【導(dǎo)讀】未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。未定義書(shū)簽。

　　

【正文】 缺陷 定期檢測(cè)、加強(qiáng)配置管理、日志、審計(jì) 風(fēng)險(xiǎn) 安全對(duì)策 網(wǎng)絡(luò)設(shè)備物理安全缺陷 更新 網(wǎng)絡(luò)設(shè)備存在的陷門和隱通道 尚無(wú)相應(yīng)的解決技術(shù)及產(chǎn)品 網(wǎng)絡(luò)設(shè)備實(shí)體的安全 防盜、防輻射、防雷擊 Xxx教育城域網(wǎng)在現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用模式下，可能存在的主要安全風(fēng)險(xiǎn)： 1) 網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)自身安全風(fēng)險(xiǎn)： ? 網(wǎng)絡(luò)設(shè)備安全有效配置、管理和維護(hù)的風(fēng)險(xiǎn)：網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵?，是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，各種網(wǎng)絡(luò)設(shè)備本身的安全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進(jìn)行合理的配置才能夠保證； ? 網(wǎng)絡(luò)設(shè)備提供安全特性合理有效的 利用風(fēng)險(xiǎn)：網(wǎng)絡(luò)設(shè)備由于處于網(wǎng)絡(luò)系統(tǒng)中基礎(chǔ)設(shè)施的特性，網(wǎng)絡(luò)設(shè)備選擇是必須考慮能夠提供足夠的網(wǎng)絡(luò)安全防范特性，以實(shí)現(xiàn)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層就能提供一定的安全特性； 2) 網(wǎng)絡(luò)結(jié)構(gòu)及線路冗余的風(fēng)險(xiǎn)： ? 隨著網(wǎng)絡(luò)節(jié)點(diǎn)間的連接密度的增加，整個(gè)網(wǎng)絡(luò)提供的線路冗余能力也會(huì)增加，提供的網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)模式會(huì)更靈活，整個(gè)網(wǎng)絡(luò)可靠性和可用性也會(huì)大大的增加； 3) 網(wǎng)絡(luò)層有效的訪問(wèn)控制的風(fēng)險(xiǎn)： ? 網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越復(fù)雜，接入網(wǎng)絡(luò)的用戶也越來(lái)越多，必須能夠在不同的網(wǎng)絡(luò)區(qū)域之間采取一定的控制措施，有效控制不同的網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)通信，以此來(lái)控制網(wǎng)絡(luò)元素間的互訪 能力，避免網(wǎng)絡(luò)濫用，同時(shí)實(shí)現(xiàn)安全風(fēng)險(xiǎn)的有效的隔離，把安全風(fēng)險(xiǎn)隔離在相對(duì)比較獨(dú)立以及比較小的網(wǎng)絡(luò)區(qū)域。 ? 為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用的有效管理，必須加強(qiáng)對(duì)網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)應(yīng)用能力控制，首先，需要對(duì)用戶接入網(wǎng)絡(luò)的能力進(jìn)行控制，嚴(yán)格控制只有經(jīng)過(guò)認(rèn)證的用戶才能接入網(wǎng)絡(luò)；同時(shí)，需要更細(xì)粒度的訪問(wèn)控制，尤其是對(duì) Inter 資源的訪問(wèn)控制，應(yīng)該能夠控制內(nèi)部用戶訪問(wèn) Inter 的什么網(wǎng)站，實(shí)現(xiàn)一定程度的用戶應(yīng)用行為的管理。 4) 網(wǎng)絡(luò)攻擊行為檢測(cè)和防范的風(fēng)險(xiǎn)： ? 由于 TCP/IP 協(xié)議的開(kāi)放特性，帶來(lái)了非常大的安全風(fēng)險(xiǎn)，常見(jiàn)的 IP 地址竊取、 IP 地址假冒，網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊（ DOS、DDOS）等，必須能夠提供對(duì)這些攻擊行為有效的檢測(cè)和防范能力的措施； ? 由于操作系統(tǒng)平臺(tái)、網(wǎng)絡(luò)應(yīng)用平臺(tái)以及應(yīng)用系統(tǒng)本身存在的很多安全漏洞，必須能夠有效的檢測(cè)到基于這些漏洞的病毒、木馬、蠕蟲(chóng)和其他各種應(yīng)用層攻擊，同時(shí)能夠組合已有的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，針對(duì)這些攻擊行為，提供有效的防范能力； 5) 網(wǎng)絡(luò)數(shù)據(jù)傳輸中存在的安全風(fēng)險(xiǎn)： 網(wǎng)絡(luò)數(shù)據(jù)在傳輸?shù)倪^(guò)程中，很可能被通過(guò)各種方式竊取，因此在提供我們上面描述的網(wǎng)絡(luò)數(shù)據(jù)傳輸能力的前提下，必須能夠保證數(shù)據(jù)在傳輸?shù)倪^(guò) 程中機(jī)密性（保證數(shù)據(jù)傳遞的信息不被第三方獲得）和完整性（保證數(shù)據(jù)在傳遞過(guò)程中不被人修改），尤其是在網(wǎng)絡(luò)傳遞的信息價(jià)值不斷提高情況下。 6）應(yīng)用層威脅 2020年以前，當(dāng)我們談及網(wǎng)絡(luò)安全的時(shí)候，還主要指防火墻，因?yàn)槟菚r(shí)候的安全還主要以網(wǎng)絡(luò)層的訪問(wèn)控制為主。的確，防火墻就像一個(gè)防盜門，給了我們基本的安全防護(hù)。但是，就像今天最好的防盜門也不能阻止“禽流感”病毒傳播一樣，防火墻也不能阻擋今天的網(wǎng)絡(luò)威脅的傳播。今天的網(wǎng)絡(luò)安全現(xiàn)狀和 2020年以前相比，已經(jīng)發(fā)生了很大的改變，我們已經(jīng)進(jìn)入了一個(gè)“應(yīng)用層威脅”泛濫的時(shí)代。 今天，各種蠕蟲(chóng)、間諜軟件、網(wǎng)絡(luò)釣魚(yú)等應(yīng)用層威脅和 EMAIL、移動(dòng)代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險(xiǎn)和難以抵御。這些威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用，給企業(yè)帶來(lái)了重大損失；攻擊終端用戶計(jì)算機(jī)，給用戶帶來(lái)信息風(fēng)險(xiǎn)甚至財(cái)產(chǎn)損失；對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行 DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、 BT等 P2P應(yīng)用和 MSN、等即時(shí)通信軟件的普及，企業(yè)寶貴帶寬資源被業(yè)務(wù)無(wú)關(guān)流量浪費(fèi)，形成巨大的資源損失。面對(duì)這些問(wèn)題，傳統(tǒng)解決方案最大的問(wèn)題是，防火墻工作在 TCP/IP 3～ 4層上，根本就“看”不到這些 威脅的存在，而 IDS作為一個(gè)旁路設(shè)備，對(duì)這些威脅又“看而不阻”，因此我們需要一個(gè)全新的安全解決方案。 . 統(tǒng)一安全設(shè)計(jì)原則 在規(guī)劃 XXX教育城域網(wǎng) 網(wǎng)絡(luò)安全系統(tǒng)時(shí)，我們將遵循以下原則，以這些原則為基礎(chǔ)，提供完善的體系化的整體網(wǎng)絡(luò)安全解決方案： ? 體系化設(shè)計(jì)原則 通過(guò)分析信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次關(guān)系、安全需求要素以及動(dòng)態(tài)的實(shí)施過(guò)程，提出科學(xué)的安全體系和安全模型，并根據(jù)安全體系和安全模型分析網(wǎng)絡(luò)中可能存在的各種安全風(fēng)險(xiǎn)，針對(duì)這些風(fēng)險(xiǎn)以動(dòng)態(tài)實(shí)施過(guò)程為基礎(chǔ)，提出整體網(wǎng)絡(luò)安全解決方案，從而最大限度地解決可能存在的安全問(wèn)題。 ? 全 局性、均衡性原則 安全解決方案的設(shè)計(jì)從全局出發(fā)，綜合考慮信息資產(chǎn)的價(jià)值、所面臨的安全風(fēng)險(xiǎn)，平衡兩者之間的關(guān)系，根據(jù)信息資產(chǎn)價(jià)值的大小和面臨風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。 ? 可行性、可靠性原則 在采用全面的網(wǎng)絡(luò)安全措施之后，應(yīng)該不會(huì)對(duì)原有的網(wǎng)絡(luò)，以及運(yùn)行在此網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)有大的影響，實(shí)現(xiàn)在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，有效的提高網(wǎng)絡(luò)及應(yīng)用的安全強(qiáng)度，保證整個(gè)信息資產(chǎn)的安全。 ? 可動(dòng)態(tài)演進(jìn)的原則 方案制定統(tǒng)一技術(shù)和管理方案，采取相同的技術(shù)路線，實(shí)現(xiàn)統(tǒng)一安全策略的 制定，并能實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)從基本防御的網(wǎng)絡(luò)，向深度防御的網(wǎng)絡(luò)以及智能防御的網(wǎng)絡(luò)演進(jìn)，形成一個(gè)閉環(huán)的動(dòng)態(tài)演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)。 . 網(wǎng)絡(luò)層安全解決方案 . 全面網(wǎng)絡(luò)基礎(chǔ)設(shè)施可靠性保證措施 首先，可取采取的措施為多種冗余備份能力，包括網(wǎng)絡(luò)線路的多層次冗余、網(wǎng)絡(luò)設(shè)備的多節(jié)點(diǎn)冗余、網(wǎng)絡(luò)設(shè)備自身組件的冗余，通過(guò)這些冗余能力，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)全面的可靠性保證。網(wǎng)絡(luò)線路冗余主要包括如采用網(wǎng)狀或者盡量網(wǎng)狀連接來(lái)代替星形、樹(shù)形的連接結(jié)構(gòu)，在網(wǎng)絡(luò)改造建議方案中，我們?cè)O(shè)計(jì)了足夠的線路冗余能力。網(wǎng)絡(luò)設(shè)備多節(jié)點(diǎn)冗余主要是指在網(wǎng)絡(luò)中同一個(gè)設(shè)備節(jié)點(diǎn)部 署雙機(jī)設(shè)備，通過(guò)雙機(jī)進(jìn)行實(shí)現(xiàn)相互備份和負(fù)載均衡，在網(wǎng)絡(luò)改造建議方案中，我們?cè)陉P(guān)鍵的節(jié)點(diǎn)都進(jìn)行了雙機(jī)配置。網(wǎng)絡(luò)設(shè)備可以采取的冗余配置措施主要包括冗余電源配置、冗余模塊配置、冗余引擎配置等，基于 H3C網(wǎng)絡(luò)設(shè)備豐富的冗余特性，可以有效的實(shí)現(xiàn)這些冗余配置模式。 其次，采取高安全性的網(wǎng)絡(luò)設(shè)備， 網(wǎng)絡(luò)與安全的融合是未來(lái)網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)，隨著網(wǎng)絡(luò)設(shè)備特性的不斷更新， H3C系列網(wǎng)絡(luò)設(shè)備自身具備的安全能力也在不斷加強(qiáng)。 H3C系列 網(wǎng)絡(luò) 設(shè)備 包括路由器 、 交換機(jī) ， 都統(tǒng)一采用 H3C自主研發(fā)的 Comware軟件平臺(tái) 。 . 骨干網(wǎng)關(guān)鍵設(shè)備 SR8800 強(qiáng)大的 安全特性 地址掃描攻擊防護(hù)能力 地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的 IP報(bào)文。 當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時(shí)，網(wǎng)絡(luò)設(shè)備會(huì)給該網(wǎng)段下的每個(gè)地址發(fā)送 ARP報(bào)文，地址不存在的話，還需要發(fā)送目的主機(jī)不可達(dá)報(bào)文。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會(huì)消耗網(wǎng)絡(luò)設(shè)備較多的 CPU和內(nèi)存資源，可能引起網(wǎng)絡(luò)中斷。 SR8800實(shí)現(xiàn)了地址掃描攻擊的防護(hù)能力 。 當(dāng) SR8800交換機(jī)收到目的 IP是直連網(wǎng)段的報(bào)文時(shí)，如果該目的地址的路由不存在，會(huì)發(fā)送一個(gè) ARP請(qǐng)求報(bào)文，并針對(duì)目的地址下一條丟棄 表項(xiàng)，以防止后續(xù)報(bào)文持續(xù)沖擊 CPU。如果有 ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項(xiàng)，并添加正常的路由表項(xiàng)。否則，經(jīng)過(guò)一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。這樣，既防止直連網(wǎng)段掃描攻擊對(duì)交換機(jī)造成影響，又保證正常業(yè)務(wù)流程的暢通。 SR8800還提供了相應(yīng)的配置命令，用于控制地址掃描攻擊防護(hù)功能是否啟用。 DoS/DDoS攻擊防護(hù)能力 DoS攻擊，即拒絕服務(wù)攻擊（ DoS， Denial of Service）， 是指向設(shè)備發(fā)送大量的連接請(qǐng)求，占用設(shè)備本身的資源，嚴(yán)重的情況會(huì)造成設(shè)備癱機(jī)，一般情況下也會(huì)使設(shè)備的功能無(wú)法正常運(yùn)行。因 為主要是針對(duì)服務(wù)器的，目的是使服務(wù)器拒絕合法用戶的請(qǐng)求，所以叫拒絕服務(wù)攻擊。 隨著攻擊技術(shù)的發(fā)展， Dos攻擊也出現(xiàn)了升級(jí)，攻擊者控制多臺(tái)主機(jī)同時(shí)發(fā)起 DoS攻擊，也就是所謂的分布式拒絕服務(wù)攻擊（ DDoS， Distributed Denial of Service）攻擊，它的規(guī)模更大，破壞性更強(qiáng)。 SR8800能夠抵御 IP Spoofing、 Land、 Smurf等常見(jiàn) DoS攻擊，確保某種協(xié)議遭受攻擊時(shí)不會(huì)影響到其他協(xié)議的正常運(yùn)行和業(yè)務(wù)的正常轉(zhuǎn)發(fā)。同時(shí)，當(dāng)攻擊源對(duì)下掛在網(wǎng)絡(luò)設(shè)備的服務(wù)器進(jìn)行 DoS攻擊時(shí)，可以利用 SR8800的 ACL功能，下發(fā)特定的 ACL規(guī)則對(duì)攻擊報(bào)文進(jìn)行過(guò)濾，保障下掛的主機(jī)和服務(wù)器正常運(yùn)行。 廣播 /組播報(bào)文速率限制 網(wǎng)絡(luò)中存在大量的廣播或者組播報(bào)文，會(huì)占用寶貴的網(wǎng)絡(luò)帶寬，從而嚴(yán)重影響網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能。而且當(dāng)網(wǎng)絡(luò)中某臺(tái)設(shè)備存在環(huán)路時(shí)，廣播和組播報(bào)文會(huì)在網(wǎng)絡(luò)中泛濫，導(dǎo)致整網(wǎng)的癱瘓。 SR8800具有強(qiáng)大的廣播和組播報(bào)文過(guò)濾功能?？梢园凑战^對(duì)數(shù)值限制端口允許通過(guò)的廣播和組播報(bào)文速率，也可以按照端口速率的百分比來(lái)限制端口允許通過(guò)的廣播和組播報(bào)文速率。同時(shí)，還可以通過(guò) ACL規(guī)則設(shè)置特定端口廣播、組播和未知單 播報(bào)文允許通過(guò)的速率。 MAC地址表容量攻擊防護(hù)能力 所謂 MAC地址表容量攻擊，是指攻擊源發(fā)送源 MAC地址不斷變化的報(bào)文，網(wǎng)絡(luò)設(shè)備在收到這種報(bào)文后，會(huì)進(jìn)行源 MAC地址學(xué)習(xí)。由于 MAC地址表容量是有限的，當(dāng) MAC地址表項(xiàng)達(dá)到最大容量后，正常報(bào)文的 MAC地址學(xué)習(xí)將無(wú)法完成。在進(jìn)行二層轉(zhuǎn)發(fā)時(shí)，這些報(bào)文將會(huì)在 VLAN內(nèi)廣播，嚴(yán)重影響網(wǎng)絡(luò)帶寬，同時(shí)也會(huì)對(duì)網(wǎng)絡(luò)設(shè)備下掛主機(jī)造成沖擊。 SR8800提供設(shè)置單個(gè)端口或者單個(gè) VLAN允許學(xué)習(xí)的最大 MAC地址數(shù)目的功能。用戶可以根據(jù)端口或者 VLAN下掛的主機(jī)數(shù)目來(lái)設(shè)置該端口或者 VLAN最大允許學(xué)習(xí)的 MAC地址數(shù)目，防止一個(gè)端口或者 VLAN就把系統(tǒng)的 MAC地址表項(xiàng)耗盡。在設(shè)置端口 MAC地址最大學(xué)習(xí)數(shù)目時(shí)，還可以選擇超過(guò)部分是否轉(zhuǎn)發(fā)，防止未知單播報(bào)文 VLAN內(nèi)廣播，對(duì)其他設(shè)備造成沖擊。 靜態(tài) MAC地址表項(xiàng)和 ARP表項(xiàng)綁定能力 SR8800提供配置靜態(tài) MAC地址表項(xiàng)和靜態(tài) ARP表項(xiàng)的功能。用戶可以通過(guò)配置靜態(tài)MAC地址表項(xiàng)，保證二層數(shù)據(jù)報(bào)文正確的轉(zhuǎn)發(fā)；用戶還可以通過(guò)配置靜態(tài) ARP表項(xiàng)，綁定MAC地址和 IP地址，確保 IP地址不會(huì)被偽用戶盜用。 強(qiáng)大的 ACL能力 在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，存在各 種各樣的攻擊報(bào)文，可能攻擊網(wǎng)絡(luò)設(shè)備，也可能攻擊網(wǎng)絡(luò)設(shè)備下掛的主機(jī)。 SR8800提供強(qiáng)大而豐富 的 ACL功能 ，能夠 對(duì)報(bào)文 的 數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層各字段 進(jìn)行 識(shí)別 、限流和 過(guò)濾。 通過(guò) ACL功能，管理者可以對(duì)非法流量進(jìn)行有效的過(guò)濾 。管理者可以在端口、 VLAN或 者全局模式下設(shè)置相應(yīng)的 ACL規(guī)則， 以滿足不同的需要。 SR8800的 ACL規(guī)則，不但可以根據(jù) ICMP、 IGMP、 TCP端口號(hào)、 UDP端口號(hào)、 IP地址、 MAC地址等常用字段對(duì)報(bào)文進(jìn)行過(guò)濾或者限流，還可以根據(jù) TTL、 BTFLAG、 VLAN_ID、 EXP等字段 對(duì)報(bào)文進(jìn)行過(guò)濾和限流。 URPF（單播反向路徑查找）檢查能力 所謂 URPF，即單播反向路徑查找，主要用于 防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為 。 一般情況下，路由交換機(jī)針對(duì)目的地址查找路由，如果找到了就轉(zhuǎn)發(fā)報(bào)文，否則丟棄該報(bào)文。在 URPF功能啟動(dòng)后，通過(guò)獲取報(bào)文的源地址和入接口，交換機(jī)以源地址為目的地址在轉(zhuǎn)發(fā)表中查找路由，如果查到的路由出接口和接收該報(bào)文的入接口不匹配，交換機(jī)認(rèn)為該報(bào)文的源地址是偽裝的，丟棄該報(bào)文。通過(guò) URPF特性，交換機(jī)就能有效地防范網(wǎng)絡(luò)中通過(guò)修改源地址而進(jìn)行的惡意攻擊 行為 。 ARP協(xié)議攻擊防護(hù) 能力 ARP協(xié)議沒(méi)有任何驗(yàn)證方式，而 ARP在數(shù)據(jù)轉(zhuǎn)發(fā)中又是至關(guān)重要的，攻擊者常偽造 ARP報(bào)文進(jìn)行攻擊。 SR8800能夠檢測(cè)并且防范 ARP報(bào)文的攻擊。當(dāng)攻擊者采用某個(gè)或者某幾個(gè)固定的攻擊源，向設(shè)備發(fā)送大量的 ARP報(bào)文進(jìn)行攻擊時(shí)， SR8800能夠檢測(cè)并且防范這種 ARP協(xié)議報(bào)文的攻擊。 當(dāng) SR8800收到 ARP報(bào)文時(shí)，會(huì)根據(jù)報(bào)文源 MAC地址進(jìn)行 HASH，并且記錄單位時(shí)間收到的 ARP報(bào)文數(shù)目。當(dāng)檢測(cè)到單位時(shí)間內(nèi) CPU收包出現(xiàn)丟包且某些固定源 MAC地址的主機(jī)超出一定限度，認(rèn)為該主機(jī)在進(jìn)行 ARP攻擊。如果用戶啟用 ARP防攻擊功能，則會(huì)打印提示信息并記錄到日志信息中，且下發(fā)一條源 MAC地址丟棄的表項(xiàng)，對(duì)該攻擊源進(jìn)行屏蔽。 地址沖突檢測(cè)能力 所謂地址沖突，是指網(wǎng)絡(luò)設(shè)備下掛的主機(jī)或者對(duì)接的其他網(wǎng)絡(luò)設(shè)備設(shè)置的 IP地址和該網(wǎng)絡(luò)設(shè)備的接口 IP地址沖突，網(wǎng)絡(luò)設(shè)備如果無(wú)法檢測(cè)到地址沖突，該網(wǎng)絡(luò)設(shè)備下掛的其他主機(jī)的網(wǎng)關(guān) ARP地址有可能會(huì)被更新，導(dǎo)致下掛主機(jī)無(wú)法正常上網(wǎng) 。 SR8800支持地址沖突檢測(cè)功能。當(dāng) SR8800收到 ARP報(bào)文時(shí)，會(huì)判斷該報(bào)文的源 IP地址和本網(wǎng)段接口 IP地址是否相同。如果發(fā)現(xiàn)地址相同，則 SR8800會(huì)立即發(fā)送一個(gè)地 址沖突 報(bào)文和免費(fèi) ARP廣播報(bào)文。地址沖突報(bào)文是通知對(duì)端主機(jī)或者設(shè)備，該地址已經(jīng)被占用；免費(fèi) ARP廣播報(bào)文，是通知本網(wǎng)段內(nèi)其他主機(jī)和網(wǎng)絡(luò)設(shè)備，糾正本網(wǎng)段內(nèi)其他主機(jī)或者網(wǎng)絡(luò)設(shè)備的 ARP表項(xiàng)，防止 ARP表項(xiàng)指向錯(cuò)誤的 MAC地址。同時(shí)， SR8800會(huì)上報(bào)地址沖突的告警信息并同時(shí)記錄日志 ，以便維護(hù)人員能夠及時(shí)了解設(shè)備遭受的攻擊。 TC/TCN攻擊防護(hù)能力 在啟用 STP情況下，當(dāng)網(wǎng)絡(luò)中某臺(tái)設(shè)備端口的 STP