Configuration du filtrage des fragments IP par déni de service (DoS) sur les commutateurs gérés de la gamme 300

Options de téléchargement

  • PDF     (133.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (117.1 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (117.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:22 juin 2017
ID du document:SMB4169

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Configuration du filtrage des fragments IP par déni de service (DoS) sur les commutateurs gérés de la gamme 300

Objectif

Le trafic réseau est envoyé à l’aide de plusieurs paquets appelés datagrammes.  Chaque méthode de transport (Ethernet, Token Ring, etc.) a une taille maximale de datagramme qu'il peut gérer.  Si le datagramme est trop grand pour la méthode de transmission, il est divisé en fragments plus petits.  Ce processus est appelé fragmentation IP. La plupart du trafic réseau n’a pas besoin d’être fragmenté. En fait, le trafic qui a été fragmenté peut être utilisé comme dans une attaque par déni de service (DoS).  Une attaque DoS inonde un réseau avec un trafic erroné et ralentit ou arrête le réseau. Les commutateurs gérés de la gamme 300 peuvent bloquer des fragments IP, ce qui réduit la vulnérabilité des réseaux face à une attaque DoS. Cet article explique comment configurer les paramètres de filtrage des fragments IP sur les commutateurs gérés de la gamme 300.

Note: Les filtres de fragments IP ne peuvent être utilisés que si la prévention DoS est activée.  Reportez-vous à l'article Security Suite Settings on 300 Series Managed Switches pour obtenir de l'aide.

Périphériques pertinents

Commutateurs gérés · série SF/SG 300

Version du logiciel

•1.3.0.62

Ajouter un filtre de fragments IP

Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Security > Denial Of Service Prevention > IP Fragments Filtering. La page IP Fragments Filtering s'ouvre :

Étape 2. Cliquez sur Add pour ajouter un nouveau filtre de fragments IP. La fenêtre Add IP Fragments Filtering apparaît.

Étape 3. Sélectionnez la case d'option correspondant à l'interface souhaitée dans le champ Interface.  Il s'agit de l'emplacement physique auquel le filtre sera affecté.

· Port : port physique du commutateur.  Sélectionnez un port spécifique dans la liste déroulante Port.

· LAG : groupe de ports qui agissent en tant que port unique.  Sélectionnez un LAG spécifique dans la liste déroulante LAG.

Étape 4. Sélectionnez la case d'option correspondant à l'adresse IPv4 souhaitée à filtrer dans le champ IP Address.

· User Defined : saisissez une adresse IP à filtrer.

· Toutes les adresses : toutes les adresses IPv4 sont filtrées.

Note: Si vous avez sélectionné Toutes les adresses à l'étape 4, passez à l'étape 6.

Étape 5. Sélectionnez la case d'option correspondant à la méthode utilisée pour définir le masque de sous-réseau de l'adresse IP dans le champ Network Mask.

· Mask : saisissez le masque de réseau dans le champ Network mask.

· Prefix Length : saisissez la longueur du préfixe (entier compris entre 0 et 32) dans le champ Prefix length.

Étape 6. Cliquez sur Apply pour enregistrer vos modifications, puis cliquez sur Close pour fermer la fenêtre Add IP Fragments Filtering.

Historique de révision

Révision Date de publication Commentaires
1.0
11-Dec-2018
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco