SYNフィルタリングは、DOS防止機能の1つです。特定のポートまたはLAGからのTCP接続を防止するために使用されます。これにより、スイッチ管理者は不要なTCPポートをブロックできます。これらのブロックされたTCPポート宛てのパケットは、システムからフィルタリングされます。これは、主にSYNフラグを含むTCPパケットをフィルタリングするために使用されます。
この記事では、Sx500シリーズスタッカブルスイッチでSYNフィルタリングを設定する方法について説明します。
・ Sx500シリーズスタッカブルスイッチ
・ v1.2.7.76
ステップ1:Web設定ユーティリティにログインし、[Security] > [Denial of Service Prevention] > [SYN Filtering]を選択します。[SYN Filtering]ページが開きます。
ステップ2:[Add]をクリックして、新しいSYNフィルタを追加します。[Add SYN filtering]ウィンドウが表示されます。
ステップ3:[Interface]フィールドで、目的のインターフェイスタイプに対応するオプションボタンをクリックします。
・ユニット/スロット:[ユニット/スロット(Unit/Slot)]ドロップダウンリストから、適切なユニット/スロットを選択します。ユニットは、スイッチがアクティブか、スタック内のメンバかを識別します。スロットは、どのスイッチがどのスロットに接続されているかを示します(スロット1はSF500、スロット2はSG500)。 使用されている用語に慣れていない場合は、シスコビジネスをご覧ください。新用語一覧。
- [Port]:[Port]ドロップダウンリストから、設定する適切なポートを選択します。
・ LAG:LAGドロップダウンリストから、STPがアドバタイズされるLAGを選択します。リンク集約グループ(LAG)は、複数のポートをリンクするために使用されます。LAGは帯域幅を増やし、ポートの柔軟性を高め、2つのデバイス間のリンク冗長性を提供してポートの使用を最適化します。
ステップ4:[IPv4 Address(IPv4アドレス)]フィールドで、目的のIPv4アドレスに対応するオプションボタンをクリックします。
・ User Defined – フィルタはユーザ定義のIPアドレスに定義されます。
・すべてのアドレス:フィルタはすべてのIPアドレスに定義されます。
ステップ5:[Network Mask]フィールドで、目的のネットワークマスクに対応するオプションボタンをクリックします。
・ Mask — IPアドレス形式でネットワークマスクを入力します。これにより、IPアドレスのサブネットマスクが定義されます。
・ Prefix length:プレフィクス長(0 ~ 32の範囲の整数)を入力します。 これにより、IPアドレスのプレフィクス長によってサブネットマスクが定義されます。
ステップ6:[TCP Port]フィールドで、フィルタに適用する必要なTCPポートに対応するオプションボタンをクリックします。
・ Known ports:[Known ports]ドロップダウンリストから、フィルタリングするTCPポートを選択します。
・ User Defined – フィルタリングするTCPポートを入力します。
・すべてのポート:すべてのTCPポートがフィルタリングされます。
ステップ7:[Apply]をクリックします。