V5924C Sample Configuration (주) 다산네트웍스 기술지원센타 기술지원부 TPS팀 다산네트웍스 기술지원센타 Version 작성자 작성 일시 수정 내용 V1.0 정경호 2007/01/12 4.04 최초 작성 V1.1 정경호 2007/11/29 4.05 작성. Cpu statistic-limit 설정. Upnp 차단 설정 다산네트웍스 기술지원센타 ▣ Sample Configuration 설정 내용 확인 V5924C# sh run ! hostname V5924C ! time-zone GMT+9 => 대한민국 표준 시 설정 ! ntp 203.254.163.74 => NTP Server 설정(한국표준 과학연구원 표준시 서버) ! syslog output info local volatile syslog output info local non-volatile ! cpu statistics-limit unicast 1-28 10 => 임계치 이상의 packet이 CPU로 올라오거나, 혹은 CPU에서 나갈 때 cpu statistics-limit multicast 1-28 10 시스로그를 발생시켜, loop 혹은 악의적인 공격 감시 cpu statistics-limit broadcast 1-28 10 * 전 port 설정 ! bridge ! vlan add default 1-33 untagged ! vlan pvid 1-33 1 ! storm-control broadcast 1024 1-24 => broadcast, multicast, dlf에 대한 storm-control storm-control multicast 업링크 제외 storm-control dlf 1024 ! mac-flood-guard 1-24 100 => cpu로 임계치 이상의 패킷 유입 시 해당 mac을 aging time 동안 차단 ! rate 1-24 99968 ! netbios-filter 1-24 => 가입자 간 공유제한 설정 ! dhcp-server-filter 1-24 => 가입자에서 올라오는 DHCP offer packet 차단 ! port security 1-24 => Max-Host 설정. Default maximum mac 1 port security 1-24 violation restrict => 유입되는 packet을 drop 시키지만 port는 enable 상태 다산네트웍스 기술지원센타 port security 1-24 aging time 5 => aging time 후 초과된 mac은 mac entry에서 삭제 ! loop-detect enable => 1-24번 포트 loop-detect enable loop-detect 1-24 loop detect 되면 해당 port 300초 동안 block loop-detect 1-24 block 3초 간격으로 detecting packet 전송 loop-detect 1-24 period 3 loop-detect 1-24 timer 300 ! cpu-flood-guard enable cpu-flood-guard 1-24 100 => cpu로 유입되는 packet이 초당 100개 이상일 시 해당 port를 300초 동안 blcok cpu-flood-guard 1-24 timer 300 ! line-config-profile DEFVAL down-target-snr-mgn 24 up-target-snr-mgn 24 down-snr-min-margin 20 up-snr-min-margin 20 down-slow-max-datarate 0 up-slow-max-datarate 0 down-slow-min-datarate 0 up-slow-min-datarate 0 down-max-inter-delay 1 up-max-inter-delay 1 active ! line-config-profile 100M => 100M profile 설정 down-target-snr-mgn 32 => download margin 설정 up-target-snr-mgn 32 => upload margin 설정 down-snr-min-margin 20 up-snr-min-margin 20 down-slow-max-datarate 100000 => download 속도 설정 up-slow-max-datarate 100000 => upload 속도 설정 down-slow-min-datarate 0 up-slow-min-datarate 0 down-max-inter-delay 1 up-max-inter-delay 1 active 다산네트웍스 기술지원센타 ! line-config-profile 100M add 1-24 => 1-24번 port에 100M profile 적용 ! alarm-config-profile thresh-15min-lofs 0 thresh-15min-loss 0 thresh-15min-lols 0 thresh-15min-ess 0 thresh-15min-sess 0 thresh-15min-uass 0 active ! alarm-config-profile DEFVAL add 1-24 ! lre 1-24 snr-target-margin 8 up lre 1-24 snr-target-margin 8 down ! lre 1-24 up ! ! interface noshutdown lo ! interface noshutdown default ! interface default ip address 1.1.1.1/24 ! flow tcp_135 create => worm 및 virus 등 공격성 L4 port 정의 ip any any tcp any 139 apply flow tcp_139 create ip any any tcp any 139 apply flow tcp_707 create ip any any tcp any 707 apply flow udp_1434 create 다산네트웍스 기술지원센타 ip any any udp any 1434 apply flow tcp_4444 create ip any any tcp any 4444 apply flow udp_3702 create ip any any ucp 3702 any apply flow admin telnet_permit create => 시스템에 접속 허용할 네트워크 정의 ip 2.1.1.0/24 any tcp any 23 apply flow admin ftp_permit create ip 2.1.1.0/24 any tcp any 21 apply flow admin snmp_permit create ip 2.1.1.0/24 any tcp any 161 apply flow admin telnet_deny create => 시스템에 접속 차단할 네트워크 정의 ip any any tcp any 23 apply flow admin ftp_deny create ip any any tcp any 21 apply flow admin snmp_deny create ip any any tcp any 161 apply ! class L4_deny flow tcp_135 tcp_139 tcp_707 udp_1434 udp_3702 tcp_4444 => flow를 class별로 정의 class admin admin_permit flow telnet_permit ftp_permit snmp_permit class admin admin_deny flow telnet_deny ftp_deny snmp_deny ! policy L4_deny create => worm 및 virus 등 공격성 L4 port 차단 include-class L4_deny priority low interface-binding port ingress any action match deny apply 다산네트웍스 기술지원센타 policy admin permit create => 시스템에 특정 네트워크 허용 include-class admin_permit priority medium action match permit apply policy admin deny create => 허용 네트워크 외 모든 네트워크 차단 include-class admin_deny priority low action match deny apply ! ip route 0.0.0.0/0 1.1.1.254 ! ip tcp ignore rst-unknown => tcp syn attack 방지 설정 ip tcp syncookies ! ip igmp profile 1 => upnp 정의. Default로 deny range 239.255.255.250 239.255.255.250 ! ip igmp filter port 1 profile 1 => 1-24 port에 igmp profile 1 적용(upnp 차단) ip igmp filter port 2 profile 1 ip igmp filter port 3 profile 1 ip igmp filter port 4 profile 1 ip igmp filter port 5 profile 1 ip igmp filter port 6 profile 1 ip igmp filter port 7 profile 1 ip igmp filter port 8 profile 1 ip igmp filter port 9 profile 1 ip igmp filter port 10 profile 1 ip igmp filter port 11 profile 1 ip igmp filter port 12 profile 1 ip igmp filter port 13 profile 1 ip igmp filter port 14 profile 1 ip igmp filter port 15 profile 1 ip igmp filter port 16 profile 1 ip igmp filter port 17 profile 1 ip igmp filter port 18 profile 1 다산네트웍스 기술지원센타 ip igmp filter port 19 profile 1 ip igmp filter port 20 profile 1 ip igmp filter port 21 profile 1 ip igmp filter port 22 profile 1 ip igmp filter port 23 profile 1 ip igmp filter port 24 profile 1 ! snmp community ro public => SNMP 설정 snmp community rw private ! end 다산네트웍스 기술지원센타 - 기 능 설 명 I. 기본 설정 1. 초기화 설정 설정 방법 V5924C# restore factory-defaults You have to restart the system to apply the changes V5924C# reload Do you want to reload the system? [y/n] y Restarting system. Factory Default 설정 SWITCH# show running-config ! hostname SWITCH ! syslog output info local volatile syslog output info local non-volatile ! bridge ! vlan add default 1-33 untagged ! vlan pvid 1-33 1 ! line-config-profile DEFVAL down-target-snr-mgn 24 up-target-snr-mgn 24 down-snr-min-margin 20 up-snr-min-margin 20 down-slow-max-datarate 0 up-slow-max-datarate 0 down-slow-min-datarate 0 up-slow-min-datarate 0 down-max-inter-delay 1 다산네트웍스 기술지원센타 up-max-inter-delay 1 active ! line-config-profile DEFVAL add 1-24 ! alarm-config-profile DEFVAL thresh-15min-lofs 0 thresh-15min-loss 0 thresh-15min-lols 0 thresh-15min-ess 0 thresh-15min-sess 0 thresh-15min-uass 0 active ! alarm-config-profile DEFVAL add 1-24 ! lre 1-24 up ! ! interface noshutdown lo ! interface noshutdown default ! end SWITCH# 2. Hostname 설정 설정 방법 SWITCH (config)# hostname V5924C <- Hostname을 변경 SWITCH (config)# <- HOST name이 SWITCH에서 V5924C로 변경된 상태 3. 관리 IP address 설정 설정 방법 V5924C (config)# interface default <= 가입자 Vlan V5924C (config-if)# ip add 1.1.1.1/24 <= 장비 관리 IP 설정 다산네트웍스 기술지원센타 V5924C (config-if)# no shutdown <= Interface 활성화 V5924C (config-if)# exit 4. SNMP 설정 설정 방법 V5924C (config)# V5924C (config)# snmp community public ro <= Read Only Community를 public 으로 설정 V5924C (config)# snmp community private rw <= Read write Community를 private 으로 설정 5. Default Gateway 설정 설정 방법 V5924C (config)# ip route 0.0.0.0/0 Gateway address <= Default Gateway 설정 Ⅱ 추가 설정 1. Admin-access-rule 설정 (설정 시 반드시 아래내용을 숙지하여야 합니다) 1.1 telnet, ftp, snmp 접속 허용 및 거부 관련 flow 설정 설정 방법 V5924C(config)# flow admin telnet_permit create V5924C(config-admin-flow[telnet_permit])# ip 2.2.2.0/24 any tcp any 23 V5924C(config-admin-flow[telnet_permit])# apply V5924C(config)# flow admin ftp_permit create V5924C(config-admin-flow[ftp_permit])# ip 2.2.2.0/24 any tcp any 21 V5924C(config-admin-flow[ftp_permit])# apply V5924C(config)# flow admin snmp_permit create V5924C(config-admin-flow[snmp_permit])# ip 2.2.2.0/24 any tcp any 161 V5924C(config-admin-flow[snmp_permit])# apply => 특정 Network(운용자의 IP등 2.2.2.0/24)과 Service에 대해 정의. V5924C(config)# flow admin telnet_deny create 다산네트웍스 기술지원센타 V5924C(config-admin-flow[telnet_deny])# ip any any tcp any 23 V5924C(config-admin-flow[telnet_deny])# apply V5924C(config)# flow admin ftp_deny create V5924C(config-admin-flow[ftp_deny])# ip any any tcp any 21 V5924C(config-admin-flow[ftp_deny])# apply V5924C(config)# flow admin snmp_deny create V5924C(config-admin-flow[snmp_deny])# ip any any tcp any 161 V5924C(config-admin-flow[snmp_deny])# apply => 모든 Network과 Service에 대해 정의 1.2 telnet, ftp, snmp 접속 허용 및 거부 관련 class 설정 설정 방법 V5924C(config)# class admin admin_permit flow telnet_permit ftp_permit snmp_permit => 허용할 flow를 class로 묶음 V5924C(config)# class admin admin_deny flow telnet_deny ftp_deny snmp_deny => 차단할 flow를 class로 묶음 1.3 telnet, ftp, snmp 접속 허용 및 거부 관련 policy 설정 설정 방법 V5924C(config)# policy admin permit create V5924C(config-admin-policy[permit])# include-class admin_permit V5924C(config-admin-policy[permit])# priority medium V5924C(config-admin-policy[permit])# action match permit V5924C(config-admin-policy[permit])# apply => 허용할 class에 대해 허용정책 적용 V5924C(config)# policy admin deny create V5924C(config-admin-policy[deny])# include-class admin_deny V5924C(config-admin-policy[deny])# priority low V5924C(config-admin-policy[deny])# action match deny V5924C(config-admin-policy[deny])# apply => 차단할 class에 대해 차단 정책 적용 다산네트웍스 기술지원센타 주의> Admin-access-rule 설정 시 반드시 운용자의 IP 허용을 먼저 설정해야 함. 주의> Admin-access-rule 설정은 flow => class => policer => policy 순으로 설정해야 함. 2. Rule 설정 2.1 worm 및 virus 등 공격성 L4 port flow 설정 설정 방법 V5924C(config)# flow udp_1434 create V5924C(config-flow[udp_1434])# ip any any udp any 1434 V5924C(config-flow[udp_1434])# apply V5924C(config)# flow tcp_707 create V5924C(config-flow[tcp_707])# ip any any tcp any 707 V5924C(config-flow[tcp_707])# apply V5924C(config)# flow tcp_4444 create V5924C(config-flow[tcp_4444])# ip any any tcp any 4444 V5924C(config-flow[tcp_4444])# apply V5924C(config)# flow tcp_139 create V5924C(config-flow[tcp_139])# ip any any tcp any 139 V5924C(config-flow[tcp_139])# apply V5924C(config)# flow tcp_135 create V5924C(config-flow[tcp_135])# ip any any tcp any 135 V5924C(config-flow[tcp_135])# apply V5924C(config)# flow udp_3702 create V5924C(config-flow[tcp_135])# ip any any ucp 3702 any V5924C(config-flow[tcp_135])# apply => udp 1434, tcp 707, tcp 4444, tcp 139, tcp 135, udp 3702에 대한 flow 설정 2.2 worm 및 virus 등 공격성 L4 port class 설정 설정 방법 다산네트웍스 기술지원센타 V5924C(config)# class L4_deny flow udp_1434 tcp_707 tcp_4444 tcp_139 tcp_135 udp_3702 => udp_1434, tcp_707, tcp_4444, tcp_139, tcp_135, udp_3702 flow에 대해 class 설정 2.3 worm 및 virus 등 공격성 L4 port policy 설정 설정 방법 V5924C(config)# policy L4_deny create V5924C(config-policy[L4_deny])# include-class L4_deny V5924C(config-policy[L4_deny])# priority low V5924C(config-policy[L4_deny])# interface-binding port ingress any V5924C(config-policy[L4_deny])# action match deny V5924C(config-policy[L4_deny])# apply => L4_deny class에 대해 policy 설정 주의> Rule 설정은 flow => class => policer => policy 순으로 설정해야 함. Ⅲ 유해 트래픽 차단 설정 1. CPU statistics-limit 설정 설정 방법 V6324F(config)# cpu statistics-limit unicast 1-28 10 V6324F(config)# cpu statistics-limit multicast 1-28 10 V6324F(config)# cpu statistics-limit broadcast 1-28 10 => Port에서 CPU로 인입되거나 CPU에서 port로 나가는 packet이 설정치 이상일 경우 packet 종류, 해당 port 번호 및 임계값, 현재 값에 대해 syslog가 남게 되며, 해당 packet이 차단되거나 packet 양이 조절되지는 않음 Syslog system: Unicast packet over (1000,1166) at Port(1) in ingress system: Multicast packet over (1000,2334) at Port(1) in ingress system: Broadcast packet over (1000,6188) at Port(1) in ingress 2. storm control 설정 ( 상위 uplink port 제외 ) 설정 방법 V5924C(bridge)# storm-control broadcast 1024 1-24 V5924C(bridge)# storm-control multicast 다산네트웍스 기술지원센타 V5924C(bridge)# storm-control dlf 1024 => V5924C 에서 처리하는 모든 Broadcast, multicast, dlf를 초당 1024개로 제한 3. mac-flood guard 설정 (상위 uplink port 제외) 설정 방법 V5924C(bridge)# mac-flood-guard 1-24 200 => 특정 MAC Address에 초당 300개 이상의 Multicast, Broadcast Packet 유입시 mac을 filter 함 4. TCP syn attack 방지 설정 설정 방법 V5924C(config)# ip tcp ignore rst-unknown V5924C(config)# ip tcp syncookies => TCP control packet 중 SYN Attack 방지 기능 설정 5. UPnP 차단 설정 설정 방법 V5924C(config)# ip igmp profile 1 V5924C(config-igmp-profile[1])# range 239.255.255.250 V5924C(config-igmp-profile[1])# exit V5924C(config)# ip igmp filter port 1-24 profile 1 => UPnP packet 차단 설정. 다산네트웍스 기술지원센타
© Copyright 2026 Paperzz