security-suite deny fragmented
特定のインターフェイスから断片化された IP パケットを破棄するには、security-suite deny fragmented インターフェイス(イーサネット、ポート チャネル)コンフィギュレーション モード コマンドを使用します。
断片化された IP パケットを許可するには、このコマンドの no 形式を使用します。
構文
security-suite deny fragmented {[add {ip-address | any} {mask | /prefix-length}] | [remove {ip-address | any} {mask | /prefix-length}]}
no security-suite deny fragmented
パラメータ
-
add ip-address | any:宛先 IP アドレスを指定します。any を使用して、すべての IP アドレスを指定します。
-
mask:IP アドレスのネットワーク マスクを指定します。
-
prefix-length:IP アドレス プレフィックスを構成するビットの数を指定します。プレフィックス長は、スラッシュ(/)で開始する必要があります。
デフォルト設定
断片化されたパケットはすべてのインターフェイスから許可されます。
mask が指定されていない場合、デフォルトは 255.255.255.255 です。
prefix-length が指定されていない場合、デフォルトは 32 です。
コマンド モード
インターフェイス(イーサネット、ポート チャネル)コンフィギュレーション モード
使用上のガイドライン
このコマンドが動作するためには、show security-suite configuration がグローバルとインターフェイスの両方で有効である必要があります。
例
次の例では、インターフェイスからの断片化された IP パケットの破棄を試みています。
switchxxxxxx(config)# security-suite enable global-rules-only
switchxxxxxx(config)# interface gi1/0/1
switchxxxxxx(config-if)# security-suite deny fragmented add any /32
To perform this command, DoS Prevention must be enabled in the per-interface mode.