阻斷服務(DoS)防護增強網路安全性,並過濾具有特定IP地址引數的資料包,使其不會進入網路。預設情況下,IP封包的最大大小為1500位元組,但當封包超過此大小時,封包需要分段。這些資料包有時需要被阻止,因為它們可能會帶來一些安全漏洞,例如可能會建立太多不完整的資料包來導致拒絕服務,並可能嘗試繞過安全措施。
DoS IP分段過濾用於阻止分段的IP資料包。本檔案將說明如何在Sx500系列堆疊式交換器上設定DoS IP片段篩選設定。
· Sx500系列堆疊式交換器
· v1.2.7.76
步驟1.登入到Web配置實用程式,然後選擇Security > Denial Of Service Prevention > IP Fragments Filtering。將開啟IP Fragments Filtering頁面:
步驟2.在IP片段篩選表中,按一下Add。系統將顯示Add IP Fragments Filtering視窗。
步驟3.在Interface欄位中點選與所需介面型別對應的單選按鈕。
·裝置/插槽 — 從Unit/Slot下拉選單選擇適當的裝置/插槽。裝置可識別交換器是處於作用中還是堆疊中的成員。插槽標識連線到哪個插槽的交換機(插槽1是SF500,插槽2是SG500)。 如果您不熟悉使用的術語,請檢視思科業務:新字詞詞彙表.
— 埠 — 從埠(Port)下拉選單中,選擇要配置的相應埠。
· LAG — 從LAG下拉選單中選擇所需的LAG。連結彙總組(LAG)用於將多個連線埠連結在一起。LAG可增加頻寬,增加埠靈活性,並在兩台裝置之間提供鏈路冗餘以最佳化埠使用。
步驟4.在IP Address欄位中點選與要從中過濾資料包的IP地址對應的單選按鈕。
·使用者定義 — 輸入用於過濾分段的IP資料包的IP地址。
·所有地址 — 從所有地址阻止分段的IP資料包。
附註:如果您在步驟4中選擇了All Addresses,請跳到步驟6。
步驟5.點選與Network Mask欄位中所需的網路掩碼對應的單選按鈕。
·掩碼 — 輸入IP地址格式的網路掩碼。定義IP地址的子網掩碼。
·字首長度 — 輸入字首長度(介於0到32之間的整數)。 這會按IP地址的字首長度定義子網掩碼。
步驟6.按一下Apply。