分类: 系统运维
2011-10-20 08:49:22
传统的报文过滤并不处理所有IP报文分片,而是只对第一个(首片)分片报文进行匹配处理,后续分片一律放行。这样,网络攻击者可能构造后续的分片报文进行流量攻击,就带来了安全隐患。
在ACL的规则配置项中,通过关键字fragment来标识该ACL规则仅对非尾片分片报文有效,而对非分片报文和尾片分片报文无效。不包含此关键字的配置规则项对非分片报文和分片报文均有效。
具体将在下面介绍ACL配置时有所体现。
本文摘自《Catalyst交换机VLAN、VMPS配置与管理》第十九章
