Características de seguridad
Autenticación de seguridad
El NE admite las siguientes funciones de autenticación de seguridad:
Autenticación, contabilización y autorización implementadas localmente o en el servidor RADIUS o HWTACACS
La autenticación de texto simple y la autenticación de texto cifrado MD5 son compatibles con los protocolos de enrutamiento que incluyen RIPv2, OSPF, IS-IS y BGP
Autenticación de texto cifrado MD5 admitida por LDP y RSVP
Encriptación y autenticación SNMPv3
Autenticación 802.1x
DHCP Snooping
Dynamic Host Configuration Protocol (DHCP) snooping filtra los mensajes DHCP que no son de confianza a través de las funciones de límite de dirección MAC, enlace de indagación DHCP, enlace IP + MAC y opción 82. De esta manera, los ataques de denegación de servicio (DoS) de DHCP, ataques falsos del servidor DHCP, ataques de intermediarios ARP y Se evitan los ataques de suplantación de IP / MAC en aplicaciones DHCP. La inspección DHCP funciona como un servidor de seguridad entre el cliente DHCP y el servidor DHCP.
URPF
El NE soporta unicast reverse path forwarding (URPF) para tráfico IPv4.
Límite de dirección MAC
El NE admite las siguientes funciones de límite de dirección MAC:
Límite en el número de entradas de la tabla de reenvío de direcciones MAC basadas en VLAN
Límite en el número de entradas de la tabla de reenvío de direcciones MAC basadas en VSI
Las entradas en una tabla de reenvío de direcciones MAC se clasifican en tres tipos:
Entradas dinámicas
Las entradas dinámicas se aprenden mediante interfaces y se almacenan en el hardware de la placa de control del sistema. Las entradas dinámicas caucarán. Las entradas dinámicas se perderán cuando se reinicie el sistema.
Entradas estáticas
Los usuarios configuran las entradas estáticas y las almacenan en la placa de control del sistema. Las entradas estáticas no caducarán. Las entradas estáticas no se perderán cuando se reinicie el sistema.
Entradas de agujero negro
Las entradas de agujero negro se utilizan para filtrar los marcos de datos que contienen direcciones MAC destino específicas. Los usuarios configuran las entradas de Blackhole y las almacenan en la placa de control del sistema. Las entradas en el agujero negro no envejecerán. Las entradas en el agujero negro no se perderán cuando se reinicie el sistema.
Eliminación de direcciones MAC
El NE admite la eliminación de direcciones MAC de la tabla de reenvío de direcciones MAC:
Eliminación de direcciones MAC basadas en VSI
Eliminación de direcciones MAC basadas en VLAN
Eliminación de direcciones MAC basadas en troncales
Eliminación completa de la dirección MAC basada en el sistema
Límite de tráfico desconocido
Con la función de límite de tráfico desconocido, el NE puede implementar las siguientes funciones en una red VPLS o Capa 2:
Gestiona el tráfico de usuarios.
Asigna ancho de banda a los usuarios.
Limita la velocidad de unicast desconocido, multicast desconocido y tráfico de difusión.
De esta manera, el ancho de banda de la red se utiliza correctamente y se garantiza la seguridad de la red.
Filtrado de direcciones MAC basado en listas blancas o listas negras
El NE puede filtrar las direcciones MAC según la lista blanca o lista negra de una dirección MAC de origen en las interfaces Ethernet. Luego, el NE reenvía los paquetes de las direcciones MAC en la lista blanca y descarta los paquetes de las direcciones MAC en la lista negra.
Defensa de ataque local
El NE proporciona un módulo de defensa de ataque local uniforme para administrar y mantener las políticas de defensa de ataque de todo el sistema, ofreciendo así una solución de defensa de ataque versátil, viable y mantenible para los usuarios.
El NE soporta las siguientes funciones de defensa de ataque:
Gestión y protección del plano de servicio.
Rastreo de fuente de ataque
Cuando el NE es atacado, obtiene y guarda paquetes sospechosos, y luego muestra los paquetes en un formato determinado utilizando líneas de comando o herramientas fuera de línea. Esto ayuda a localizar la fuente de ataque fácilmente.
Cuando se producen ataques, el sistema elimina automáticamente los datos encapsulados en las capas superiores de la capa de transmisión y luego almacena en caché los paquetes. Cuando el número de paquetes en el caché alcanza un cierto número (por ejemplo, 20000 paquetes en cada LPU), los paquetes almacenados en caché más antiguos se anulan cuando se almacenan más paquetes en el caché.
SSHv2
El NE es compatible con el cliente y el servidor STelnet, así como con el cliente y el servidor SFTP, que admiten SSHv1.5 y SSHv2.
Interfaz de detección de loops
Si una interfaz física detecta paquetes enviados por sí misma, se ha producido un loop. En este caso, la interfaz se bloquea. Una vez transcurrido el tiempo de bloqueo especificado, la interfaz no recibe los paquetes enviados por sí misma, lo que significa que el loop se ha eliminado. Entonces, la interfaz se desbloquea.