Sx500系列堆叠式交换机上的拒绝服务(DoS)SYN速率保护配置
目标
拒绝服务(DoS)攻击是攻击者试图阻止合法用户使用网络中的资源或服务。DoS攻击会导致大量时间和金钱损失。DoS攻击防御配置为提高网络安全性并防止具有特定IP地址范围的数据包进入网络。
TCP SYN泛洪导致服务器停止响应与客户端建立新连接的请求,因为攻击者会过载。“SYN速率保护”页限制交换机在入口端口上接收的SYN数据包数。这可以停止连接到交换机的服务器上的SYN泛洪攻击。
注意:SYN速率保护仅在设备处于第2层模式时可用。
本文介绍如何在Sx500系列堆叠式交换机上配置SYN速率保护。
适用设备
· Sx500系列堆叠式交换机
软件版本
•v1.2.7.76
SYN速率保护
步骤1.登录Web配置实用程序,然后选择Security > Denial of Service Prevention > SYN Rate Protection。“SYN速率保护”页打开:
步骤2.单击Add添加新的SYN速率限制。系统将显示Add SYN Rate Protection窗口。
步骤3.在Interface字段中,点击与所需接口类型对应的单选按钮。
·设备/插槽 — 从设备/插槽下拉列表中选择适当的设备/插槽。设备标识交换机是活动的还是堆叠中的成员。插槽标识哪台交换机连接到哪个插槽(插槽1为SF500,插槽2为SG500)。 如果您不熟悉所用术语,请查看思科业务:新术语表。
— 端口 — 从端口下拉列表中,选择要配置的适当端口。
· LAG — 从LAG下拉列表中选择通告STP的LAG。链路聚合组(LAG)用于将多个端口连接在一起。LAG可增加带宽,提高端口灵活性,并在两个设备之间提供链路冗余以优化端口使用。
步骤4.点击与IP Address字段中所需IP地址对应的单选按钮。
·用户定义 — SYN速率限制定义为用户定义的IP地址。
·所有地址 — SYN速率限制定义为所有IP地址。
步骤5.在Network Mask字段中,点击与所需网络掩码对应的单选按钮。
·掩码 — 以IP地址格式输入网络掩码。这定义了IP地址的子网掩码。
·前缀长度 — 输入前缀长度(0到32范围内的整数)。 这按IP地址的前缀长度定义子网掩码。
步骤6.在SYN Rate Limit字段中输入SYN速率限制的值。此值是接口每秒可接收的SYN数据包的最大值,其中PPS代表每秒数据包数。
步骤7.单击“应用”。
反馈