拒绝服务(DoS)防御提高了网络安全性,并使用某些IP地址参数过滤数据包,使其不进入网络。默认情况下,IP数据包的最大大小为1500字节,但当数据包超过此大小时,数据包需要进行分段。这些数据包有时需要被阻止,因为它们可能会造成一些安全漏洞,例如,可能会创建太多不完整的数据报,导致拒绝服务,并可能尝试绕过安全措施。
DoS IP分段过滤用于阻止分段的IP数据包。本文档介绍如何在Sx500系列可堆叠交换机上配置DoS IP分段过滤设置。
· Sx500系列堆叠式交换机
•v1.2.7.76
步骤1.登录到Web配置实用程序,然后选择Security > Denial Of Service Prevention > IP Fragments Filtering。“IP分片过滤”页面打开:
步骤2.在IP分段过滤表中,单击添加。系统将显示Add IP Fragments Filtering窗口。
步骤3.在Interface字段中,点击与所需接口类型对应的单选按钮。
·设备/插槽 — 从设备/插槽下拉列表中选择适当的设备/插槽。设备标识交换机是活动的还是堆叠中的成员。插槽标识哪台交换机连接到哪个插槽(插槽1为SF500,插槽2为SG500)。 如果您不熟悉所用术语,请查看思科业务:新术语表。
— 端口 — 从端口下拉列表中,选择要配置的适当端口。
· LAG — 从LAG下拉列表中选择所需的LAG。链路聚合组(LAG)用于将多个端口连接在一起。LAG可增加带宽,提高端口灵活性,并在两个设备之间提供链路冗余以优化端口使用。
步骤4.点击与IP地址(IP Address)字段中要过滤的数据包的IP地址对应的单选按钮。
·用户定义 — 输入从中过滤分片IP数据包的IP地址。
·所有地址 — 阻止来自所有地址的分段IP数据包。
注意:如果在步骤4中选择了所有地址,请跳至步骤6。
步骤5.在Network Mask字段中,点击与所需网络掩码对应的单选按钮。
·掩码 — 以IP地址格式输入网络掩码。这定义了IP地址的子网掩码。
·前缀长度 — 输入前缀长度(0到32范围内的整数)。 这按IP地址的前缀长度定义子网掩码。
步骤6.单击“应用”。