。通过 Cisco Catalyst 3650 系列交换机中的以下功能集，可以实现真正的无边界体验：
　　高可用性
　　高性能 IP 路由
　　优异的 QoS
　　以上的文章来自于工业交换机http://www.zycd.net/list-1-42.html 欢迎来咨询。