Q1: 一、在交换机G0/0/1 部署流量抑制和风暴控制,限制广播报文的速率和单位时间内处理广播报文的速率 (1)流量抑制
(2)风暴控制
二、将交换机G0/0/1、G0/0/2、G0/0/3划分进同一个端口隔离组,拒绝隔离组内用户互相泛洪广播帧(如果需要单播访问,需要在网关设备上开启vlan内ARP代理)
Q2: 一、在交换机上开启IPSG功能
1、配置动态DHCP Snooping表项
2、配置静态表项
3、在上行接口G0/0/5配置为trust,只允许合法的DHCP Server报文发送至终端
二、在交换机开启动态ARP检查(DAI)
Q3: 一、提交合法路由器
二、在交换机使能ND Snooping功能
Q1: 一、从业务随行的角度考虑 网络中存在多个认证点,但未部署ip-group表项订阅,每台acc只能记录自己下游PC的ip-group关系,学习不到对方的ip-group映射关系,导致策略矩阵无法限制 解法方案: 在NCE上开始ip-group表项订阅功能,将认证用户的ip-group表项推送下去 二、从策略联动的角度考虑 1、虽然策略矩阵已经配置拒绝,但是需要部署才能生效,检查是否正常部署 2、如果用户网关是接入交换机,但是策略联动是下发到核心,核心作为认证控制点和执行点,同一个网关下不同安全组的互访不经过核心的策略控制。 解法方案: 1、检查策略矩阵是否正常部署,避免因为未提交导致矩阵不生效的问题 2、将用户网关作为认证控制点和执行点,在网关上执行用户策略 三、从准入控制的角度考虑 通过准入控制的用户,会获得相应的授权结果,其中包含用户的vlan,安全组以及ACL等信息。虽然策略矩阵部署正确,但是在PC1和PC2通过准入认证时,在授权规则中绑定授权结果时,授权结果未能正常的将PC1和PC2加入到正确的安全组里,就会导致策略矩阵未正确管控流量。所以需要绑定正确的用户授权结果
Q1:
1、LDP本身没有路由计算能力,需要依赖IGP进行路由路径计算
2、控制面需要LDP和IGP,设备之间需要发送大量的消息来维护邻居状态和路径状态,浪费链路带宽和设备资源
3、如果IGP和LDP未同步,可能会出现数据转发问题