La prévention des dénis de service (DoS) augmente la sécurité du réseau et filtre les paquets avec certains paramètres d'adresse IP afin qu'ils n'entrent pas dans le réseau. La taille maximale du paquet IP est de 1 500 octets par défaut, mais lorsque le paquet dépasse cette taille, il doit être fragmenté. Ces paquets doivent parfois être bloqués, car ils peuvent présenter certaines failles de sécurité, comme un trop grand nombre de datagrammes incomplets, pour provoquer un déni de service et tenter de contourner les mesures de sécurité.
Le filtrage des fragments IP DoS est utilisé pour bloquer les paquets IP fragmentés. Ce document explique comment configurer les paramètres de filtrage des fragments IP DoS sur les commutateurs empilables de la gamme Sx500.
Commutateurs Empilables · Sx500
•v 1.2.7.76
Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Security > Denial Of Service Prevention > IP Fragments Filtering. La page IP Fragments Filtering s'ouvre :
Étape 2. Dans la table de filtrage des fragments IP, cliquez sur Ajouter. La fenêtre Add IP Fragments Filtering apparaît.
Étape 3. Sélectionnez la case d'option correspondant au type d'interface souhaité dans le champ Interface.
· unité/logement — Dans les listes déroulantes Unité/logement, sélectionnez l'unité/logement approprié. L'unité identifie si le commutateur est actif ou membre de la pile. Le logement identifie le commutateur auquel est connecté le logement (le logement 1 est SF500 et le logement 2 est SG500). Si vous ne connaissez pas les termes utilisés, consultez Cisco Business : Glossaire des nouveaux termes.
- Port : dans la liste déroulante Port, sélectionnez le port approprié à configurer.
· LAG : sélectionnez le LAG souhaité dans la liste déroulante LAG. Un LAG (Link Aggregate Group) est utilisé pour relier plusieurs ports entre eux. Les LAG multiplient la bande passante, augmentent la flexibilité des ports et assurent la redondance des liaisons entre deux périphériques pour optimiser l'utilisation des ports.
Étape 4. Cliquez sur la case d'option qui correspond à l'adresse IP à partir de laquelle les paquets doivent être filtrés dans le champ IP Address.
· User Defined : saisissez une adresse IP à partir de laquelle les paquets IP fragmentés sont filtrés.
· All Addresses : bloque les paquets IP fragmentés de toutes les adresses.
Note: Si vous avez sélectionné Toutes les adresses à l'étape 4, passez à l'étape 6.
Étape 5. Sélectionnez la case d'option correspondant au masque de réseau souhaité dans le champ Masque de réseau.
· Mask : saisissez le masque de réseau au format d'adresse IP. Définit le masque de sous-réseau de l’adresse IP.
· Prefix length : saisissez la longueur du préfixe (entier compris entre 0 et 32). Définit le masque de sous-réseau par longueur de préfixe pour l'adresse IP.
Étape 6. Cliquez sur Apply.