説明

IPソースガード：IPソースガードは、正当なホストのIPアドレスを想定して、悪意のあるホストが正当なホストになりすますことを防ぐために、レイヤー2ポートでソースIPアドレスフィルタリングを提供します。この機能は、ダイナミックDHCPスヌーピングとスタティックIPソースバインディングを使用して、IPアドレスを信頼できないレイヤ2アクセスポート上のホストに一致させます。
最初に、保護されたポート上のすべてのIPトラフィックは、DHCPパケットを除きブロックされます。クライアントがDHCPサーバーからIPアドレスを受信した後、または管理者が静的IPソースバインドを構成した後、そのIPソースアドレスを持つすべてのトラフィックはそのクライアントから許可されます。他のホストからのトラフィックは拒否されます。このフィルタリングは、近隣ホストのIPアドレスを要求することにより、ホストがネットワークを攻撃する能力を制限します。 IPソースガードは、暗黙的なポートアクセス制御リスト（PACL）を自動的に作成するポートベースの機能です。
CoPP：コントロールプレーンポリシング（CoPP）は、QoSコントロールを集約コントロールプレーンインターフェイスに適用することにより、プロセッサを宛先とする早期のレート制限プロトコル固有のトラフィックの概念を導入しました。コントロールプレーン保護は、トップレベル（集合）コントロールプレーンインターフェイスの下に3つの追加コントロールプレーンサブインターフェイスを提供することにより、このコントロールプレーン機能を拡張します。各サブインターフェイスは、特定のタイプのコントロールプレーントラフィックを受信して​​処理します。
動的ARP検査：動的ARP検査は、ネットワーク内のARPパケットを検証するセキュリティ機能です。無効なIP / MACアドレスバインディングを持つARPパケットを傍受、ログ記録、および破棄します。この機能は、特定の中間者攻撃からネットワークを保護します。
ダイナミックARPインスペクションにより、有効なARP要求と応答のみがリレーされることが保証されます。スイッチは次のアクティビティを実行します。
*信頼できないポートですべてのARP要求と応答をインターセプトする

*インターセプトされたこれらの各パケットが、ローカルARPキャッシュを更新する前、またはパケットを適切な宛先に転送する前に、有効なIP / MACアドレスバインディングを持っていることを確認します

*無効なARPパケットをドロップします

ユニキャストRPF：ユニキャストRPF機能は、検証可能なIPソースアドレスを持たないIPパケットを破棄することにより、不正または偽造（偽造）IPソースアドレスのネットワークへの導入によって引き起こされる問題を軽減します。たとえば、SmurfおよびTribal Flood Network（TFN）攻撃を含む多くの一般的なタイプのサービス拒否（DoS）攻撃は、偽造された、または急速に変化するソースIPアドレスを利用して、攻撃者が攻撃をフィルタリングします。ユニキャストRPFは、有効であり、IPルーティングテーブルと一致する送信元アドレスを持つパケットのみを転送することにより、攻撃をそらします。
インターフェイスでユニキャストRPFを有効にすると、デバイスはそのインターフェイスで受信したすべての入力パケットを調べて、送信元アドレスと送信元インターフェイスがルーティングテーブルに表示され、パケットを受信したインターフェイスと一致することを確認します。この送信元アドレスの検査は、Forwarding Information Base（FIB）に依存しています。
トラフィックストーム制御：トラフィックストームは、パケットがLANをフラッディングするときに発生し、過剰なトラフィックを作成してネットワークパフォーマンスを低下させます。トラフィックストーム制御機能を使用して、レイヤーの中断を防ぐことができます
物理インターフェイス上のブロードキャスト、マルチキャスト、またはユニキャストトラフィックストームによる2ポート。
トラフィックストーム制御（トラフィック抑制とも呼ばれます）を使用すると、1秒間隔でブロードキャスト、マルチキャスト、およびユニキャストの着信トラフィックのレベルを監視できます。この間隔中に、ポートで使用可能な合計帯域幅の割合であるトラフィックレベルが、設定したトラフィックストーム制御レベルと比較されます。入力トラフィックがポートで設定されたトラフィックストーム制御レベルに達すると、トラフィックストーム制御は間隔が終了するまでトラフィックをドロップします。