4
支持针对拒绝服务(DoS)和其他攻击的保护,可通过根据来源和目标 MAC 地址、IP 地址或 TCP/ 用
户数据报协议(UDP)端口拒绝数据包,利用 ACL 来限制对网络中敏感部分的访问。ACL 查找是在硬
件中完成的,所以,当实现基于 ACL 的安全性时,转发性能不会受到影响。
可使用端口安全性功能,根据目标连接设备的 MAC 地址,限制某个以太网端口上的访问。它还可用于
限制插接到某个交换机端口的设备的总数,从而保护交换机免遭 MAC 泛洪攻击,并降低恶意无线接入
点接入的风险。
借助动态主机配置协议(DHCP)侦听功能,通过只允许来自面对不可信用户的端口的 DHCP 请求(而
非响应),进而阻止 DHCP 欺骗。此外,DHCP Interface Tracker(选件 82)特性,可利用交换机端口
ID 来增大主机 IP 地址请求,从而帮助用户实现对 IP 地址分配的粒度控制。
可利用 MAC 地址通知特性,向管理站发送告警,以便网络管理员知道用户何时何地进入网络,从而监
控网络并跟踪用户。SSH 协议版本 2(SSHv2)和简单网络管理协议版本 3(SNMPv3)可对管理信息和
网络管理信息进行加密,从而保护网络免遭窜改或窃听。TACACS+ 或 RADIUS 身份验证可实现对交换
机的集中访问控制,并禁止非法用户改动配置。另外,在交换机中还可配置一个本地用户名和密码数据
库。交换机控制台上的十五级授权功能和基于 Web 的管理界面上的两级授权,能够向不同管理员授予
不同级别的配置权限。
智能 PoE 管理
Cisco Catalyst 2960 PoE 各型号可支持 Cisco IP 电话和 Cisco Aironet 无线局域网接入点,以及任何符
合 IEEE 802.3af 的终端设备。
●
Cisco Discovery Protocol 版本 2 使 Cisco Catalyst 2960 系列交换机在连接到 IP 电话或接入点等思
科供电设备时,能够协商比 IEEE 标准粒度更小的电源设置。
●
PoE MIB 使用户能以前瞻方式查看功率利用率,并使您能够设置不同的功率水平阈值。
●
链路层发现协议(LLDP 和 LLDP-MED),增加了针对多厂商网络中互操作性的对 IEEE 802.1AB 链路
层发现协议的支持。交换机可与 IP 电话等终端设备互换速率、双工和功率设置。
可用性和可扩展性
Cisco Catalyst 2960 LAN Base 系列配备有很多可通过组播过滤实现网络可扩展性和更高可用性的特
性,以及一整套旨在最大限度提高二层网络可用性的生成树协议增强功能。
当检测到违规行为时,能识别语音的802.1x端口安全性将禁用违规数据VLAN,而不影响同一交换机端
口上的语音 VLAN。Per-VLAN Spanning Tree Plus(PVST+)、UplinkFast 和 PortFast 等对标准生成树
协议的增强功能,有助于最大限度延长网络正常运行时间。PVST+ 可在冗余链路上实现二层负载共享,
从而高效利用冗余设计中内在的额外容量。UplinkFast、PortFast 和 BackboneFast 等,都能极大缩短
生成树协议的标准 30 秒至 60 秒的收敛时间。Flexlink 可实现少于 100 毫秒的双向快速收敛。环路保护
(Loopguard)和网桥协议数据单元(BPDU)保护增强功能,可避免生成树协议环路。
高级 QoS
Cisco Catalyst 2960 LAN Base 系列提供了卓越的多层 QoS 特性,有助于确保对网络数据流进行分类
和优先级排序,并以尽可能最好的方式避免拥塞。通过能检测 Cisco IP电话并针对相应类别和出口队列