了解 Junos Fusion Enterprise 上的端口安全功能

端口安全功能有助于保护设备上的接入端口免受地址欺骗（伪造）和第 2 层拒绝服务等攻击。交换设备会监控来自不受信任主机的 DHCP 消息，并提取这些主机的 IP 地址和租用信息。此信息用于构建和维护 DHCP 侦听数据库。只有可以使用此数据库进行验证的主机才允许访问网络。

Junos Fusion Enterprise 支持以下端口安全功能：

• DHCP 侦听

• DHCPv6 侦听

• 动态 ARP 检查 （DAI）

• IP 源保护

• IPv6 源保护

• IPv6 邻居发现 （ND） 检测

• IPv6 路由器通告 （RA） 保护

对于独立 EX9200 交换机，Junos Fusion Enterprise 中的 DHCP 侦听和其他端口安全功能配置与此相同。端口安全配置选项的范围超出了本文档的讨论范围。有关更多信息，请参阅配置 EX9200 交换机的端口安全功能和端口安全用户指南。

在具有双聚合设备的 Junos Fusion Enterprise 中，有一些特殊注意事项会影响 DHCP 侦听数据库。为 Junos Fusion Enterprise 配置 DHCP 端口安全功能时，应了解以下要求：

• DHCP 侦听数据库在聚合设备之间同步。所有双宿主客户端的同步都是自动的;同步 DHCP 侦听数据库无需手动配置。

  注意：

  DHCP 中继和 DHCP 服务器绑定不同步。

• DAI 和 ND 检测统计信息在两个聚合设备上同步。

• 两个聚合设备上的 DHCP 端口安全配置必须匹配，因此应使用通过提交同步应用于两个聚合设备的配置组来配置 DHCP 端口安全功能。请参阅 了解 Junos Fusion 中的配置同步 和 在 Junos Fusion 中启用聚合设备之间的配置同步。

• 在一个聚合设备上执行 clear dhcp-security binding 命令也会清除另一个聚合设备上的绑定。

• 双聚合设备拓扑中的单宿主客户端不支持 DHCP 端口安全功能，因为 DHCP 侦听数据库仅为双宿主客户端同步。