Data Sheet
© 2016
思科和
/
或其附属公司。保留所有权利。本文档为思科公开发布的信息。
第
6
页,共
15 页
特性
说明
Q-in-Q VLAN VLAN 可以透明穿越服务运营商的网络,同时对客户流量进行隔离
通用
VLAN
注册协议
(GVRP)/
通
用属性注册协议
(GARP)
在桥接域中实现自动 VLAN 传播和配置的协议
单向链路检测
(UDLD) 通过物理连接 UDLD 监视器,可以检测由布线错误或端口故障导致的单向链路,以防止交换的网络中发生转发循
环和流量黑洞
动态主机配置协议
(DHCP) 2
层
中继
可以将 DHCP 流量传递到不同 VLAN 中的 DHCP 服务器;与 DHCP 选项 82 配合使用
互联网组管理协议
(IGMP)
版本
1
、
2
和
3
侦听
IGMP 可以将带宽密集型组播流量限制为仅适用于请求者;支持 1000 个组播组(还支持特定源的组播)
IGMP
查询器
IGMP 查询器用于在缺少组播路由器时支持 2 层侦听交换机组播域
队头
(HOL)
阻塞
HOL 队头阻塞预防功能
巨帧
高达 9000 (9216) 字节
第
3
层
IPv4
路由
IPv4 数据包线速路由
最多 512 个静态路由和 128 个 IP 接口
无类别域间路由
(CIDR) 支持 CIDR
第
3
层接口
可以在物理端口、LAG、VLAN 接口或环回接口上配置第 3 层接口
第
3
层
DHCP
中继
可以跨 IP 域传递 DHCP 流量
用户数据报协议
(UDP)
中继
可以跨 3 层域中继广播信息,以用于应用发现或传递 bootP/DHCP 数据包
DHCP
服务器
交换机用作 IPv4 DHCP 服务器,为多个 DHCP 池/作用域提供 IP 地址
支持 DHCP 选项
安全
Secure Shell (SSH)
协议
SSH 是对 Telnet 流量的安全替代。SCP 也使用 SSH。支持 SSH 第 1 和 第 2 版
安全套接字层
(SSL) SSL 支持:对所有 HTTPS 流量进行加密,以便安全地访问交换机中基于浏览器的管理 GUI
IEEE 802.1X
(验证者角色)
802.1X:RADIUS 身份验证和记账,MD5 哈希值、访客 VLAN、未验证的 VLAN、单/多主机模式和单个/多个会话
支持基于时间的 802.1X
动态 VLAN 分配
基于
Web
的身份验证
基于 Web 的身份验证通过网络浏览器为所有主机设备和操作系统提供网络准入控制
STP
桥接协议数据单元
(BPDU)
保护
一种保护网络免遭无效配置的安全机制。启用 BPDU 防护的端口如果收到 BPDU 报文,该端口将关闭
STP
根防护
STP 根防护可以防止不在网络管理员控制下的边缘设备成为生成树协议的根节点
DHCP
侦听
筛选出具有未注册 IP 地址和/或来自非预期或非信任接口的 DHCP 消息。这可以防止非法设备发挥 DHCP 服务
器的作用
IP
源保护
(IPSG) 当端口启用 IP 源保护之后,当交换机从该端口接收 IP 数据包时,如果该数据包的源 IP 地址未进行静态配置或
未通过 DHCP 侦听进行动态学习,则交换机会将其筛除。这可以防止 IP 地址欺骗
动态
ARP
检测
(DAI) 当交换机从某个端口接收 ARP 数据包时,如果该数据包未绑定静态或动态 IP/MAC,或该 ARP 数据包中的源地
址或目的地址存在差异,则交换机将丢弃该 ARP 数据包。这可以防止中间人攻击
IP/MAC/
端口绑定
(IPMB) 上述功能(DHCP 侦听、IP 源保护和动态 ARP 检测)协作运行,可防止网络中的 DOS 攻击,从而提高网络的
可用性
安全核心技术
(SCT) 确保无论交换机收到多少流量,都能接收和处理管理和协议流量
保护敏感数据
(SSD) 一种用于在交换机上安全地管理敏感数据(如密码、密钥等)的机制,可以将敏感数据存放到其他设备上,并保
护自动配置的安全。此机制根据用户配置的访问级别和用户使用的访问方式,提供以明文或加密方式查看敏感数
据的访问权限
团体
VLAN
第
2
层隔离专用
VLAN
边缘
(PVE)
PVE(也称为受保护端口)为处于同一 VLAN 的不同设备提供第 2 层隔离,支持多条上行链路
端口安全
将源 MAC 地址锁定至端口和限制已学习的 MAC 地址数量的能力
RADIUS/TACACS+ 支持 RADIUS 和 TACACS 身份验证。交换机用作客户端
风暴控制
广播、多播和未知单播
RADIUS
记帐
RADIUS 记帐功能可以在服务开始和结束时发送数据,以表明会话期间使用的资源(如时间、数据包、字节等)
数量