工厂研学 丨 锐捷网络数字化智能工厂“黑科技”大揭秘
预约直播
乐享业务保障服务 丨 守护医疗业务连续稳定
预约直播
产品
< 返回主菜单
产品中心
产品
解决方案
< 返回主菜单
解决方案中心
行业
返回主菜单
选择区域/语言

极简网络之终端安全技术解析

极简网络是面向下一代园区网络设计的解决方案,目的是帮助客户解决长期存在于传统网络中的诸多问题,在终端应用网络时的安全性保障方面也有良好的支持。

  • 发布时间:2014-08-21

  • 点击量:

  • 点赞:

分享至

我想评论

极简网络是面向下一代园区网络设计的解决方案,目的是帮助客户解决长期存在于传统网络中的诸多问题,例如运维管理工作复杂,终端用户体验保障不足,新业务部署进展缓慢等问题。其中,在终端应用网络时的安全性保障方面也有良好的支持,具体体现在如下四个场景中:

1、防止未认证终端的ARP欺骗

由于WEB认证,需要先让设备学习到终端ARP,终端才能做WEB认证,而这期间仿冒未认证终端做ARP欺骗,就会导致终端无法完成认证过程。针对该问题,RG-N18000系列交换机当发生ARP冲突时,会为每个终端保留2分钟的认证时间。确保终端在这期间有足够的时间认证成功。

2、防止IP地址冲突

为了检测终端间IPv4和IPv6地址冲突的情况,而IPv4主机地址冲突检测机制依赖终端的免费ARP的广播,IPv6主机地址冲突检测机制依赖IPv6的MAD的广播检测机制。这些都可能造成对其他设备的欺骗攻击。RG-N18000系列交换机采用ARP和ND代理机制来解决既避免攻击又能提醒终端存在地址的情况,即当终端发出的ARP请求与交换机上的认证生成的静态ARP地址或者ND地址冲突的情况,由交换机代理被冲突的终端发出免费ARP和ND报文。

3、防止终端的报文洪水攻击

即终端向RG-N18000系列交换机发起大量的ARP、ND、ICMP报文攻击(包括终端环路的情况),交换机的NFPP和CPP机制可以检测和发现这些终端,并对这些终端实施硬件隔离。具体机制参见CPP和NFPP的配置指南。

4、防止终端的DHCP扫描攻击

即终端向RG-N18000系列交换机发起大量的DHCP请求报文攻击(包括终端环路的情况),导致DHCP Server的地址池资源耗尽,N18k支持基于PORT+VID限制(也就是单个终端)地址学习数量,从而确保地址资源不会被某些终端攻击而耗尽。

相关标签:

点赞

更多技术博文

任何需要,请联系我们

返回顶部

收起
文档评价
该资料是否解决了您的问题?
您对当前页面的满意度如何?
不咋滴
非常好
您满意的原因是(多选)?
您不满意的原因是(多选)?
您是否还有其他问题或建议?
为了快速解决并回复您的问题,您可以留下联系方式
邮箱
手机号
感谢您的反馈!
请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式