V5924B 표준 Configuration
▣ Sample Configuration 설정 내용 확인
V5924B(config)# sh run
!
hostname V5924B
!
time-zone GMT+9
!
ntp 203.254.163.74
ntp start
!
threshold cpu 70 60 30 5
=> cpuload 임계값 설정(low 값을 5초에서 60초로 수정 요망)
!
syslog start
syslog output info local volatile
syslog output info local non-volatile
!
ip igmp multicast-filter
=> 불필요한 멀티캐스트 flooding 방지
!
bridge
!
vlan add default 1-42 untagged
!
vlan pvid 1-42 1
!
max-hosts 1-24 1
=> 업링크 포트 제외
!
storm-control broadcast 400 1-24
=> 브로드캐스트 패킷에 대한 storm control, 업링크 제외
storm-control multicast 400 1-24
=> 멀티케스트 패킷에 대한 storm control, 업링크 제외
storm-control dlf 400 1-24
=> DLF 패킷에 대한 storm control, 업링크 제외
!
mac-flood-guard 1-24 400
=> mac-flood-guard와 dhcp filter는 업링크 제외하고 설정
!
netbios-filter 1-24
!
dhcp-server-filter 1-24
!
loop-detect enable
=> 업링크 포트 제외
loop-detect 1-24
loop-detect 1-24 block
loop-detect 1-24 period 5
loop-detect 1-24 timer 300
!
cpu-flood-guard enable
=> 업링크 포트 제외
cpu-flood-guard 1-24 400
cpu-flood-guard 1-24 timer 300
!
line-config-profile DEFVAL
down-target-snr-mgn 24
up-target-snr-mgn 24
down-snr-min-margin 20
up-snr-min-margin 20
down-slow-max-datarate 0
-I-
up-slow-max-datarate 0
down-slow-min-datarate 0
up-slow-min-datarate 0
down-max-inter-delay 2
up-max-inter-delay 2
active
!
set line-config-profile DEFVAL add 1-24
!
line-config-profile lite
=> - Line-config-profile별로 Name 설정
down-target-snr-mgn 28
- datarate값을 0으로 설정하면 현 Line-Rate값의 최대로
up-target-snr-mgn 32
잡는 관계로 필히 “0”이외의 숫자 입력 요망
down-snr-min-margin 20
up-snr-min-margin 20
down-slow-max-datarate 4000
up-slow-max-datarate 4000
down-slow-min-datarate 0
up-slow-min-datarate 0
down-max-inter-delay 2
up-max-inter-delay 2
active
!
line-config-profile premium
down-target-snr-mgn 28
up-target-snr-mgn 32
down-snr-min-margin 20
up-snr-min-margin 20
down-slow-max-datarate 13000
up-slow-max-datarate 4000
down-slow-min-datarate 0
up-slow-min-datarate 0
down-max-inter-delay 2
up-max-inter-delay 2
active
!
!
alarm-config-profile DEFVAL
thresh-15min-lofs 0
thresh-15min-loss 0
thresh-15min-lols 0
thresh-15min-ess 0
thresh-15min-sess 0
thresh-15min-uass 0
active
!
set alarm-config-profile DEFVAL add 1-24
!
lre 1-24 up
!
!
interface noshutdown lo
interface noshutdown default
!
interface default
ip address 211.218.229.28/24
!
threshold temp 50 -10
=> 장비 온도 임계치 설정
- II -
!
rule udp_1434 create
priority low
port any any
ip any any udp any
match deny
apply
rule tcp_4444 create
priority low
port any any
ip any any tcp any
match deny
apply
rule tcp_707 create
priority low
port any any
ip any any tcp any
match deny
apply
rule tcp_445 create
priority low
port any any
ip any any tcp any
match deny
apply
=> 유해트래픽 차단 rule 설정
1434
4444
707
445
ip route 0.0.0.0/0 211.218.229.1
!
ip tcp ignore rst-unknown
=> tcp syn attack 방지 설정
ip tcp syncookies
!
ip igmp snooping
=> IGMP 기본 설정
ip igmp snooping fast-leave
!
ip igmp profile 1
=> 불필요한 멀티캐스트
deny
range 239.255.255.250 239.255.255.250
=> 불필요한 멀티캐스트
!
ip igmp filter port 1 profile 1
=> 불필요한 멀티캐스트
ip igmp filter port 2 profile 1
※ 업링크 구분 없이
--- 생 략--ip igmp filter port 23 profile 1
ip igmp filter port 24 profile 1
ip igmp filter port 25 profile 1
ip igmp filter port 26 profile 1
ip igmp filter port 27 profile 1
ip igmp filter port 28 profile 1
!
snmp community ro public
snmp community rw private
snmp trap-host IP_Access_NMS_IP
!
end
- III -
그룹 등록 방지 프로파일 설정
그룹 239.255.255.250 그룹 선언
그룹 등록하지 않을 포트 설정
전체 포트에 설정해도 무관함
- 기 능 설 명 ▣ 기본 설정
▶ Login 방법
방 법
SWITCH login: admin
Password:
SWITCH> enable
: default 로긴 ID는 'admin'
: default password는 없슴 (엔터 key 입력 )
: 로긴 시 최초 View Mode 진입하며,
'enable'을 입력해야 TOP mode진입 가능
▶ Hostname과 password 설정
방 법
SWITCH(config)# hostname V5924B
: Hostname을 변경
V5924B(config)#
: 변경후 SWITCH에서 V5924B로 변경된 상태
V5924B(config)# passwd
Changing password for admin
Enter the new password (minimum of 5, maximum of 8 characters)
Please use a combination of upper and lower case letters and numbers.
Enter new password:
: 입력한 password는 display 되지 않음
Re-enter new password:
Password changed.
V5924B(config)#
▶ 관리 IP address 및 default gateway 설정
방 법
V5924B(config)# interface 1
V5924B(config-if)# ip add 100.1.1.1/24
V5924B(config-if)# no shutdown
V5924B(config-if)# exit
V5924B(config)# ip route 0.0.0.0/0 100.1.1.254
▶ SNMP 설정
방 법
V5924B(config)# snmp community ro public
V5924B(config)# snmp community rw private
V5924B(config)# snmp trap-host IP_Access_NMS_IP
▶ NTP 설정
- IV -
: 가입자 Vlan 이름은
: 장비관리 IP 설정
: Interface 활성화
: default gateway 설정
' 1 ' ( br1이 아님 )
방 법
V5924B(config)# time-zone GMT+9
: 대한민국 표준 시 설정
V5924B(config)# ntp 203.254.163.74
: ntp 서버 설정
V5924B(config)# ntp start
: ntp 프로세스 시작
▣ 추가 설정
▶ Rule 설정
방 법
1.1 SQL_Overflow worm virus 방지
V5924B(config)# rule udp_1434 create
V5924B(config-rule[udp_1434])# ip any any udp any 1434
V5924B(config-rule[udp_1434])# match deny
V5924B(config-rule[udp_1434])# apply
V5924B(config-rule[udp_1434])# exit
1.2 Win32/Blaster.worm.6176 virus 방지
V5924B(config)# rule tcp_4444 create
V5924B(config-rule[tcp_4444])# ip any any tcp any 4444
V5924B(config-rule[tcp_4444])# match deny
V5924B(config-rule[tcp_4444])# apply
V5924B(config-rule[tcp_4444])# exit
1.3 Wechia.worm virus 방지
V5924B(config)# rule tcp_707 create
V5924B(config-rule[tcp_707])# ip any any tcp any 707
V5924B(config-rule[tcp_707])# match deny
V5924B(config-rule[tcp_707])# apply
V5924B(config-rule[tcp_707])# exit
1.4 NBT ( Netbios over TCP/IP) 방지
V5924B(config)# rule tcp_445 create
V5924B(config-rule[tcp_445])# ip any any tcp any 445
V5924B(config-rule[tcp_445])# match deny
V5924B(config-rule[tcp_445])# apply
V5924B(config-rule[tcp_445])# exit
▶ Max Hosts 변경 ( default 상태는 Tx port에 대해 ‘1’로 설정되어 있슴 )
방 법
V5924B(bridge)# max-hosts 1-24
1
: 가입자 포트만 설정
▶ CPU 와 장비 온도 임계치 설정
-V-
방 법
V5924B(config)# threshold cpu 70 60 30 60
: V5924B 스위치는 임계치가 두 종류 즉, high threshold와 low threshold로 구분되며,
위 설정은 ‘high threshold가 90%이상 60초 유지 시’
‘low threshold가 70%이상 60초 유지 시’ 경보 발생으로 설정한 예
V5924B(config)# threshold temp 50 -10
: V5924B 스위치는 임계치가 두 종류 즉, high threshold와 low threshold로 구분되며
위 설정은 ‘high threshold가 55도 이상 초과 시 ’
‘ low threshold가 50도 이상 초과 시 ’ 경보 발생으로 설정한 예
▶ NETBIOS-Filter 설정
방 법
V5924B(bridge)# netbios-filter 1-24
: PC간 netbios 공유차단
▶ DHCP-SERVER-FILTER 설정
방 법
V5924B(bridge)# dhcp-server-filter 1-24
: 사설 IP할당 방지 위한 설정
▣ 유해트래픽 차단 설정
▶ storm control 설정
방 법
V5924B(bridge)#
V5924B(bridge)#
V5924B(bridge)#
storm-control broadcast
storm-control multicast
storm-control dlf
400 1-24
400 1-24
400 1-24
: 브로드캐스트 각 포트당 400개로 제한
: 멀티캐스트 각 포트당 400개로 제한
: dlf 각 포트당 400개로 제한
※ 주 의
V5924B(bridge)# storm-control multicast 400 1-24
장비의 포트에서 유입되는 멀티캐스트도 제한을 할 수 있지만, 업링크에 제한을 적용할 시에
IPTV 서비스가 원활하지 않을 수 있으므로, 반드시 업링크 포트는 멀티캐스트 storm-control을
설정하지 않아야 한다.
▶ mac-flood guard 설정
방 법
V5924B(bridge)# mac-flood-guard 1-24 100
: 가입자 포트에만 적용
▶ TCP syn attack 방지 설정
방 법
V5924B(config)# ip tcp syncookies
V5924B(config)# ip tcp ignore rst-unknown .
▶ ARP-patrol
방 법
V18xx(config)# arp-patrol 2 5 1
: 장비와 ip충돌에 의한 장애 방지 설정
- VI -
▣ Multicast 설정
▶ Multicast 기본 설정
방 법
V5924B(config)# ip igmp snooping
V5924B(config)# ip igmp snooping fast-leave
V5924B(config)# ip igmp multicast-filter
: IGMP snooping 설정
: IGMP fast-leave 설정
: 불필요한 멀티캐스트 스트림 플러딩 방지
▶ Multicast filter
방 법
V5924B(config)# ip igmp profile 1
V5924B(config-igmp-profile[1])# range 239.255.255.250
V5924B(config-igmp-profile[1])# deny
V5924B(config-igmp-profile[1])# exit
V5924B(config)# ip igmp filter port 1-26 profile 1
:
불필요한 Multicast group을 filter
▣ 필수 설정
▶ Threshold cpu 설정
방 법
V5924B(config)# threshold cpu 70 60 30 5 -> sample config에 설정된 값 변경 요망
V5924B(config)# threshold cpu 70 60 30 60 -> low값을 5초에서 60초로 변경 요망
-> default값인 관계로 “show running-config에는
보여주기 않음
▶ channel 설정
방 법
V5924B(bridge)# lre 1-24 channel fast -> sample config에서 설정되어 있지 않음(필히 설정 요망)
▶ line-config-profile 설정
방 법
V5924B(bridge)# set line-config-profile Service1 add 1-24 -> Service1에 포트를 종속시킴
▶ Interface IP 설정
방 법
V5924B(config)# interface 1 -> 해당 Interface로 들어간다.
V5924B(config-if)# ip add 장비IP -> 해당 장비 IP를 설정한다.
▶ SNMP trap-host 설정
방 법
V5924B(config)# snmp trap-host Access_NMS_IP -> NMS Server IP 설정
- VII -