Denial of Service(DoS;サービス拒否)の防止により、ネットワークセキュリティが強化され、特定のIPアドレスパラメータを持つパケットがネットワークに入らないようにフィルタリングされます。IPパケットの最大サイズはデフォルトで1500バイトですが、パケットがこのサイズを超えた場合は、パケットをフラグメント化する必要があります。これらのパケットは、サービス拒否を引き起こすために作成される不完全なデータグラムが多すぎるなど、セキュリティ上の脆弱性を引き起こす可能性があり、セキュリティ対策をバイパスする可能性があるため、時々ブロックする必要があります。
DoS IPフラグメントフィルタリングは、フラグメント化されたIPパケットをブロックするために使用されます。このドキュメントでは、Sx500シリーズスタッカブルスイッチでDoS IPフラグメントのフィルタリングを設定する方法について説明します。
・ Sx500シリーズスタッカブルスイッチ
・ v1.2.7.76
ステップ1:Web設定ユーティリティにログインし、[Security] > [Denial Of Service Prevention] > [IP Fragments Filtering]を選択します。[IP Fragments Filtering]ページが開きます。
ステップ2:[IP Fragments Filtering Table]で、[Add]をクリックします。[Add IP Fragments Filtering]ウィンドウが表示されます。
ステップ3:[Interface]フィールドで、目的のインターフェイスタイプに対応するオプションボタンをクリックします。
・ユニット/スロット:[ユニット/スロット(Unit/Slot)]ドロップダウンリストから、適切なユニット/スロットを選択します。ユニットは、スイッチがアクティブか、スタック内のメンバかを識別します。スロットは、どのスイッチがどのスロットに接続されているかを示します(スロット1はSF500、スロット2はSG500)。 使用されている用語に慣れていない場合は、シスコビジネスをご覧ください。新用語一覧。
- [Port]:[Port]ドロップダウンリストから、設定する適切なポートを選択します。
・ LAG:[LAG]ドロップダウンリストから目的のLAGを選択します。リンク集約グループ(LAG)は、複数のポートをリンクするために使用されます。LAGは帯域幅を増やし、ポートの柔軟性を高め、2つのデバイス間のリンク冗長性を提供してポートの使用を最適化します。
ステップ4:[IP Address]フィールドで、パケットのフィルタリング元のIPアドレスに対応するオプションボタンをクリックします。
・ User Defined – フラグメント化されたIPパケットのフィルタリング元のIPアドレスを入力します。
・ All Addresses:フラグメント化されたIPパケットをすべてのアドレスからブロックします。
注:ステップ4で[All Addresses]を選択した場合は、ステップ6に進みます。
ステップ5:[Network Mask]フィールドで、目的のネットワークマスクに対応するオプションボタンをクリックします。
・ Mask — IPアドレス形式でネットワークマスクを入力します。これにより、IPアドレスのサブネットマスクが定義されます。
・ Prefix length:プレフィクス長(0 ~ 32の範囲の整数)を入力します。 これは、IPアドレスのプレフィクス長によってサブネットマスクを定義します。
ステップ6:[Apply]をクリックします。