다산 스위치 5424G 설정하는 명령어를 모아봤습니다. 다산은 장비별로 config가 조금씩 틀려서 다 외우고 다니기는 힘들죠. 그래도 모르시면 우리에게는? 가 있으니 많이 이용하시면서 세팅해보시기 바랍니다.
1. Configuration 설정 내용 확인
V5424G# show running-config
hostname V5424G
!
time-zone GMT+9 => 대한민국 표준 시 설정
!
ntp 203.254.163.74 => NTP Server 설정(한국 표준 과학연구원 표준시 서버)
!
syslog output info local volatile
syslog output info local non-volatile
!
cpu statistics-limit unicast 1-24 10 => 임계치 이상의 packet이 CPU로 올라오거나, 혹은 CPU에서 나갈 때
cpu statistics-limit multicast 1-24 10 시스로그를 발생시켜, loop 혹은 악의적인 공격 감시
cpu statistics-limit broadcast 1-24 10 * 전 port 설정
ip ecmp-hash sip-dip
service dhcp
!
rule extension
!
bridge
vlan create 2
!
vlan add default 1-20,25-36 untagged
vlan add br2 21-24 untagged
!
vlan pvid 1-20,25-36 1
vlan pvid 21-24 2
!
storm-control broadcast 1024 1-20 => broadcast, multicast, dlf에 대한 storm-control, 업링크 제외
storm-control multicast 1024 1-20
storm-control dlf 1024 1-20
!
mac-flood-guard 1-20 200 => cpu로 임계치 이상의 패킷 유입 시 해당 mac을 aging time 동안 차단
!
interface lo
no shutdown
!
interface default
no shutdown
ip address 1.1.1.1/24
ip dhcp helper-address 5.1.1.1 => DHCP Server ip 설정
!
interface br2
no shutdown
ip address 2.1.1.1/24
!
ip martian-filter default => interface 설정된 IP 대역 이외에 Drop 하는 설정
!
arp patrol 2 5 1 => Gratuitous ARP 설정
arp access-list 10 => ARP table에 등록할 IP 및 MAC address 지정
permit ip host 1.1.1.2 mac 00:01:01:01:01:01 - 하단의모든 L2장비에 대해 IP와 MAC을 등록
permit dhcp-snoop-inspection - DHCP 사용자에 대해 등록
deny ip any mac any
!
ip arp inspection validate src-mac dst-mac ip => ARP Packet의 유효성 확인
ip arp inspection vlan 1 - 기능에 대한 Global 설정으로 가입자 VLAN만 설정
ip arp inspection filter 10 vlan 1 - arp access-list에 선언된 list에 대해서만
! ARP table에 등록하여 통신 허용함.
flow udp_1434 create
ip any any udp any 1434
apply
flow tcp_707 create => worm 및 virus 등 공격성 L4 port 정의
ip any any tcp any 707
apply
flow tcp_4444 create
ip any any tcp any 4444
apply
flow tcp_139 create
ip any any tcp any 139
apply
flow tcp_135 create
ip any any tcp any 135
apply
flow admin telnet_permit create => 시스템에 접속 허용할 네트워크 정의
ip 2.1.1.0/24 any tcp any 23
apply
flow admin ftp_permit create
ip 2.1.1.0/24 any tcp any 21
apply
flow admin snmp_permit create
ip 2.1.1.0/24 any tcp any 161
apply
flow admin telnet_deny create => 시스템에 접속 차단할 네트워크 정의
ip any any tcp any 23
apply
flow admin ftp_deny create
ip any any tcp any 21
apply
flow admin snmp_deny create
ip any any tcp any 161
apply
!
class L4_deny flow udp_1434 tcp_707 tcp_4444 tcp_139 tcp_135 => flow를 class별로 정의
class admin admin_permit flow telnet_permit ftp_permit snmp_permit
class admin admin_deny flow telnet_deny ftp_deny snmp_deny
!
policy L4_deny create => worm 및 virus 등 공격성 L4 port 차단
include-class L4_deny
priority low
interface-binding port ingress any
action match deny
apply
policy admin permit create => 시스템에 특정 네트워크 허용
include-class admin_permit
priority medium
action match permit
apply
policy admin deny create => 시스템에 그 외 모든 네트워크 차단
include-class admin_deny
priority low
action match deny
apply
!
ip route 0.0.0.0/0 2.1.1.254
!
ip tcp ignore rst-unknown => tcp syn attack 방지 설정
ip tcp syncookies
!
ip dhcp snooping => dhcp snooping enable
ip dhcp verify mac-address => shooter등에 의한 공격으로 인한 IP 고갈 방지
ip dhcp snooping vlan 1 => VLAN1에 대해서 dhcp snooping 설정
ip dhcp snooping arp-inspection start 3600 => ARP inspection 동작 시작 Delay 시간 설정
ip dhcp snooping trust 23-24 => uplink port 설정
!
snmp community rw private => SNMP 설정
snmp community ro public
!
end
저의 글을 읽어 주셔서 감사합니다. 오늘도 즐거운 하루 보내세요.
댓글