본문 바로가기
IT스터디/벤더별 자료

다산 스위치 - 5548G Config 명령어

by 천하무적 엔지니어 2021. 6. 16.

이번 시간에는 다산 스위치 5548G Config 명령어에 대해서 알아보도록 하겠습니다. 

 

 

1. 장비 Config 

 

 

1. 초기화 설정 설정 방법

 

V5548G# restore factory-defaults

You have to restart the system to apply the changes

V5548G# reload

Do you want to reload the system? [y/n] y

Restarting system.

주의> SFU A, B 실장 시 2 Module 다 reload 해야 합니다.

 

 

2. Hostname 설정 설정 방법

SWITCH (config)# hostname V5548G <- Hostname을 변경

SWITCH (config)# <- HOST name이 SWITCH에서 V5548G로 변경된 상태

 

 

3. 관리 IP address 설정 방법

V5548G (config)# interface default <= 가입자 Vlan

V5548G (config-if)# ip add 1.1.1.1/24 <= 장비 관리 IP 설정

V5548G (config-if)# no shutdown <= Interface 활성화

V5548G (config-if)# exit

 

 

4. SNMP 설정 설정 방법

V5548G (config)#

V5548G (config)#

snmp community public ro <= Read Only Community를 public 으로 설정

V5548G (config)# snmp community private rw <= Read write Community를 private 으로 설정

 

 

5. Default Gateway 설정 방법

V5548G (config)# ip route 0.0.0.0/0 Gateway address <= Default Gateway 설정

 

 

6. Port Media Type 설정 방법

V5548G(bridge)# port medium 2/1-12 rj45 <= CIU Module 실장 시 port 별 media type 설정

 

 

7. Admin-access-rule 설정 ( 설정 시 반드시 아래내용을 숙지하여야 합니다.)

 

1.1 Telnet, FTP, SNMP 접속 허용 및 거부 관련 flow 설정 

V5548G(config)# flow admin telnet_permit create

V5548G(config-admin-flow[telnet_permit])# ip 1.1.1.0/24 any tcp any 23

V5548G(config-admin-flow[telnet_permit])# apply

V5548G(config)# flow admin ftp_permit create

V5548G(config-admin-flow[ftp_permit])# ip 1.1.1.0/24 any tcp any 21

V5548G(config-admin-flow[ftp_permit])# apply

V5548G(config)# flow admin snmp_permit create

V5548G(config-admin-flow[snmp_permit])# ip 1.1.1.0/24 any tcp any 161

V5548G(config-admin-flow[snmp_permit])# apply => 특정 Network(운용자의 IP등 1.1.1.0/24)과 Service에 대해 정의.

V5548G(config)# flow admin telnet_deny create

V5548G(config-admin-flow[telnet_deny])# ip any any tcp any 23

V5548G(config-admin-flow[telnet_deny])# apply

V5548G(config)# flow admin ftp_deny create

V5548G(config-admin-flow[ftp_deny])# ip any any tcp any 21

V5548G(config-admin-flow[ftp_deny])# apply

V5548G(config)# flow admin snmp_deny create

V5548G(config-admin-flow[snmp_deny])# ip any any tcp any 161

V5548G(config-admin-flow[snmp_deny])# apply => 모든 Network과 Service에 대해 정의

 

 

1.2 telnet, ftp, snmp 접속 허용 및 거부 관련 class 설정

V5548G(config)# class admin admin_permit flow telnet_permit ftp_permit snmp_permit => 허용할 flow를 class로 묶음

V5548G(config)# class admin admin_deny flow telnet_deny ftp_deny snmp_deny => 차단할 flow를 class로 묶음

 

1.3 telnet, ftp, snmp 접속 허용 및 거부 관련 policy 설정 방법

V5548G(config)# policy admin permit create V5548G(config-admin-policy[permit])# include-class admin_permit

V5548G(config-admin-policy[permit])# priority medium

V5548G(config-admin-policy[permit])# action match permit

V5548G(config-admin-policy[permit])# apply => 허용할 class에 대해 허용정책 적용

V5548G(config)# policy admin deny create

V5548G(config-admin-policy[deny])# include-class admin_deny

V5548G(config-admin-policy[deny])# priority low

V5548G(config-admin-policy[deny])# action match deny

V5548G(config-admin-policy[deny])# apply => 차단할 class에 대해 차단 정책 적용

주의> Admin-access-rule 설정 시 반드시 운용자의 IP 허용을 먼저 설정해야 함.

주의> Admin-access-rule 설정은 flow => class => policer => policy 순으로 설정해야 함.

 

 

8. storm control 설정 ( 상위 uplink port 제외 ) 방법

V5548G(bridge)# storm-control broadcast 1024 1/1-2/12

V5548G(bridge)# storm-control multicast 1/1-2/12

V5548G(bridge)# storm-control dlf 1024 1/1-2/12 =>

V5548G 에서 처리하는 모든 Broadcast, multicast, dlf를 초당 1024개로 제한

 

 

9. mac-flood guard 설정 ( 상위 uplink port 제외 ) 방법

V5548G(bridge)# mac-flood-guard 1/1-2/12 200 => 특정 MAC Address에 초당 200개 이상의 Multicast, Broadcast Packet 유입 시 mac을 filter 함

 

 

10. TCP syn attack 방지 설정 방법

V5548G(config)# ip tcp ignore rst-unknown

V5548G(config)# ip tcp syncookies => TCP control packet 중 SYN Attack 방지 기능 설정

 

 

11. ARP access-list 설정 방법

V5548G(config)# arp access-list 2

V5548G(config-arp-acl[10])# permit dhcp-snoop-inspection

V5548G(config-arp-acl[10])# permit ip host 2.1.1.2 mac 00:d0:cb:00:00:01 => ARP inspection 기능 동작 시 ARP table에 등록 할 조건에 대해 선언을 하게 됩니다. ARP inspection 설정 시 해당 list에 permit으로 선언되지 않은 ARP packet에 대해서는 모두 차단을 하여, 고정 IP 사용자 및 arp spoofing으로 인한 문제를 해결하게 됩니다. => dhcp 가입자와 하단의 L2 장비들에 대해 permit 설정.

 

 

12. ARP inspection 설정 방법

V5548G(config)# ip arp inspection validate dst-mac src-mac ip

V5548G(config)# ip arp inspection vlan 2

V5548G(config)# ip arp inspection filter 2 vlan 2 => ARP inspection 설정을 통해 DHCP Server 환경 및 DHCP Relay 환경 하에서 고정 IP 가입자 차단 및 arp spoofing attack을 방지합니다. 기능의 기본적인 동작을 위해서는 ip arp inspection vlan + ip arp inspection filter ACL vlan 이 설정되어야 하며, 이 둘 중 하나라도 설정이 누락되면, 기능 동작은 이루어지지 않습니다. 추가 option으로 ip arp inspection validate는 ARP packet의 유효성 검사를 통해 변조된 ARP packet에 대해 ARP 등록 차단을 하게 됩니다.

주의> Filter로 선언된 ACL에 아무런 permit list가 존재하지 않으면 설정된 vlan 하단의 모든 장비 및 host는 통신이 차단되므로 arp access-list 설정 시 주의를 하시기 바랍니다.

 

 

 

 

저의 글을 읽어 주셔서 감사합니다. 오늘도 즐거운 하루 보내세요.

 

728x90
반응형
저작자표시 비영리 변경금지

관련글

댓글

티스토리툴바