配置园区内网安全

接入层（接入交换机）

• 配置风暴控制
• 配置DHCP Snooping
• 配置IPSG
• 配置DAI
• 配置端口隔离

1. 创建接口安全模板，接口安全模板中可以开启风暴控制等安全功能。
2. 创建接口对象组，将需要下发接口安全模板的物理接口添加到接口对象组中。
3. 将接口安全模板下到接口对象组中。
   说明：

   • 配置DHCP Snooping时，需要将DHCP服务器侧的物理接口设置为信任接口。
   • 创建Fabric时，可以开启Fabric的风暴控制功能。
   • 创建VN时，可以开启VN内用户网关的DHCP Snooping功能。
   • Fabric接入管理中如果端口选择了“终端”连接类型，那么会自动在端口配置端口隔离功能。

接入层（WLAN空口安全）

• 配置WIDS与WIPS
• 配置频谱分析
• 配置非法攻击检测

登录WAC的Web网管或者命令行方式配置。

接入层（WLAN终端接入安全）

配置安全策略

登录WAC的Web网管或者命令行方式配置，可参考“WLAN配置（分布式网关）”和“WLAN配置（集中式网关）”中的“配置无线业务”。

接入层（WLAN业务安全）

配置DTLS加密

登录WAC的Web网管或者命令行方式配置。

汇聚层

• 如果汇聚交换机下挂了终端，相关的安全配置请参考“接入层（接入交换机）”。
• 如果汇聚层作为用户网关或认证点，相关的安全配置请参考“核心层”。

核心层

• 配置CPU防攻击
• 配置攻击溯源
• 配置端口防攻击
• 配置用户级限速
• 使能ARP优化应答

核心层交换机为了保证CPU对正常业务的处理和响应，缺省会配置CPU防护相关功能。如需调整这些功能的参数，可通过命令行方式在核心交换机上配置，建议在专业技术人员指导下操作。