首页 > 其他分享> > 交换机部分试题点

交换机部分试题点

2021-01-09 13:34:11 作者：互联网

端口安全

int e1/0/15-17

sw port-sec

sw port-sec maximum 10

sw port-sec mac

sw port-sec violation shutdown

ARP扫描

anti-arpscan enable [ip|port]

命令：anti-arpscan enable [ip|port] no anti-arpscan enable [ip|port]

功能：全局启动防 ARP 扫描功能；no 命令全局关闭防 ARP 扫描功能。

参数：无。

缺省情况：缺省时为同时开启或关闭基于 ip 及端口的防 arp 扫描功能。

命令模式：全局配置模式。

anti-arpscan port-based threshold

命令：anti-arpscan port-based threshold no anti-arpscan port-based threshold

功能：设置基于端口的防 ARP 扫描的接收 ARP 报文的阈值，如果接收的 ARP 报文的速率超过此设定值，则关闭此端口。单位为个/秒。

no 命令恢复为默认值，即 10 个/秒。参数：速率阈值，有效范围为 2-200。缺省情况：10 个/秒。

命令模式：全局配置模式。

使用指南：基于端口的防 ARP 扫描的阈值应该比基于 IP 的防 ARP 扫描的阈值大，否则基于 IP 的防 ARP 扫描将不起作用。

举例：在交换机上配置基于端口的防 ARP 扫描速率阈值为 10 个/秒。

Switch(config)#anti-arpscan port-based threshold 10

anti-arpscan ip-based level1|level2 threshold

命令：anti-arpscan ip-based level1|level2 threshold no anti-arpscan ip-based level1|level2 threshold

功能：设置基于 IP 的防 ARP 扫描的接收 ARP 报文的一级或二级阈值，

一级阈值默认为 4p/s，二级默认为 8p/s。二级阈值必须大于一级阈值。

参数：速率阈值，有效范围为 1-200。

缺省情况：一级阈值默认为 4p/s，二级阈值默认为 8p/s。

命令模式：全局配置模式。

使用指南：基于端口的防 ARP 扫描的阈值应该比基于 IP 的防 ARP 扫描的阈值大，否则基于 IP 的防 ARP 扫描将不起作用。

举例：在交换机上配置基于 IP 的防 ARP 扫描速率阈值为 6 个/秒。

Switch(Config)# anti-arpscan ip-based level1 threshold 6

anti-arpscan trust 命令：anti-arpscan trust { port | supertrust-port | iptrust-port } no anti-arpscan trust {port | supertrust-port | iptrust-port}

功能：配置为信任端口或超级信任端口；no 命令恢复为非信任端口。

参数：无。缺省情况：缺省全部为非信任端口。

命令模式：端口配置模式。

使用指南：如果某端口配置为信任端口，则防 ARP 扫描功能将不对此端口作处理，即使接收到的 ARP 报文速率超过设定的阈值，也不关闭此端口，

但对此端口下的非信任 IP 仍然检测。如果配置为超级信任端口，则既不对端口作处理，也不对此端口下的任何 IP 作处理。如果端口已经被防 ARP

扫描关闭，则配置为信任端口后立即打开此端口。如果配置为 IP 信任端口，则不检测此端口下的 IP，紧对端口做处理；如果端口下已有 IP 被禁，

则配置为 IP 信任端口后被禁 IP 立即恢复。通过 telnet 等手段远程管理交换机时，必须在启动防 ARP 扫描功能之前将上联端口设置为超级信任端口，

以防止此端口收到较多的 ARP 报文而被关闭。在关闭防 ARP 扫描功能之后此端口的属性会恢复为默认值的非信任端口。

举例：将交换机的端口 ethernet 1/0/5 配置为信任端口。

Switch(config)#interface ethernet1/0/5

Switch(Config-if-ethernet 1/0/5)#anti-arpscan trust port

3.4.5 anti-arpscan trust ip 命令：anti-arpscan trust ip [] no anti-arpscan trust ip []

功能：配置信任 IP；no 命令恢复为非信任 IP。

参数：：要配置的信任 IP 地址；：IP 的子网掩码。

缺省情况：缺省所有 IP 都为非信任 IP。掩码缺省为 255.255.255.255。

命令模式：全局配置模式。

使用指南：如果某 IP 被配置为信任 IP，则防 ARP 扫描功能将不对此 IP 作处理，即使从其收到的 ARP 报文速率超过了设定的阈值，

也不禁掉此 IP。如果此 IP 已经被防 ARP 扫描禁掉，则立即恢复其流量。

举例：将 192.168.1.0/24 配置为信任 IP。

Switch(config)#anti-arpscan trust ip 192.168.1.0 255.255.255.0

anti-arpscan recovery enable

命令：anti-arpscan recovery enable

no anti-arpscan recovery enable

功能：启动自动恢复功能，no 命令取消自动恢复功能。参

数：无。缺省情况：关闭自动恢复功能。命令模式：全局配置模式。

使用指南：如果希望端口被关闭一段时间后，自动恢复为正常状态，则可配置此功能。

举例：在交换机上启动自动恢复功能。 Switch(config)#anti-arpscan recovery enable

anti-arpscan recovery time

命令：anti-arpscan recovery time no anti-arpscan recovery time

功能：配置自动恢复时间；no 命令恢复自动恢复时间为默认值。

参数：自动恢复时间值，单位为秒。有效范围为 5-86400 秒。

缺省情况：300 秒。

命令模式：全局配置模式。

使用指南：必须先启动自动恢复功能。

举例：设置自动恢复时间为 3600 秒。

Switch(config)#anti-arpscan recovery time 3600

标签：ARP,试题,IP,端口,交换机,anti,arpscan,部分,port
来源： https://www.cnblogs.com/grhack/p/14254699.html