Sx500シリーズスタッカブルスイッチのサービス拒否(DoS)SYNレート保護設定

目的

サービス拒否(DoS)攻撃は、攻撃者が正当なユーザがネットワーク内のリソースやサービスを使用することを防止する試みです。DoS攻撃により、時間とコストが大幅に削減される可能性があります。DoS攻撃防御は、ネットワークのセキュリティを強化し、特定のIPアドレス範囲のパケットがネットワークに入るのを防止するように設定されています。  

TCP SYNフラッディングにより、攻撃者による過負荷が原因で、サーバはクライアントとの新しい接続を開く要求への応答を停止します。「SYN Rate Protection」ページでは、入力ポートでスイッチが受信するSYNパケットの数を制限します。これにより、スイッチに接続されたサーバでのSYNフラッディング攻撃を停止できます。

注：SYNレート保護は、デバイスがレイヤ2モードの場合にのみ使用できます。

この記事では、Sx500シリーズスタッカブルスイッチでSYNレート保護を設定する方法について説明します。

該当するデバイス

・ Sx500シリーズスタッカブルスイッチ

[Software Version]

・ v1.2.7.76

SYNレート保護

ステップ1:Web設定ユーティリティにログインし、[Security] > [Denial of Service Prevention] > [SYN Rate Protection]を選択します。[SYN Rate Protection]ページが開きます。

ステップ2:[Add]をクリックして、新しいSYNレート制限を追加します。[Add SYN Rate Protection]ウィンドウが表示されます。

ステップ3:[Interface]フィールドで、目的のインターフェイスタイプに対応するオプションボタンをクリックします。

・ユニット/スロット：[ユニット/スロット(Unit/Slot)]ドロップダウンリストから、適切なユニット/スロットを選択します。ユニットは、スイッチがアクティブか、スタック内のメンバかを識別します。スロットは、どのスイッチがどのスロットに接続されているかを示します（スロット1はSF500、スロット2はSG500）。 使用されている用語に慣れていない場合は、シスコビジネスをご覧ください。新用語一覧。

- [Port]:[Port]ドロップダウンリストから、設定する適切なポートを選択します。 

・ LAG:LAGドロップダウンリストから、STPがアドバタイズされるLAGを選択します。リンク集約グループ(LAG)は、複数のポートをリンクするために使用されます。LAGは帯域幅を増やし、ポートの柔軟性を高め、2つのデバイス間のリンク冗長性を提供してポートの使用を最適化します。

ステップ4:[IP Address]フィールドで、目的のIPアドレスに対応するオプションボタンをクリックします。

・ユーザ定義：SYNレート制限は、ユーザ定義のIPアドレスに定義されます。

・すべてのアドレス：SYNレート制限はすべてのIPアドレスに定義されます。

ステップ5:[Network Mask]フィールドで、目的のネットワークマスクに対応するオプションボタンをクリックします。

・ Mask — IPアドレス形式でネットワークマスクを入力します。これにより、IPアドレスのサブネットマスクが定義されます。

・ Prefix length：プレフィクス長（0 ～ 32の範囲の整数）を入力します。 これは、IPアドレスのプレフィクス長によってサブネットマスクを定義します。

ステップ6:[SYN Rate Limit]フィールドにSYNレート制限の値を入力します。この値は、インターフェイスが1秒あたりに受信できるSYNパケットの最大値です。ここで、PPSは1秒あたりのパケット数を表します。

ステップ7:[Apply]をクリックします。