본문 바로가기
IT스터디/벤더별 자료

다산 스위치 - 5424G 명령어 모음

by 천하무적 엔지니어 2021. 3. 9.

다산 스위치  5424G 설정하는 명령어를 모아봤습니다. 다산은 장비별로 config가 조금씩 틀려서 다 외우고 다니기는 힘들죠. 그래도 모르시면 우리에게는? 가 있으니 많이 이용하시면서 세팅해보시기 바랍니다.

 

 

1. Configuration 설정 내용 확인

 

V5424G# show running-config
 
hostname V5424G
!
time-zone GMT+9                           => 대한민국 표준 시 설정
!
ntp 203.254.163.74                        => NTP Server 설정(한국 표준 과학연구원 표준시 서버)
!
syslog output info local volatile
syslog output info local non-volatile
!
cpu statistics-limit unicast 1-24 10   => 임계치 이상의 packet이 CPU로 올라오거나, 혹은 CPU에서 나갈 때
cpu statistics-limit multicast 1-24 10        시스로그를 발생시켜, loop 혹은 악의적인 공격 감시
cpu statistics-limit broadcast 1-24 10        * 전 port 설정
 
ip ecmp-hash sip-dip
service dhcp
!
rule extension
!
bridge
vlan create 2
 !
vlan add default 1-20,25-36 untagged
 vlan add br2 21-24 untagged
 !
 vlan pvid 1-20,25-36 1
 vlan pvid 21-24 2
 !
 storm-control broadcast 1024 1-20      => broadcast, multicast, dlf에 대한 storm-control, 업링크 제외
 storm-control multicast 1024 1-20
 storm-control dlf 1024 1-20
 !
 mac-flood-guard 1-20 200   => cpu로 임계치 이상의 패킷 유입 시 해당 mac을 aging time 동안 차단
 !
interface lo
 no shutdown
!
interface default
 no shutdown
 ip address 1.1.1.1/24
 ip dhcp helper-address 5.1.1.1     => DHCP Server ip 설정
!
interface br2
 no shutdown
 ip address 2.1.1.1/24
!
 


ip martian-filter default            => interface 설정된 IP 대역 이외에 Drop 하는 설정
!
arp patrol 2 5 1                            => Gratuitous ARP 설정
arp access-list 10                            => ARP table에 등록할 IP 및 MAC address 지정
 permit ip host 1.1.1.2 mac 00:01:01:01:01:01  - 하단의모든 L2장비에 대해 IP와 MAC을 등록
 permit dhcp-snoop-inspection                  - DHCP 사용자에 대해 등록
deny ip any mac any                           
!
ip arp inspection validate src-mac dst-mac ip  => ARP Packet의 유효성 확인
ip arp inspection vlan 1                        - 기능에 대한 Global 설정으로 가입자 VLAN만 설정
ip arp inspection filter 10 vlan 1              - arp access-list에 선언된 list에 대해서만
!                                                 ARP table에 등록하여 통신 허용함.
flow udp_1434 create                      
  ip any any udp any 1434
  apply
flow tcp_707 create                       => worm 및 virus 등 공격성 L4 port 정의
  ip any any tcp any 707
  apply
flow tcp_4444 create
  ip any any tcp any 4444
  apply
flow tcp_139 create
  ip any any tcp any 139
  apply
flow tcp_135 create
  ip any any tcp any 135
  apply
flow admin telnet_permit create           => 시스템에 접속 허용할 네트워크 정의
  ip 2.1.1.0/24 any tcp any 23
  apply
flow admin ftp_permit create
  ip 2.1.1.0/24 any tcp any 21
  apply 
flow admin snmp_permit create
  ip 2.1.1.0/24 any tcp any 161
  apply
flow  admin telnet_deny create             => 시스템에 접속 차단할 네트워크 정의
  ip any any tcp any 23
  apply
flow admin ftp_deny create
  ip any any tcp any 21
  apply
flow admin snmp_deny create
  ip any any tcp any 161
apply
!
class L4_deny flow udp_1434 tcp_707 tcp_4444 tcp_139 tcp_135        => flow를 class별로 정의
class admin admin_permit flow telnet_permit ftp_permit snmp_permit
class admin admin_deny flow telnet_deny ftp_deny snmp_deny
!
policy L4_deny create                       => worm 및 virus 등 공격성 L4 port 차단
  include-class L4_deny
priority low
interface-binding port ingress any
  action match deny
  apply

 


policy admin permit create                  => 시스템에 특정 네트워크 허용
  include-class admin_permit
  priority medium
  action match permit
  apply
policy admin deny create                    => 시스템에 그 외 모든 네트워크 차단
  include-class admin_deny
  priority low
  action match deny
  apply
!
ip route 0.0.0.0/0 2.1.1.254
!
ip tcp ignore rst-unknown      => tcp syn attack 방지 설정
ip tcp syncookies
!
ip dhcp snooping                            => dhcp snooping enable
ip dhcp verify mac-address                  => shooter등에 의한 공격으로 인한 IP 고갈 방지
ip dhcp snooping vlan 1                     => VLAN1에 대해서 dhcp snooping 설정
ip dhcp snooping arp-inspection start 3600  => ARP inspection 동작 시작 Delay 시간 설정
ip dhcp snooping trust  23-24               => uplink port 설정
!                                           
snmp community rw private                 => SNMP 설정
snmp community ro public
!
end

저의 글을 읽어 주셔서 감사합니다. 오늘도 즐거운 하루 보내세요.

 

728x90
반응형

댓글