Sx500系列堆疊式交換機上的拒絕服務(DOS)SYN過濾配置
目標
SYN過濾是DOS防禦功能之一。它用於防止來自特定埠或LAG的TCP連線。這允許交換機管理員阻止不需要的TCP埠。目的地為這些受阻TCP埠的資料包將被過濾出系統。這主要用於過濾包含SYN標誌的TCP資料包。
本文介紹如何在Sx500系列堆疊式交換機上配置SYN過濾。
適用裝置
· Sx500系列堆疊式交換器
軟體版本
· v1.2.7.76
SYN篩選
步驟1.登入到Web配置實用程式,然後選擇Security > Denial of Service Prevention > SYN Filtering。SYN Filtering頁面開啟:
步驟2.按一下Add新增新的SYN過濾器。出現Add SYN filtering視窗。
步驟3.在Interface欄位中點選與所需介面型別對應的單選按鈕。
·裝置/插槽 — 從Unit/Slot下拉選單選擇適當的裝置/插槽。裝置可識別交換器是處於作用中還是堆疊中的成員。插槽標識連線到哪個插槽的交換機(插槽1是SF500,插槽2是SG500)。 如果您不熟悉使用的術語,請檢視思科業務:新字詞詞彙表.
— 埠 — 從埠(Port)下拉選單中,選擇要配置的相應埠。
· LAG — 從LAG下拉選單中選擇通告STP的LAG。連結彙總組(LAG)用於將多個連線埠連結在一起。LAG可增加頻寬,增加埠靈活性,並在兩台裝置之間提供鏈路冗餘以最佳化埠使用。
步驟4.點選與「IPv4地址」欄位中所需的IPv4地址對應的單選按鈕。
·使用者定義 — 篩選器定義為使用者定義的IP地址。
·所有地址 — 過濾器定義為所有IP地址。
步驟5.點選與Network Mask欄位中所需的網路掩碼對應的單選按鈕。
·掩碼 — 輸入IP地址格式的網路掩碼。這將定義IP地址的子網掩碼。
·字首長度 — 輸入字首長度(介於0到32之間的整數)。 這將通過IP地址的字首長度定義子網掩碼。
步驟6.在TCP Port欄位中點選與要應用於過濾器的TCP埠對應的單選按鈕。
·已知埠 — 從已知埠下拉選單中選擇要過濾的TCP埠。
·使用者定義 — 輸入要過濾的TCP埠。
·所有埠 — 所有TCP埠都經過過濾。
步驟7.按一下Apply。
意見