V4208 Sample Configuration (주) 다산네트웍스 기술지원센타 Enterprise팀 다산네트웍스 기술지원센타 Version 작성자 작성 일시 V1.0 정경호 2007/08/13 수정 내용 최초 작성 다산네트웍스 기술지원센타 ▣ Sample Configuration 설정 내용 확인 Current configuration: hostname V4208 ! manage-ac-list 101.1.1.0/24 set threshold ip block-time 1 set threshold ip count 5 ! bridge set vlan del vlan1 u1 set vlan del vlan1 u2 set vlan create vlan2 2 set vlan add vlan2 u1 untagged set vlan add vlan2 u2 untagged set vlan pvid u1 2 set vlan pvid u2 2 -> admin access rule에 해당됨( 설정된 대역 외에 remote 접속 불가) -> IP별 threshold 설정에 관한 값으로 default 값으로 display만 되며 실제 동작은 disable 상태임 -> Vlan 설정이며, 설정 후 다음과 같이 확인 가능 V4208# show vlan U: Untagged port, T: Tagged port ================================================= Name VID d1 d2 d3 d4 d5 d6 d7 d8 u1 u2 ------------------------------------------------vlan1 1 U U U U U U U U . . vlan2 2 . . . . . . . . U U set storm-control bmd 300 -> Storm Control로 Broadcast, multicast, DLF에 대해 각 300pps 제어 설정 ! qos max-bps link both 50000 -> PC방에서 service 되는 회선 대역폭 설정으로 현재 50Mbps 설정 max-bps express auto 50 max-bps kernel 2000 max-pps link 80000 max-pps kernel 2000 max-pps icmp outb 300 -> ICMP 에 대해 300pps 제한 설정 max-pps icmp inb 300 max-pps service kernel 20-23,123,161-162,513-514,3490 2000 set qos-mode dynamic -> EMS를 연동하지 않을 경우 반드시 dynamic 유지 set sharing-mode tcp set pps-limit enable set burst-size 100 ! switch-rule spqdp6112 -> 특정 Game에 대해 Delay 최소화를 위한 express mode 적용 set classify ingress-port d1,d2,d3,d4,d5,d6,d7,d8 set classify egress-port u1,u2 set classify dstport 6112 set action express start ! switch-rule spqsp6112 set classify ingress-port u1,u2 set classify egress-port d1,d2,d3,d4,d5,d6,d7,d8 set classify srcport 6112 set action express start ! switch-rule spqdp2000 set classify ingress-port d1,d2,d3,d4,d5,d6,d7,d8 set classify egress-port u1,u2 set classify dstport 2000 set action express start 다산네트웍스 기술지원센타 ! switch-rule spqsp2000 set classify ingress-port u1,u2 set classify egress-port d1,d2,d3,d4,d5,d6,d7,d8 set classify srcport 2000 set action express start ! switch-rule drop80 -> 외부망에서 내부망으로 접속하는 web session(ex. Code red) 차단 set classify ingress-port u1,u2 set classify dstport 80 set action drop start ! switch-rule drop135 -> Virus성 packet 차단 set classify ingress-port u1,u2 set classify dstport 135 set classify ip-protocol 0x06 set action drop start ! switch-rule drop139 set classify ingress-port u1,u2 set classify dstport 139 set classify ip-protocol 0x06 set action drop start ! switch-rule drop445 set classify ingress-port u1,u2 set classify dstport 445 set classify ip-protocol 0x06 set action drop start ! switch-rule drop1433 set classify dstport 1433 set classify ip-protocol 0x11 set action drop start switch-rule drop1434 set classify dstport 1434 set classify ip-protocol 0x11 set action drop start ! switch-rule drop4444 set classify ingress-port u1,u2 set classify dstport 4444 set classify ip-protocol 0x06 set action drop start ! switch-rule srcip0 set classify srcip 0.0.0.0/32 다산네트웍스 기술지원센타 set action drop start ! switch-rule drop_sbrd set classify srcip 255.255.255.255/32 set action drop start ! switch-rule drop22 set classify ingress-port u1,u2 set classify dstport 22 set action drop start ! Security -> 가입자 망의 Source IP 를 제외한 SRC IP 변조 packet 차단 set ip-spoofing-filter d1,d2,d3,d4,d5,d6,d7,d8 101.1.1.0/24 ! interface vlan1 -> 가입자 Network ip address 101.1.1.254/24 ! interface vlan2 -> 상단 L3 연동 serial network ip address 11.1.1.2/30 ! ip route 0.0.0.0/0 11.1.1.1 -> Default Gateway 설정 set system-ip-address 101.1.1.254 -> 시스템 agent IP address(EMS 연동 등에 사용됨) ! snmp community ro public -> SNMP / Syslog 설정 snmp community rw private snmp trap-host 200.1.1.100 syslog output info local volatile syslog output err local non-volatile syslog output info remote 200.1.1.100 syslog start ! 다산네트웍스 기술지원센타 - 기 능 설 명 I. 기본 설정 Hostname 설정 V4208(config)# hostname V4208 Hostname을 V4208로 변경 함. VLAN 설정 V4208(config)# bridge V4208(bridge)# set vlan create vlan2 2 V4208(bridge)# set vlan add vlan2 u1,u2 untagged V4208(bridge)# set vlan pvid u1,u2 2 V4208(bridge)# set vlan del vlan1 u1,u2 V4208(bridge)# show vlan U: Untagged port, T: Tagged port ================================================= Name VID d1 d2 d3 d4 d5 d6 d7 d8 u1 u2 ------------------------------------------------vlan1 1 U U U U U U U U . . vlan2 2 . . . . . . . . U U V4208(bridge)# VLAN을 설정함. IP Address 설정 V4208(bridge)# interface vlan1 V4208(config-if)# ip address 101.1.1.254/24 V4208(config-if)# interface vlan2 V4208(config-if)# ip address 11.1.1.2/30 V4208(config-if)#exit 가입자 및 serial 구간에 대해 IP address 설정 Default Gateway 설정 V4208(config)# ip route 0.0.0.0/0 11.1.1.1 Default Gateway를 상위 L3스위치 IP인 11.1.1.1로 설정함. 시스템 대역폭 설정 다산네트웍스 기술지원센타 V4208(config)# qos V4208(config-qos)# max-bps link both 30000 PC방에 서비스 되는 속도를 30Mbps로 설정. L3 스위치 설정 완료 및 이상의 V4208 설정 시 정상적인 서비스 및 QoS 동작 가능 Ⅱ 주요 기능 설정 ICMP에 대한 pps 제어 설정 V4208(config)# qos V4208(config-qos)# max-pps icmp outb 300 V4208(config-qos)# max-pps icmp inb 300 V4208(config-qos)# set pps-limit enable ICMP에 대해 300pps로 제한 설정(정상적인 ICMP 및 Attack에 대해 모두 적용됨). Rule 설정(express mode 및 drop) V4208(config)# switch-rule spqsp6112 V4208(config-rule)# set classify ingress-port u1,u2 V4208(config-rule)# set classify egress-port d1,d2,d3,d4,d5,d6,d7,d8 V4208(config-rule)# set classify srcport 6112 V4208(config-rule)# set action express V4208(config-rule)# start V4208(config-rule)# Starcraft에 대해 express mode 적용하여 delay를 최소화 시키고 기타 warm 및 virus에 대해 차단 설정 SNMP 설정 V4208(config)# snmp community ro public V4208(config)# snmp community rw private V4208(config)# snmp trap-host 200.1.1.100 SNMP Read-Only에의 Community를 “public”로 Read-Write의 Community를 “private”로 설정.(실제는 정해진 string 사용) Trap-Host를 NMS IP Address로 설정. Syslog 설정 V4208(config)# syslog start V4208(config)# syslog output info remote 200.1.1.100 V4208(config)# syslog output info local volatile 다산네트웍스 기술지원센타 V4208(config)# syslog output info local non-volatile V4208은 default syslog disable 상태임 Remote Syslog server는 지정된 syslog server IP로 설정하며 3개까지 설정 가능. Source IP Spoofing 설정 V4208(config)#security V4208(config-security)# set ip-spoofing-filter d1-d8 101.1.1.0/24 반드시 가입자 Port와 network에 대해서만 적용, uplink나 network 설정이 잘못되었을 경우 통신 불가 Admin access rule 설정 V4208(config)# V4208(config)# manage-ac-list 101.1.1.0/24 V4208(config)# manage-ac-list 200.1.1.0/24 Telnet을 통하여 manage-ac-list(admin access rule) 설정 시 반드시 현재 접속중인 network를 가장 먼저 설정 할 것 Telnet, SNMP, FTP 가 동시에 적용됨 lll 기타 EMS 연동이 필요할 경우 V4208_설치가이드_V5124F_L3설정.ppt 참조 다산네트웍스 기술지원센타
© Copyright 2026 Paperzz