A prevenção de negação de serviço (DoS) aumenta a segurança da rede e filtra pacotes com determinados parâmetros de endereço IP para que eles não entrem na rede. O tamanho máximo do pacote IP é de 1.500 bytes por padrão, mas quando o pacote excede esse tamanho, ele precisa ser fragmentado. Esses pacotes precisam ser bloqueados às vezes porque podem apresentar algumas vulnerabilidades de segurança, como muitos datagramas incompletos podem ser criados para causar negação de serviço e podem tentar ignorar medidas de segurança.
A filtragem de fragmentos de IP do DoS é usada para bloquear os pacotes IP fragmentados. Este documento explica como configurar as configurações de filtragem de fragmentos IP do DoS nos Switches empilháveis Sx500 Series.
Switches Empilháveis Sx500 Series
•v1.2.7.76
Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > Denial Of Service Prevention > IP Fragments Filtering. A página Filtragem de Fragmentos IP é aberta:
Etapa 2. Na Tabela de filtragem de fragmentos IP, clique em Adicionar. A janela Add IP Fragments Filtering é exibida.
Etapa 3. Clique no botão de opção que corresponde ao tipo de interface desejado no campo Interface.
Unidade/Slot — Nas listas suspensas Unidade/Slot, escolha a Unidade/Slot apropriada. A unidade identifica se o switch está ativo ou um membro na pilha. O slot identifica qual switch está conectado a qual slot (o slot 1 é SF500 e o slot 2 é SG500). Se você não está familiarizado com os termos usados, confira o Cisco Business: Glossário de Novos Termos.
- Porta — na lista suspensa Porta, escolha a porta apropriada para configurar.
LAG — Escolha o LAG desejado na lista suspensa LAG. Um LAG (Link Aggregate Group) é usado para vincular várias portas. Os LAGs multiplicam a largura de banda, aumentam a flexibilidade da porta e fornecem redundância de link entre dois dispositivos para otimizar o uso da porta.
Etapa 4. Clique no botão de opção que corresponde ao endereço IP do qual os pacotes devem ser filtrados no campo Endereço IP.
Definido pelo usuário — Insira um endereço IP do qual os pacotes IP fragmentados são filtrados.
Todos os endereços — Bloqueia pacotes IP fragmentados de todos os endereços.
Note: Se você escolheu Todos os endereços na Etapa 4, vá para a Etapa 6.
Etapa 5. Clique no botão de opção que corresponde à máscara de rede desejada no campo Máscara de rede.
Mask — (Máscara) Insira a máscara de rede no formato de endereço IP. Isso define a máscara de sub-rede para o endereço IP.
Comprimento do prefixo — Insira o comprimento do prefixo (inteiro no intervalo de 0 a 32). Isso define a máscara de sub-rede pelo comprimento do prefixo do endereço IP.
Etapa 6. Clique em Apply.