V6224 교육자료

목 차 1. 제품소개 2. 장비 초기접속 및 환경설정 3. System 기본 설정 4. System 상태 확인 5. 부가기능 목 차 1. 제품소개 2. 장비 초기접속 및 환경설정 3. System 기본 설정 4. System 상태 확인 5. 부가기능 6. 장애처리 7. Sample configuration 8. 구성 실습 예제

1. 제품소개 가) 장비외관 나) Block Diagram 다) 특징 및 주요기능 라) CLI 개요

가) 장비외관(전면) 1. 제품소개 MGMT Port Console Port [RJ-45 to DB-9] 8 Modular Service Slot 후면 uplink port status LED

1. 제품소개 가) 장비외관(후면) Power 1000Base-FX (uplink) modular GBIC(최대 4port)

1. 제품소개 나) Block Diagram

다) 특징 및 주요기능 1. 제품소개 Processor : powerPC DRAM Memory : 256MB 32MB Flash Memory Power: AC 90ㅡ120V, DC-48V, 50/60Hz, Dual Power, 120W 박스Type,크기 (H * W * D)43 * 432 * 420㎜ 8.8Gbps Non-Blocking, 13Mpps VLAN 최대 4,094개 지원 MAC Address 개수 8,192개 이더넷 포트: 10/100 Base-TX or 100 Base-FX [24] 상향 포트: 10/100/1000 Base-TX, 100 Base-FX, or 1000 Base-X GBIC [4] VLAN Trunk(802.1Q), STP(802.1D), RSTP(802.1w), QOS(802.1p) Transmission rate control : per port rate control (1mbps~ ) L2부가기능 : 802.3ad 등 L3 기능: routing(static, default, RIPv1/v2, OSPF v2, BGPv4) IP packet filtering DHCP Server/Relay SNMP Ⅰ/Ⅱ, RMON, Telnet, FTP, TFTP, DHCP, TACACS+

라) CLI 개요 1. 제품소개 CLI 모드 ( Level ) 모드 프롬프트 설명 Top Mode SWITCH# 터미널 설정 변경, 네트워크 상태 및 시스템 정보 확인, 시스템 이미지 파일 업데이트 등 Global Mode SWITCH(config)# 시스템 전체를 통괄하는 전반적인 기능 및 SNMP 기능을 설정 DHCP Mode SWITCH(config-dhcp)# DHCP 관련 기능 설정 QOS Mode SWITCH(qos)# QOS 관련 설정(classify, 정책 설정) Bridge Mode SWITCH(bridge)# MAC 주소 관리, VLAN, 미러링, STP 등 Layer 2 스위치 기능 설정 Interface Mode SWITCH(config-if)# 스위치 인터페이스의 환경 설정을 변경 Router Mode SWITCH(config-router)# 라우팅 설정 모드 Route-Map Mode SWITCH(config-route-map)# Route-map 설정 관련 모드(라우팅테이블에 수신지,송신지 설정)

라) CLI 개요 1. 제품소개 전체 도움말 기능 : 가능한 파라미터 값의 리스트 제공 SWITCH# ? bping Broadcast ICMP echo request to connected network hosts clock Manually set the system clock configure Configuration from dsh interface exit Exit current mode and down to previous mode ftp Open a ftp connection help Description of the interactive help system list Print command list ping Send ICMP echo request quote Execute external command reload Reload the system set Configure switch show Display NOS version sping Send ICMP echo request to network host with given source IP telnet Open a telnet connection terminal Set terminal line parameters tftp Open a tftp connection where List active user connections write Write running configuration

라) CLI 개요 1. 제품소개 부분 도움말 기능 : 축약된 파라미터 입력 후, 해당하는 파라미터에 대한 도움말 제공 SWITCH# s? show Display NOS version sping Send ICMP echo request to network host with given source IP Switch#

2. 장비 초기 접속 및 환경설정 가) Console 접속 나) Version 확인 다) System 정보확인 라) Hostname 설정 마) Password 설정 바) Clock 설정 사) Syslog 설정 아) SNMP 설정 자) L3 환경설정 차) 저장

가) Console 접속 2. 장비 초기접속 및 환경설정 (초기 접속시 login: root, Password: vertex25)

나) Version 확인 2. 장비 초기접속 및 환경설정 장비에 Running 되고 있는 OS Version 및 Flash에 저장된 OS Version 확인 SWITCH# show version Switch OS Version : 7.08z #4259 SWITCH# SWITCH# show flash Flash Information(Bytes) Area total used free checksum ------------------------------------------------------ OS1(default) 16777216 7258230 9518986 0x4bdd9b8a 7.08z #4259 OS2 15728640 7258230 8470410 0x4bdd9b8a 7.08z #4259 Config 1048572 194560 854012 0x2f000000 Total 33554432 14711020 18843412

다) System 정보확인 2. 장비 초기접속 및 환경설정 Model Name , Memory Size , Flash Memory Size , NOS Version 확인 SWITCH# show system sysinfo(System Information) Model Name : V6224 Main Memory Size : 256 MB F flash Memory Size:32MB(INTEL IN28F128J3) S/W Compatibility : 3 H/W Revision : DS-Q4-14S-B1 NOS Version : 7.08z SWITCH#

라) Hostname 변경 2. 장비 초기접속 및 환경설정 Hostname 변경 명령어 설명 모드 hostname string Hostname을 변경 Config SWITCH(config)# hostname power power(config)#

마) Password 변경 2. 장비 초기접속 및 환경설정 Password 변경 power(config)# passwd 명령어 설명 모드 passwd 사용자 패스워드 변경 Config Passwd username 읽기전용 사용자 패스워드 변경 power(config)# passwd Changing password for root Old password: Enter the new password (minimum of 5, maximum of 8 characters) Please use a combination of upper and lower case letters and numbers. Enter new password: Re-enter new password: Password changed. power(config)#

바) Clock 설정 2. 장비 초기접속 및 환경설정 Syslog가 Clock을 참고하므로 초기 설정 시 Clock 설정. power# show clock Mon, 1 Jan 2001 01:01:01 +0000 power# clock 021417542005 Mon, 14 Feb 2005 19:53:10 +0000 power#

사) Syslog 설정 (continued) 2. 장비 초기접속 및 환경설정 사) Syslog 설정 (continued) default sysloger 기능 환경 설정 정보와 경보 발생 정보 출력 사용자에게 수집할 로깅 타입을 선택할 수 있도록 한다 사용자에게 수집한 로깅을 보낼 디바이스를 선택할 수 있도록 한다. syslog 메시지 Level Serverity 레벨 설명 0 – emerg 아주 위험한 상황, Panic 상태에서 발생, 모든 User에 Broadcasst, 1 – alert 긴급한 상황, System db의 오류와 같이 즉시 수정되어야 하는 문제 발생 시 2 – crit 중요한 조건, 하드웨어 장애와 같은 상태에서 발생 3 – err(error) 다른 에러 조건, 에러 메시지를 로그로 발생 4 – warning(warn) 경고 메시지를 로그로 발생 5 – notice 관찰을 요하는 이상한 것들, 에러상태는 아니지만 수정이 요구되는 상태 6 - info 부가 정보를 가지는 메시지를 로그로 발생 7 - debug 지원하지 않음

사) Syslog 설정 (continued) 2. 장비 초기접속 및 환경설정 사) Syslog 설정 (continued) Syslog 설정 sample SWITCH(config)# syslog output info console SWITCH(config)# syslog output info local volatile SWITCH(config)# syslog output info local non-volatile SWITCH(config)# syslog output info remote 192.168.0.129 SWITCH(config)# show syslog System logger on running! info local volatile info console info local non-volatile info remote 192.168.0.129 SWITCH(config)# 주의 -. Syslog start는 자동 실행됨. -. No syslog를 한 경우 syslog start 명령어로 재시작 -. Remote server는 syslogd 프로그램이 설치되어 있어야 함. -. Show running에서 보이지 않고, show syslog하여야 함.

아) SNMP 설정 (continued) 2. 장비 초기접속 및 환경설정 SNMP Community SNMP Trap 설정 Read community strings : system에 읽기 전용(read-olny)으로 접속 Read-write community strings : system에 읽기 및 쓰기(read & write) 접속 SWITCH# configure terminal SWITCH(config)# snmp community public ro SWITCH(config)# snmp community private rw SNMP Trap 설정 하나 이상의 네트워크 관리 단말이 인증된 trap receiver로서 설정될 수 있다. SWITCH# configure terminal SWITCH(config)# snmp trap-host 10.10.10.10

아) SNMP 설정 (continued) 2. 장비 초기접속 및 환경설정 snmp 설정 sample SWITCH(config)# snmp community dasan rw SWITCH(config)# snmp community networks ro SWITCH(config)# snmp trap-host 192.168.0.129 SWITCH(config)# no snmp trap link-down 5-8 SWITCH(config)# no snmp trap link-up 1-4 SWITCH(config)# no snmp trap cpu-threshold SWITCH(config)# show snmp

자) L3 환경설정 2. 장비 초기접속 및 환경설정 각 Port를 각각의 VLAN으로 나누는 설정 power(config)# show config-list ========================= CONFIG-LIST l3_default power(config)# copy l3_default startup-config [OK] power(config)# exit power# reload Warning : Changed configuration was not saved to flash memory. Do you still want to reload the system?[y|N] y Jun 7 20:00:48 UTC 2005 Restarting system.

2. 장비 초기접속 및 환경설정 차) 설정저장 각 Command 실행 시 즉시 적용되나 Reload 후 유지하기 위해 Flash Memory에 저장 SWITCH# write memory Building configuration... [OK] SWITCH#

3. System 기본설정 가) VLAN 설정 나) IP 설정 다) Port 설정 라) Routing 설정

가) VLAN 설정 (Continued) 3. System 기본설정 VLAN 설정 순서 VLAN 설정 명령어 VLAN 생성 : VLAN Database를 이용하여 VLAN 생성 및 삭제 수행 Switch port 모드 설정 : access 또는 Trunk로 VLAN 포트 타입 설정 VLAN 멤버 등록 : VLAN의 멤버 port 등록 VLAN 설정 명령어 명령어 설명 모드 set vlan create vlan-name <1-4094> vlan 생성 vlan-name은 brN 의 형태 Bridge set vlan del vlan-name port-number 모든 port는 기본적으로 br1에 속해있으므로 set vlan del br1 3 등으로 삭제 후 재할당 set vlan add vlan-name port-number {tagged | untagged} vlan에 멤버포트들을 설정한다. 새로 생성된 vlan interface는 shutdown상태이므로 각 interface에서 no shutdown 설정

가) VLAN 설정 (Continued) 3. System 기본설정 VLAN 설정 예 1)VLANid가 10인 포트 기반 VLAN br10을 생성하고, port 9번과 10번을 vlan 10에 할당. VLAN 설정 SWITCH(config)# bridge SWITCH(bridge)# set vlan create br10 10 SWITCH(bridge)# set vlan pvid 9-10 10 SWITCH(bridge)# set vlan del br1 9-10 SWITCH(bridge)# set vlan add br10 9-10 untagged SWITCH(bridge)# exit SWITCH(config)# interface br10 SWITCH(config-if)# no shutdown VLAN 확인 SWITCH(bridge)# show vlan u: untagged port, t: tagged port ---------------------------- | 1 Name( VID) |12345678901234 (생략) -------------+-------------- br1( 1) |uuuuuuuu...... br10( 10) |........uu....

가) VLAN 설정(Continued) 3. System 기본설정 VLAN 설정 예 – cont. 2) tagged VLAN br10을 생성한다. SWITCH(bridge)# set vlan add br10 9-10 tagged Switch# show vlan u: untagged port, t: tagged port ------------------------------------------------------ | 1 2 3 4 Name( VID) |1234567890123456789012345678901234567890 -------------+---------------------------------------- br1( 1) |uuuuuuuuuuuuuuuuuuuuuuuuuu.............. br10( 10) | tt % 주의 untagged port에는 PVID를 반드시 설정하여야 하며 tagged port에는 설정하여줄 필요가 없습니다. PVID는 VID와 동일하게 설정하여야 함.

나) IP 설정 3. System 기본설정 각 interface 에 IP address 할당방법 SWITCH# conf t SWITCH(config)# int br1 SWITCH(config-if)# ip address 10.1.1.1/30 SWITCH(config-if)# no shutdown SWITCH(config-if)# description This Inteface For AAA Corp. SWITCH(config-if)# exit SWITCH(config)# int br2 SWITCH(config-if)# ip address 20.1.1.1/30 SWITCH(config-if)# description This Inteface For BBB Corp.

다) Port 설정 3. System 기본설정 Physical interface 환경 설정 명령어 명령어 설명 모드 set port enable port-number Physical port enable (default) Bridge set port disable port-number Physical port disable set port nego port-number on auto negotiation 설정 set port nego port-number off auto negotiation 해제 set port speed port-number {10 | 100|1000} Interface speed 설정 set port duplex port-number {full | half} Interface duplex 설정 set port flow-control port-number {on | off} 패킷 전송 중지 설정

라) Routing 설정(Continued) 3. System 기본설정 라) Routing 설정(Continued) Default Gateway 설정 SWITCH# configure terminal SWITCH(config)# ip route 0.0.0.0/0 20.1.1.2 Routing Table 확인 SWITCH(config)# show ip route Codes: K - kernel route, C - connected, S - static, R- RIP, O - OSPF, B - BGP, > - selected route, *- FIB route S>* 0.0.0.0/0 [1/0] via 20.1.1.2, br2 C>* 10.1.1.0/24 is directly connected, br1 C>* 20.1.1.0/24 is directly connected, br2 C>* 30.1.1.0/24 is directly connected, br3 C>* 127.0.0.0/8 is directly connected, lo -- End --

라) Routing 설정 3. System 기본설정 Static Routing 경로 설정 ip route ip-address ip-address {ip-addressㅣinterface-name}[1-255] <sample> SWITCH(config)# ip route 100.1.1.0/24 10.1.1.2 SWITCH(config)# ip route 200.1.1.0/24 20.1.1.2 SWITCH(config)# show ip route Codes: K - kernel route, C - connected, S - static, R- RIP, O - OSPF, B - BGP, > - selected route, *- FIB route S>* 0.0.0.0/0 [1/0] via 20.1.1.2, br2 C>* 10.1.1.0/24 is directly connected, br1 C>* 20.1.1.0/24 is directly connected, br2 C>* 30.1.1.0/24 is directly connected, br3 S>* 100.1.1.0/24 [1/0] via 10.1.1.2, br1 S>* 200.1.1.0/24 [1/0] via 20.1.1.2, br1 C>* 127.0.0.0/8 is directly connected, lo -- End --

4. System 상태 확인 가) 시스템 가동시간 확인(Uptime) 나) Port Traffic 확인 다) RMON 라) CPULoad 확인 마) ARP , MAC Address 확인

가) 시스템 가동시간 확인(Uptime) 4. System 상태 확인 장비 가동 시간확인 SWITCH# show uptime 0 days 0 hours 10 minutes 57.29 seconds SWITCH#

나) Port Traffic 확인 4. System 상태 확인 각 포트의 Traffic을 5초/1분/10분 PPS/BPS/bps로 표시(평균값) SWITCH# show port statistics avg-pkt 1-2,10 ============================================================================== Port | Tx | Rx ------------------------------------------------------------------------------ Time | pkts/s | bytes/s | bits/s | pkts/s | bytes/s | bits/s port 1 ----------------------------------------------------------------------- 5 sec: 0 0 0 0 0 0 1 min: 0 0 0 0 0 0 10 min: 0 0 0 0 0 0 port 2 ----------------------------------------------------------------------- 5 sec: 8 782 6,256 0 0 0 1 min: 6 658 5,264 0 0 0 10 min: 7 787 6,296 0 0 0 port 10 ----------------------------------------------------------------------- 5 sec: 7 752 6,016 3 272 2,176 1 min: 7 909 7,272 4 346 2,768 10 min: 7 841 6,728 3 280 2,240 SWITCH #

다) RMON 4. System 상태 확인 각 포트에 대한 RMON 정보표시 SWITCH# show port statistics rmon 24 Port 24 ethernet etherStatsDropEvents 0 etherStatsOctets 3199948934 etherStatsPkts 122821029 etherStatsBroadcastPkts 10805279 etherStatsMulticastPkts 4941046 etherStatsCRCAlignErrors 0 etherStatsUndersizePkts 0 etherStatsOversizePkts 708 etherStatsFragments 0 etherStatsJabbers 0 etherStatsCollisions 0 etherStatsPkts64Octets 41105317 etherStatsPkts65to127Octets 27426814 etherStatsPkts128to255Octets 5660755 etherStatsPkts256to511Octets 3210297 etherStatsPkts512to1023Octets 4522591 etherStatsPkts1024to1518Octets 40894547

라) CPULoad 확인 4. System 상태 확인 CPU Load를 5초/1분/10분 단위로 표시 SWITCH# show cpuload ---------------- Average CPU load 5 sec: 0.53( 0.00) % 1 min: 0.51( 0.00) % 10 min: 0.51( 0.00) % CPU Load Threshold : 50 SWITCH#

마) ARP , MAC Address 확인 4. System 상태 확인 ARP 및 Learning된 MAC Address 확인 SWITCH# show arp Address HWtype HWaddress Flags Mask Iface 172.16.1.254 ether 00:D0:CB:0A:10:58 C br1 SWITCH# show mac br1 port (id) mac addr permission eth01(1) 00:00:e2:82:e2:36 OK eth01(1) 00:00:e2:8a:ec:a2 OK eth01(1) 00:00:f0:71:50:99 OK eth01(1) 00:01:02:96:1a:21 OK eth01(1) 00:01:e6:25:43:5b OK eth01(1) 00:02:78:e0:7d:d5 OK

5. 부가기능 가) 가입자 속도 제한(Bandwidth Control) 나) Storm Control 다) Port Mirroring 라) 가입자수 제한(Max-hosts) 마) Port Trunking 바) STP 사) MAC-Filter 아) ACL 자) OS Upgrade 차) Password Recovery

가) 가입자 속도 제한(Bandwidth Control) 5. 부가기능 가) 가입자 속도 제한(Bandwidth Control) 1Mbps 단위로 속도조절 가능 SWITCH(config)# br SWITCH(bridge)# set rate 1-24 10 egress SWITCH(bridge)# show rate ---------------------------------------------------------------- Port Ingress Egress | Port Ingress Egress --------------------------------+------------------------------- 1 N/A 10M | 2 N/A 10M 3 N/A 10M | 4 N/A 10M 5 N/A 10M | 6 N/A 10M 7 N/A 10M | 8 N/A 10M 9 N/A 10M | 10 N/A 10M 11 N/A 10M | 12 N/A 10M 13 N/A 10M | 14 N/A 10M 15 N/A 10M | 16 N/A 10M 17 N/A 10M | 18 N/A 10M 19 N/A 10M | 20 N/A 10M 21 N/A 10M | 22 N/A 10M 23 N/A 10M | 24 N/A 10M 25 N/A N/A | 26 N/A N/A

나) Storm-Control 5. 부가기능 Broadcast/Multicast/Flooding 제한 설정 SWITCH(bridge)# set storm-control enable SWITCH(bridge)# set storm-control add broadcast 32 한 장비의 Broadcast를 32개로 제한[즉, Vlan이 2개면 각 Vlan당 16개씩 제한 SWITCH(bridge)# set storm-control add 1 16 해당 Vlan에 Flooding되는 패킷수를 제한 한다.[1번 Vlan에 16개] SWITCH(bridge)# set storm-control add 1 32 01:00:5e:00:00:01 해당 Vlan에 설정 Mac에 해당하는 Multicast 패킷을 제한한다.[1번 Vlan에 32개] SWITCH(bridge)# set storm-control add 2 100 SWITCH(bridge)# show storm-control status Vlan id UseGroupMAC GroupMACAddress PacketsPerTimeUnit ------- ----------- --------------- ------------------ 0001 No 01:00:5e:00:00:01 32 ---- No ff : ff : ff : ff : ff : ff 96 0002 No -- : -- : -- : -- : -- : -- 96 SWITCH(bridge)#

다) Port-mirroring 5. 부가기능 Mirrored된 Port의 In/Out Traffic을 그대로 Monitor Port로 복사 SWITCH# conf t SWITCH(config)# br SWITCH(bridge)# set mirror monitor 1 SWITCH(bridge)# set mirror add 2 SWITCH(bridge)# set mirror add 3 SWITCH(bridge)# set mirror enable SWITCH(bridge)# show mirror Mirroring enabled Monitor port = 1 Ingress-mirrored ports -- 02 03 -- -- -- -- -- -- -- -- -- -- -- -- -- -- Egress-mirrored ports 1 2 3 Monitor port 모니터링을 위한 snipper 등의 프로그램 enable

라) 가입자 수 제한(Max-hosts) 5. 부가기능 Max-hosts : 최대 수용 가능한 Mac host 개수 설정 SWITCH# conf t SWITCH(config)# br SWITCH(bridge)# set max-hosts 1 1 SWITCH(bridge)# show max SWITCH(bridge)# show max-hosts port 1 : 1/1 (current/max) port 2 : 0/Unlimited (current/max) port 3 : 0/Unlimited (current/max) SWITCH(bridge)# show mac br1 port (id) mac addr permission in use eth01 (1) 00:00:39:ca:89:98 OK yes eth01 (1) 00:d0:cb:0a:a3:4a OK yes 1 1번 포트에 1개의 client만 통과

마) Port trunking 5. 부가기능 Port Trunk 설정 예 1. Trunk port 설정 3. 29번 포트를 브리지 그룹에 추가 4. 총 14개의 그룹 설정 가능 SWITCH(bridge)# set trunk add 0 1-4 SWITCH(bridge)# show trunk Trunk Group 0 : 1(o) 2(x) 3(x) 4(x) Trunk Group 1 : Inactive Trunk Group 2 : Inactive Trunk Group 3 : Inactive <중략> Trunk Group 11 : Inactive Trunk Group 12 : Inactive Trunk Group 13 : Inactive SWITCH(bridge)# set vlan pvid 29 1 SWITCH(bridge)# set vlan add br1 29 untagged

5. 부가기능 사) Mac-filter Default-policy와 MAC-Filter로 구분되어 지며 MAC-Filter가 우선순위가 높다. SWITCH(bridge)# set mac-filter default-policy deny 1-3 SWITCH(bridge)# set mac-filter default-policy deny 7 SWITCH(bridge)# show mac-filter default-policy ------------------------- PORT POLICY | PORT POLICY ------------+------------ 1 DENY | 21 PERMIT 2 DENY | 22 PERMIT 3 DENY | 23 PERMIT 4 PERMIT | 24 PERMIT --- 중 략 --- 15 PERMIT | 35 PERMIT 16 PERMIT | 36 PERMIT 17 PERMIT | 37 PERMIT 18 PERMIT | 38 PERMIT 19 PERMIT | 39 PERMIT 20 PERMIT | 40 PERMIT SWITCH(bridge)# set mac-filter add 00:02:a5:74:9b:17 permit 1 1 SWITCH(bridge)# set mac-filter add 00:01:a7:70:01:d2 permit 1 1 SWITCH(bridge)# show mac-filter 1 A: 00:02:a5:74:9b:17 B: 00:01:a7:70:01:d2 C: 00:01:a7:11:22:33 A B C

바) STP 5. 부가기능 L2 Loop 방지기능 SWITCH(bridge)# show stp bridge name bridge id STP enabled mode br1 8001.00d0cb26021c no stp SWITCH(bridge)# set stp enable br1 [STP 설정] SWITCH(bridge)# set stp disable br1 [STP 해제] SWITCH(bridge)# % Default 설정은 Disable임.

아) ACL (Continued) 5. 부가기능 Packet 차단을 위한 Rule 설정 1. L2/L3/L4 packet 분류 2. Main rule 3. Rule match 1. L2/L3/L4 packet 분류 SWITCH(qos)# classify packet L2-rule-name 0800 unicast [0800 & unicast packet] SWITCH(qos)# classify host L3-rule-name ip dst 10.1.1.0/24 any any any [Destination ip가 10.1.1.0/24] SWITCH(qos)# classify l4 L4-rule-name ip tcp dst 21 any [Destination port가 21번] 2. Main rule SWITCH(qos)#classify main main-1 add l2-rule any l3-rule any l4-rule any [packet 분류의 정의를 불러와서 사용한다.] [0800 & unicast packet]이고 [Destination ip가 10.1.1.0/24]이고 [Destination port가 21번]이면 main-1 으로 지정 3. rule match SWITCH(qos)# classify main main-1 match drop [main-1의 조건과 일치하면 drop한다.]

아) ACL (Continued) 5. 부가기능 장비 자체를 Destination으로 하는 Packet에 대한 ACL SWITCH# configure terminal • admin-access-rule 설정 예) # admin-access-rule [name] classify [priority] ip [source ip address] [destination ip address] [protocol] [source port] [destination port] 예) # admin-access-rule [name] match [permit/deny] • ADMIN-IP 로만 telnet 접속 가능하도록 admin-access-rule을 적용 SWITCH(config)# admin-access-rule telnet-deny classify low ip any any tcp any 23 SWITCH(config)# admin-access-rule telnet-deny match deny SWITCH(config)# admin-access-rule telnet-permit classify medium ip any <ADMIN-IP> tcp any 23 SWITCH(config)# admin-access-rule telnet-permit match permit % Telnet으로 작업시 반드시 Permit을 먼저 해주어야 Telnet Session이 유지됨.

자) OS Upgrade 5. 부가기능 OS Upgrade 수행 장비와 PC간 Console Cable과 Cross Cable을 이용해 Management Ethernet Port를 연결 장비 재 부팅 후 “s”키 누름 Boot Mode에서 pc 네트웍과 동일한 ip 대역 설정 ip 172.16.50.10 (예) save reboot 재부팅 후 “s”키 누름 TFTP Server(PC)로부터 OS down Load load prog 172.16.50.1 V6224.7.08z.x load prog <pc-ip-address> <이미지파일이름> tftp 서버를 구동 후 boot 모드에서 load 한 경우 위와 같이 표시됨

차) Password Recovery 5. 부가기능 Password recovery를 위해 시스템 재부팅 root=/dev/ram console=ttyS0,9600 Switch OS Version : 7.08z #4259 CPU manufacturer : Motorola [rev=1014] CPU speed : 200MHz Memory : 256M (available 248360k)   INIT: version 2.77 booting Control-C 입력 INIT: Entering runlevel: 3 (none) login: root Password: login[22]: root login on `ttyS0' *SWITCH# tar xPvf /dev/conf *SWITCH# savecfg *SWITCH# reboot

6. Sample Configuration

Sample Configuration (Continued) hostname power_apt bridge set vlan pvid 1-23,25-26 1 set vlan pvid 24 24 set vlan create br1 set vlan create br24 set vlan add br1 1-23,25-26 untagged set vlan add br24 24 untagged set mac-flood-guard 1-23 400 set storm-control enable 100 set storm-control add broadcast 2032 interface br1 description power_apt101 ip address 203.236.124.2/24 interface br24 description uplink port ip address 10.1.1.1/30 ip martian-filter br1

Sample Configuration 6. Sample Configuration qos classify l4 igmp_src ip igmp src classify l4 igmp_dst ip igmp dst 0 classify l4 udp_1434_src ip udp src 1434 classify l4 udp_1434_dst ip udp dst 1434 classify l4 tcp_445 ip tcp dst 445 any classify l4 tcp_4444_dst ip tcp dst 4444 any classify main IGMP_SRC add any any any igmp_src any any classify main IGMP_SRC match drop classify main IGMP_DST add any any any any igmp_dst any classify main IGMP_DST match drop classify main TCP_4444_DST add any any any any tcp_4444_dst any classify main TCP_4444_DST match drop classify main UDP_1434_SRC add any any any udp_1434_src any any classify main UDP_1434_SRC match drop classify main UDP_1434_DST add any any any any udp_1434_dst any classify main UDP_1434_DST match drop classify main TCP_445_DST add any any any any tcp_445 any classify main TCP_445_DST match drop ip route 0.0.0.0 10.1.1.2 ip tcp ignore rst-unknown ip tcp syncookies ip dhcp mode relay 202.168.126.2 snmp community ro inetin snmp community ro powernms snmp community ro dacom snmp trap-host 192.168.252.254

7. 구성 실습 예제 가) Case-I

가) Case-I (V6224 + V2124) 7. 구성 실습 예제 APT 구내망 L3 Switch(V6224) IP망 국사 및 ISP 연계망 100M FX APT 내부 아파트 MDF실 L3 집선 Switch 101동 102동 103동 105동 104동 <L3 아파트 집선 Switch 기본 설정사항> 1.Hostname:ISP명-APT명-L 2.Vlan 생성 하나의 Vlan을 생성하여 uplink에 할당 default Vlan을 아파트 전체에 제공하되 필요시 각 동별(port별) vlan을 나누어 제공한다. br1에 management/Gate-way ip설정 3.망측 Link address(br24에 uplink 설정) 사설IP(10.x.x.x/30)할당(지사별 사설IP 할당기준 참조) 4.각 인터페이스에 description을 설정 5.Default Route 설정 연결된 국사측 장치의 Link address로 Default route 설정) 6. Martian-filter 설정 soure ip spoofing 으로 부터 차단기능 예) ip martian-filter br1

가) Case-I (V6224 + V2124) 7. 구성 실습 예제 APT 구내망 L3 Switch(V6224) IP망 국사 및 ISP 연계망 100M FX APT 내부 아파트 MDF실 L3 집선 Switch 101동 102동 103동 105동 104동 <L3 아파트 집선 Switch 기본 설정사항> 7.DHCP Relay 설정 예) ip dhcp mode relay x.x.x.x(server address) 8.Storm-control 설정 과도한 Broadcast, Multicast traffic을 조절 하여 장비의 부하를 줄이기 위한 설정 예) set storm-control add broadcast 2040 set storm-control add 1 2040 (GMAC) 9.NMS 관련설정 snmp community ro dacom (ro: read-only) snmp community ro inetin snmp community ro powernms snmp trap-host 192.168.252.254 (trap server) 10. 장비로의 접근제어 admin-access-rule을 이용한 장비로의 접근 제어 설정

가) Case-I (V6224 + V2124) 7. 구성 실습 예제 APT 구내망 L3 Switch(V6224) IP망 국사 및 ISP 연계망 100M FX APT 내부 아파트 MDF실 L3 집선 Switch 101동 102동 103동 105동 104동 <L3 아파트 집선 Switch 기본 설정사항> 11. SYN Attack 방지 기능 시스템에서 서비스하지 않는 TCP 또는 UDP Port로 Sync Attack 시 Drop 예) ip tcp syncookies 시스템에서 서비스하는 TCP 또는 UDP Port로 Sync Attack 시 Syncookies를 설정하여 서비스에 지장이 없도록 동작. 예) ip tcp ignore rst-unknown 12. QoS 적용 Virus 등 알려진 공격을 사전 차단 13. MAC-Flood guard 설정 1~23번 포트에서 특정 가입자 MAC에서 초당 400개 이상의 Packet유입 시 MAC Address를 Deny 한다. 예) set mac-flood-guard 1-23 400

가) Case-I (V6224 + V2124) 7. 구성 실습 예제 <L3 아파트 집선 Switch 기본 설정사항> QoS 설정사항 classify l4 igmp_src ip igmp src classify l4 igmp_dst ip igmp dst 0  Bomba등 다량 Traffic classify l4 udp_1434_src ip udp src 1434 <- MS SQL server의 성능을 저하시키는 Virus Packet classify l4 udp_1434_dst ip udp dst 1434 classify l4 tcp_445 ip tcp dst 445 any classify l4 tcp_4444_dst ip tcp dst 4444 any <- Mblast 웜 바이러스 classify main IGMP_SRC add any any any igmp_src any any classify main IGMP_SRC match drop classify main IGMP_DST add any any any any igmp_dst any classify main IGMP_DST match drop classify main TCP_4444_DST add any any any any tcp_4444_dst any classify main TCP_4444_DST match drop classify main UDP_1434_SRC add any any any udp_1434_src any any classify main UDP_1434_SRC match drop classify main UDP_1434_DST add any any any any udp_1434_dst any classify main UDP_1434_DST match drop classify main TCP_445_DST add any any any any tcp_445 any classify main TCP_445_DST match drop!