다산 스위치 V6424 샘플 configuration 설정

 

다산 스위치 V6424 샘플 configuration 설정

 

V6424# show running-config

!

hostname V6424

!

time-zone GMT+9                           => 대한민국 표준 시 설정

!

ntp 203.254.163.74                        => NTP Server 설정(한국표준 과학연구원 표준시 서버)

!

syslog output info local volatile

syslog output info local non-volatile

!

cpu statistics-limit unicast 1-28 10      => 임계치 이상의 packet이 CPU로 올라오거나, 혹은 CPU에서 나갈 때

cpu statistics-limit multicast 1-28 10       시스로그를 발생시켜, loop 혹은 악의적인 공격 감시

cpu statistics-limit broadcast 1-28 10       * 전 port 설정

!

bridge

 vlan create 2

 !

 vlan add default 1-2 tagged

 vlan add default 3-24,29-42 untagged

 vlan add br2 25-28 untagged

 !

 vlan pvid 1-24,29-42 1

 vlan pvid 25-28 2

 !

 storm-control broadcast 1024 1-24        => broadcast, multicast, dlf에 대한 storm-control, 업링크 제외

 storm-control multicast

 storm-control dlf 1024

 !

 mac-flood-guard 1-24 200                 => mac-flood-guard는 업링크 제외

 !

 loop-detect srcmac laa                   => 가입자 loop를 감지를 위한 설정

 loop-detect enable                          * 가입자 포트만 지정

 loop-detect 1-24

 loop-detect 1-24 period 2

 loop-detect 1-24 timer 300

 !

!

interface lo

 no shutdown

!

interface default

 no shutdown

 ip address 1.1.1.1/24

!

 

 

interface br2

 no shutdown

 ip address 2.2.2.1/24

!

ip martian-filter 1                       => Interface에 설정된 IP 대역 이외에 Drop 하는 설정

!

arp patrol 2 5 1                          => Gratuitous ARP 설정

!

flow udp_1434 create                      => worm 및 virus 등 공격성 L4 port 정의

  ip any any udp any 1434

  apply

flow tcp_707 create

  ip any any tcp any 707

  apply

flow tcp_4444 create

  ip any any tcp any 4444

  apply

flow tcp_139 create

  ip any any tcp any 139

  apply

flow tcp_135 create

  ip any any tcp any 135

  apply

flow admin telnet_permit create           => 시스템에 접속 허용할 네트워크 정의

  ip 2.2.2.0/24 any tcp any 23

  apply

flow admin ftp_permit create

  ip 2.2.2.0/24 any tcp any 21

  apply 

flow admin snmp_permit create

  ip 2.2.2.0/24 any tcp any 161

  apply

flow admin telnet_deny create             => 시스템에 접속 차단할 네트워크 정의

  ip any any tcp any 23

  apply

flow admin ftp_deny create

  ip any any tcp any 21

  apply

flow admin snmp_deny create

  ip any any tcp any 161

  apply

!

class L4_deny flow udp_1434 tcp_707 tcp_4444 tcp_139 tcp_135        => flow를 class별로 정의

class admin admin_permit flow telnet_permit ftp_permit snmp_permit

class admin admin_deny flow telnet_deny ftp_deny snmp_deny

!

policy L4_deny create                     => worm 및 virus 등 공격성 L4 port 차단

  include-class L4_deny

priority low

interface-binding port ingress any

  action match deny

  apply

policy admin permit create                => 시스템에 특정 네트워크 허용

  include-class admin_permit

  priority medium

  action match permit

  apply

policy admin deny create                  => 시스템에 그 외 모든 네트워크 차단

  include-class admin_deny

  priority low

  action match deny

  apply

!

Ip route 0.0.0.0/0 2.2.2.2

!

ip tcp ignore rst-unknown                 => tcp syn attack 방지 설정

ip tcp syncookies

!

snmp community ro public                  => snmp 설정

snmp community rw private

!

end