이번 시간에는 국내 벤더인 다산 스위치 5424G config 명령어에 대해서 알아보도록 하겠습니다.
1. 명령어 모음
다산 스위치 5424G 설정하는 명령어를 모아봤습니다.
다산은 장비별로 config가 조금씩 틀려서 다 외우고 다니기는 힘들죠.^^
▣ Sample Configuration 설정 내용 확인
V5424G# show running-config
hostname V5424G
time-zone GMT+9 => 대한민국 표준 시 설정
ntp 203.254.163.74 => NTP Server 설정(한국표준 과학연구원 표준시 서버)
syslog output info local volatile
syslog output info local non-volatile
cpu statistics-limit unicast 1-24 10 => 임계치 이상의 packet이 CPU로 올라오거나, 혹은 CPU에서 나갈 때
cpu statistics-limit multicast 1-24 10 시스로그를 발생시켜, loop 혹은 악의적인 공격 감시
cpu statistics-limit broadcast 1-24 10 * 전 port 설정
ip ecmp-hash sip-dip
service dhcp
bridge vlan create 2
vlan add default 1-20,25-36 untagged
vlan add br2 21-24 untagged
vlan pvid 1-20,25-36 1
vlan pvid 21-24 2
storm-control broadcast 1024 1-20 => broadcast, multicast, dlf에 대한 storm-control, 업링크 제외
storm-control multicast 1024 1-20
storm-control dlf 1024 1-20
mac-flood-guard 1-20 200 => cpu로 임계치 이상의 패킷 유입 시 해당 mac을 aging time 동안 차단
interface default
no shutdown
ip address 1.1.1.1/24
ip dhcp helper-address 5.1.1.1 => DHCP Server ip 설정
interface br2
no shutdown
ip address 2.1.1.1/24
ip martian-filter default => interface 설정된 IP 대역 이외에 Drop 하는 설정
arp patrol 2 5 1 => Gratuitous ARP 설정
arp access-list 10 => ARP table에 등록할 IP 및 MAC address 지정
permit ip host 1.1.1.2 mac 00:01:01:01:01:01 - 하단의 모든 L2장비에 대해 IP와 MAC을 등록
permit dhcp-snoop-inspection - DHCP 사용자에 대해 등록
deny ip any mac any
ip arp inspection validate src-mac dst-mac ip => ARP Packet의 유효성 확인
ip arp inspection vlan 1 - 기능에 대한 Global 설정으로 가입자 VLAN만 설정
ip arp inspection filter 10 vlan 1 - arp access-list에 선언된 list에 대해서만 ARP table에 등록하여 통신 허용함.
flow udp_1434 create
ip any any udp any 1434
apply
flow tcp_707 create => worm 및 virus 등 공격성 L4 port 정의
ip any any tcp any 707
apply
flow tcp_4444 create
ip any any tcp any 4444
apply
flow admin telnet_permit create => 시스템에 접속 허용할 네트워크 정의
ip 2.1.1.0/24 any tcp any 23
apply
flow admin telnet_deny create => 시스템에 접속 차단할 네트워크 정의
ip any any tcp any 23
apply
class L4_deny flow udp_1434 tcp_707 tcp_4444 tcp_139 tcp_135 => flow를 class별로 정의
class admin admin_permit flow telnet_permit ftp_permit snmp_permit
class admin admin_deny flow telnet_deny ftp_deny snmp_deny
! policy L4_deny create => worm 및 virus 등 공격성 L4 port 차단
include-class L4_deny
priority low
interface-binding port ingress any
action match deny
apply
policy admin permit create => 시스템에 특정 네트워크 허용
include-class admin_permit
priority medium
action match permit
apply
policy admin deny create => 시스템에 그 외 모든 네트워크 차단
include-class admin_deny
priority low
action match deny
apply
ip route 0.0.0.0/0 2.1.1.254
! ip tcp ignore rst-unknown => tcp syn attack 방지 설정
ip tcp syncookies
ip dhcp snooping => dhcp snooping enable
ip dhcp verify mac-address => shooter등에 의한 공격으로 인한 IP 고갈 방지
ip dhcp snooping vlan 1 => VLAN1에 대해서 dhcp snooping 설정
ip dhcp snooping arp-inspection start 3600 => ARP inspection 동작 시작 Delay 시간 설정
ip dhcp snooping trust 23-24 => uplink port 설정
snmp community rw private => SNMP 설정
snmp community ro public
2021.04.09 - [IT스터디/벤더별 자료] - 다산 보안 스위치 - Config 모음(S4324)
다산 보안 스위치 - Config 모음(S4324)
다산 보안 스위치에서 자주 사용하는 Config 명령어들 입니다. 앞에 S로 시작하는 모델들이 보안 스위치를 뜻합니다.이번 시간에는 다산 보안 스위치에 대해서 알아보도록 하겠습니다. 1. 다산 보
ja-gamma.tistory.com
2021.03.31 - [IT스터디/벤더별 자료] - 다산 스위치 - 2824G Config , 매뉴얼 및 브로셔 다운로드
다산 스위치 - 2824G Config , 매뉴얼 및 브로셔 다운로드
이번 시간에는 다산 스위치 2824G 자주 사용하는 Config를 알려드리고 매뉴얼 , 브로셔 다운로드 파일을 첨부해 드리도록 하겠습니다. 1. 다산 스위치 - 2824G Config 스위치 Config를 알아보기 전에 장비
ja-gamma.tistory.com
저의 글을 읽어 주셔서 감사합니다. 오늘도 즐거운 하루 보내세요
댓글