1

V6224 교육자료V6224 교육자료

2

목 차목 차

1. 제품소개2. 장비 초기접속 및 환경설정3. System 기본 설정4. System 상태 확인5. 부가기능6. 장애처리7. Sample configuration8. 구성 실습 예제

3

1. 1. 제품소개제품소개

가 ) 장비외관나 ) Block Diagram다 ) 특징 및 주요기능라 ) CLI 개요

4

가 ) 장비외관 ( 전면 )

Console Port

[RJ-45 to DB-9]

Console Port

[RJ-45 to DB-9]8 Modular Service Slot8 Modular Service Slot

MGMTPort

후면 uplink

port status LED

후면 uplink

port status LED

1. 제품소개

5

가 ) 장비외관 ( 후면 )

PowerPower 1000Base-FX (uplink)

modular GBIC( 최대 4port)

1000Base-FX (uplink)

modular GBIC( 최대 4port)

1. 제품소개

6

나 ) Block Diagram

1. 제품소개

7

다 ) 특징 및 주요기능

Processor : powerPC DRAM Memory : 256MB32MB Flash MemoryPower: AC 90 ㅡ 120V, DC-48V, 50/60Hz, Dual Power, 120W 박스 Type, 크기 (H * W * D)43 * 432 * 420 ㎜8.8Gbps Non-Blocking, 13Mpps VLAN 최대 4,094 개 지원MAC Address 개수 8,192 개이더넷 포트 : 10/100 Base-TX or 100 Base-FX [24]상향 포트 : 10/100/1000 Base-TX, 100 Base-FX, or 1000 Base-X GBIC [4]VLAN Trunk(802.1Q), STP(802.1D), RSTP(802.1w), QOS(802.1p)Transmission rate control : per port rate control (1mbps~ )L2 부가기능 : 802.3ad 등L3 기능 : routing(static, default, RIPv1/v2, OSPF v2, BGPv4)IP packet filteringDHCP Server/RelaySNMP / , RMON, Telnet, FTP, TFTP, DHCP, TACACS+Ⅰ Ⅱ

Processor : powerPC DRAM Memory : 256MB32MB Flash MemoryPower: AC 90 ㅡ 120V, DC-48V, 50/60Hz, Dual Power, 120W 박스 Type, 크기 (H * W * D)43 * 432 * 420 ㎜8.8Gbps Non-Blocking, 13Mpps VLAN 최대 4,094 개 지원MAC Address 개수 8,192 개이더넷 포트 : 10/100 Base-TX or 100 Base-FX [24]상향 포트 : 10/100/1000 Base-TX, 100 Base-FX, or 1000 Base-X GBIC [4]VLAN Trunk(802.1Q), STP(802.1D), RSTP(802.1w), QOS(802.1p)Transmission rate control : per port rate control (1mbps~ )L2 부가기능 : 802.3ad 등L3 기능 : routing(static, default, RIPv1/v2, OSPF v2, BGPv4)IP packet filteringDHCP Server/RelaySNMP / , RMON, Telnet, FTP, TFTP, DHCP, TACACS+Ⅰ Ⅱ

1. 제품소개

8

라 ) CLI 개요

CLI 모드 ( Level ) CLI 모드 ( Level )

모드 프롬프트 설명

Top Mode SWITCH#터미널 설정 변경 , 네트워크 상태 및 시스템 정보 확인 , 시스템 이미지 파일 업데이트 등

Global Mode SWITCH(config)# 시스템 전체를 통괄하는 전반적인 기능 및 SNMP 기능을 설정

DHCP Mode SWITCH(config-dhcp)# DHCP 관련 기능 설정

QOS Mode SWITCH(qos)# QOS 관련 설정 (classify, 정책 설정 )

Bridge Mode SWITCH(bridge)#MAC 주소 관리 , VLAN, 미러링 , STP 등 Layer 2 스위치 기능 설정

Interface Mode SWITCH(config-if)# 스위치 인터페이스의 환경 설정을 변경

Router Mode SWITCH(config-router)# 라우팅 설정 모드

Route-Map Mode

SWITCH(config-route-map)# Route-map 설정 관련 모드 ( 라우팅테이블에 수신지 , 송신지 설정 )

1. 제품소개

9

전체 도움말 기능 : 가능한 파라미터 값의 리스트 제공 전체 도움말 기능 : 가능한 파라미터 값의 리스트 제공

SWITCH# ?

bping Broadcast ICMP echo request to connected network hosts

clock Manually set the system clock

configure Configuration from dsh interface

exit Exit current mode and down to previous mode

ftp Open a ftp connection

help Description of the interactive help system

list Print command list

ping Send ICMP echo request

quote Execute external command

reload Reload the system

set Configure switch

show Display NOS version

sping Send ICMP echo request to network host with given source IP

telnet Open a telnet connection

terminal Set terminal line parameters

tftp Open a tftp connection

where List active user connections

write Write running configuration

라 ) CLI 개요

1. 제품소개

10

부분 도움말 기능 : 축약된 파라미터 입력 후 , 해당하는 파라미터에 대한 도움말 제공 부분 도움말 기능 : 축약된 파라미터 입력 후 , 해당하는 파라미터에 대한 도움말 제공

SWITCH# s?

show Display NOS version

sping Send ICMP echo request to network host with given source IP

Switch#

라 ) CLI 개요

1. 제품소개

11

2. 2. 장비 초기 접속 및 환경설정장비 초기 접속 및 환경설정

가 ) Console 접속나 ) Version 확인다 ) System 정보확인라 ) Hostname 설정마 ) Password 설정바 ) Clock 설정사 ) Syslog 설정아 ) SNMP 설정자 ) L3 환경설정차 ) 저장

12

가 ) Console 접속

Console 을 이용한 초기 접속 Console 을 이용한 초기 접속

( 초기 접속시 login: root, Password: vertex25)

2. 장비 초기접속 및 환경설정

13

나 ) Version 확인

장비에 Running 되고 있는 OS Version 및 Flash 에 저장된 OS Version 확인 장비에 Running 되고 있는 OS Version 및 Flash 에 저장된 OS Version 확인

SWITCH# show versionSwitch OS Version : 7.08z #4259 SWITCH#SWITCH# show flash

Flash Information(Bytes) Area total used free checksum ------------------------------------------------------ OS1(default) 16777216 7258230 9518986 0x4bdd9b8a 7.08z #4259 OS2 15728640 7258230 8470410 0x4bdd9b8a 7.08z #4259 Config 1048572 194560 854012 0x2f000000 ------------------------------------------------------ Total 33554432 14711020 18843412

SWITCH#

2. 장비 초기접속 및 환경설정

14

다 ) System 정보확인

Model Name , Memory Size , Flash Memory Size , NOS Version 확인 Model Name , Memory Size , Flash Memory Size , NOS Version 확인

SWITCH# show system

sysinfo(System Information)Model Name : V6224Main Memory Size : 256 MBF flash Memory Size:32MB(INTEL IN28F128J3)S/W Compatibility : 3H/W Revision : DS-Q4-14S-B1NOS Version : 7.08z SWITCH#

2. 장비 초기접속 및 환경설정

15

라 ) Hostname 변경

Hostname 변경 Hostname 변경

명령어 설명 모드

hostname string Hostname 을 변경 Config

SWITCH(config)# hostname powerpower(config)#

2. 장비 초기접속 및 환경설정

16

마 ) Password 변경

명령어 설명 모드

passwd 사용자 패스워드 변경 Config

Passwd username 읽기전용 사용자 패스워드 변경 Config

Password 변경 Password 변경

power(config)# passwdChanging password for rootOld password:Enter the new password (minimum of 5, maximum of 8 characters)Please use a combination of upper and lower case letters and numbers.Enter new password:Re-enter new password:Password changed.power(config)#

2. 장비 초기접속 및 환경설정

17

바 ) Clock 설정

Syslog 가 Clock 을 참고하므로 초기 설정 시 Clock 설정 . Syslog 가 Clock 을 참고하므로 초기 설정 시 Clock 설정 .

power# show clockMon, 1 Jan 2001 01:01:01 +0000power# clock 021417542005

Mon, 14 Feb 2005 19:53:10 +0000 power# show clock

Mon, 14 Feb 2005 19:53:10 +0000power#

2. 장비 초기접속 및 환경설정

18

사 ) Syslog 설정 (continued)

default sysloger 기능 default sysloger 기능

syslog 메시지 Levelsyslog 메시지 Level

• 환경 설정 정보와 경보 발생 정보 출력

• 사용자에게 수집할 로깅 타입을 선택할 수 있도록 한다

• 사용자에게 수집한 로깅을 보낼 디바이스를 선택할 수 있도록 한다 .

0 – emerg 아주 위험한 상황 , Panic 상태에서 발생 , 모든 User 에 Broadcasst,

1 – alert 긴급한상황 , System db 의오류와같이즉시수정되어야하는문제발생시

2 – crit 중요한조건 , 하드웨어장애와같은상태에서발생

3 – err(error) 다른에러조건 , 에러메시지를로그로발생

4 – warning(warn) 경고메시지를로그로발생

5 – notice 관찰을요하는이상한것들 , 에러상태는아니지만수정이요구되는상태

6 - info 부가정보를가지는메시지를로그로발생

7 - debug 지원하지않음

Serverity 레벨 설명

2. 장비 초기접속 및 환경설정

19

사 ) Syslog 설정 (continued)

Syslog 설정 sample Syslog 설정 sample

SWITCH(config)# syslog output info consoleSWITCH(config)# syslog output info local volatile SWITCH(config)# syslog output info local non-volatile SWITCH(config)# syslog output info remote 192.168.0.129 SWITCH(config)# show syslogSystem logger on running!

info local volatileinfo consoleinfo local non-volatileinfo remote 192.168.0.129SWITCH(config)#

주의 -. Syslog start 는 자동 실행됨 . -. No syslog 를 한 경우 syslog start 명령어로 재시작 -. Remote server 는 syslogd 프로그램이 설치되어 있어야 함 . -. Show running 에서 보이지 않고 , show syslog 하여야 함 .

2. 장비 초기접속 및 환경설정

20

아 ) SNMP 설정 (continued)

SNMP Community SNMP Community

SNMP Trap 설정 SNMP Trap 설정

Read community strings : system 에 읽기 전용 (read-olny) 으로 접속 Read-write community strings : system 에 읽기 및 쓰기 (read & write) 접속

SWITCH# configure terminal

SWITCH(config)# snmp community public ro

SWITCH(config)# snmp community private rw

하나 이상의 네트워크 관리 단말이 인증된 trap receiver 로서 설정될 수 있다 .

SWITCH# configure terminal

SWITCH(config)# snmp trap-host 10.10.10.10

2. 장비 초기접속 및 환경설정

21

아 ) SNMP 설정 (continued)

snmp 설정 sample snmp 설정 sample

SWITCH(config)# snmp community dasan rwSWITCH(config)# snmp community networks roSWITCH(config)# snmp trap-host 192.168.0.129SWITCH(config)# no snmp trap link-down 5-8SWITCH(config)# no snmp trap link-up 1-4SWITCH(config)# no snmp trap cpu-threshold

SWITCH(config)# show snmp

2. 장비 초기접속 및 환경설정

22

자 ) L3 환경설정

각 Port 를 각각의 VLAN 으로 나누는 설정 각 Port 를 각각의 VLAN 으로 나누는 설정

power(config)# show config-list========================= CONFIG-LIST========================= l3_defaultpower(config)# copy l3_default startup-config[OK]power(config)# exitpower# reloadWarning : Changed configuration was not saved to flash memory.Do you still want to reload the system?[y|N] yJun 7 20:00:48 UTC 2005 Restarting system.

2. 장비 초기접속 및 환경설정

23

차 ) 설정저장

각 Command 실행 시 즉시 적용되나 Reload 후 유지하기 위해 Flash Memory 에 저장 각 Command 실행 시 즉시 적용되나 Reload 후 유지하기 위해 Flash Memory 에 저장

SWITCH# write memoryBuilding configuration...[OK]SWITCH#

2. 장비 초기접속 및 환경설정

24

3. System 3. System 기본설정기본설정

가 ) VLAN 설정나 ) IP 설정다 ) Port 설정라 ) Routing 설정

25

가 ) VLAN 설정 (Continued)

VLAN 설정 순서 VLAN 설정 순서

• VLAN 생성 : VLAN Database 를 이용하여 VLAN 생성 및 삭제 수행

• Switch port 모드 설정 : access 또는 Trunk 로 VLAN 포트 타입 설정

• VLAN 멤버 등록 : VLAN 의 멤버 port 등록

VLAN 설정 명령어 VLAN 설정 명령어

명령어 설명 모드

set vlan create vlan-name <1-4094> vlan 생성 vlan-name 은 brN 의 형태

Bridge

set vlan del vlan-name port-number 모든 port 는 기본적으로 br1 에 속해있으므로 set vlan del br1 3 등으로 삭제 후 재할당

Bridge

set vlan add vlan-name port-number {tagged | untagged}

vlan 에 멤버포트들을 설정한다 .새로 생성된 vlan interface 는 shutdown 상태이므로 각 interface 에서 no shutdown 설정

Bridge

3. System 기본설정

26

가 ) VLAN 설정 (Continued)

VLAN 설정 예 VLAN 설정 예

1)VLANid 가 10 인 포트 기반 VLAN br10 을 생성하고 , port 9 번과 10 번을 vlan 10 에 할당 .

VLAN 설정

SWITCH(config)# bridge

SWITCH(bridge)# set vlan create br10 10

SWITCH(bridge)# set vlan pvid 9-10 10

SWITCH(bridge)# set vlan del br1 9-10

SWITCH(bridge)# set vlan add br10 9-10 untagged

SWITCH(bridge)# exit

SWITCH(config)# interface br10

SWITCH(config-if)# no shutdown

VLAN 확인

SWITCH(bridge)# show vlan

u: untagged port, t: tagged port

----------------------------

| 1

Name( VID) |12345678901234 ( 생략 )

-------------+--------------

br1( 1) |uuuuuuuu......

br10( 10) |........uu....

3. System 기본설정

27

가 ) VLAN 설정 (Continued)

VLAN 설정 예 – cont. VLAN 설정 예 – cont.

2) tagged VLAN br10 을 생성한다 .

SWITCH(bridge)# set vlan add br10 9-10 taggedSwitch# show vlan u: untagged port, t: tagged port ------------------------------------------------------ | 1 2 3 4 Name( VID) |1234567890123456789012345678901234567890 -------------+---------------------------------------- br1( 1) |uuuuuuuuuuuuuuuuuuuuuuuuuu.............. br10( 10) | tt

% 주의 untagged port 에는 PVID 를 반드시 설정하여야 하며

tagged port 에는 설정하여줄 필요가 없습니다 .

PVID 는 VID 와 동일하게 설정하여야 함 .

3. System 기본설정

28

나 ) IP 설정

각 interface 에 IP address 할당방법 각 interface 에 IP address 할당방법

SWITCH# conf t

SWITCH(config)# int br1

SWITCH(config-if)# ip address 10.1.1.1/30

SWITCH(config-if)# no shutdown

SWITCH(config-if)# description This Inteface For AAA Corp.

SWITCH(config-if)# exit

SWITCH(config)# int br2

SWITCH(config-if)# ip address 20.1.1.1/30

SWITCH(config-if)# no shutdown

SWITCH(config-if)# description This Inteface For BBB Corp.

3. System 기본설정

29

다 ) Port 설정

Physical interface 환경 설정 명령어 Physical interface 환경 설정 명령어

명령어 설명 모드set port enable port-number Physical port enable (default) Bridge

set port disable port-number Physical port disable Bridge

set port nego port-number on auto negotiation 설정 Bridge

set port nego port-number off auto negotiation 해제 Bridge

set port speed port-number {10 | 100|1000}

Interface speed 설정 Bridge

set port duplex port-number {full | half}

Interface duplex 설정 Bridge

set port flow-control port-number {on | off}

패킷 전송 중지 설정 Bridge

3. System 기본설정

30

라 ) Routing 설정 (Continued)

Default Gateway 설정 Default Gateway 설정

SWITCH# configure terminal

SWITCH(config)# ip route 0.0.0.0/0 20.1.1.2

Routing Table 확인

SWITCH(config)# show ip route

Codes: K - kernel route, C - connected, S - static, R- RIP, O - OSPF,

B - BGP, > - selected route, *- FIB route

S>* 0.0.0.0/0 [1/0] via 20.1.1.2, br2

C>* 10.1.1.0/24 is directly connected, br1

C>* 20.1.1.0/24 is directly connected, br2

C>* 30.1.1.0/24 is directly connected, br3

C>* 127.0.0.0/8 is directly connected, lo

-- End --

3. System 기본설정

31

Static Routing 경로 설정 Static Routing 경로 설정

ip route ip-address ip-address {ip-address ㅣ interface-name}[1-255]

<sample>

SWITCH(config)# ip route 100.1.1.0/24 10.1.1.2

SWITCH(config)# ip route 200.1.1.0/24 20.1.1.2SWITCH(config)# show ip routeCodes: K - kernel route, C - connected, S - static, R- RIP, O - OSPF,B - BGP, > - selected route, *- FIB routeS>* 0.0.0.0/0 [1/0] via 20.1.1.2, br2C>* 10.1.1.0/24 is directly connected, br1C>* 20.1.1.0/24 is directly connected, br2C>* 30.1.1.0/24 is directly connected, br3S>* 100.1.1.0/24 [1/0] via 10.1.1.2, br1S>* 200.1.1.0/24 [1/0] via 20.1.1.2, br1C>* 127.0.0.0/8 is directly connected, lo-- End --

라 ) Routing 설정

3. System 기본설정

32

4. System 4. System 상태 확인상태 확인

가 ) 시스템 가동시간 확인 (Uptime) 나 ) Port Traffic 확인다 ) RMON라 ) CPULoad 확인마 ) ARP , MAC Address 확인

33

가 ) 시스템 가동시간 확인 (Uptime)

장비 가동 시간확인 장비 가동 시간확인

SWITCH# show uptime0 days 0 hours 10 minutes 57.29 secondsSWITCH#

4. System 상태 확인

34

나 ) Port Traffic 확인

각 포트의 Traffic 을 5 초 /1 분 /10 분 PPS/BPS/bps 로 표시 ( 평균값 ) 각 포트의 Traffic 을 5 초 /1 분 /10 분 PPS/BPS/bps 로 표시 ( 평균값 )

SWITCH# show port statistics avg-pkt 1-2,10============================================================================== Port | Tx | Rx------------------------------------------------------------------------------ Time | pkts/s | bytes/s | bits/s | pkts/s | bytes/s | bits/s==============================================================================port 1 ----------------------------------------------------------------------- 5 sec: 0 0 0 0 0 0 1 min: 0 0 0 0 0 0 10 min: 0 0 0 0 0 0port 2 ----------------------------------------------------------------------- 5 sec: 8 782 6,256 0 0 0 1 min: 6 658 5,264 0 0 0 10 min: 7 787 6,296 0 0 0port 10 ----------------------------------------------------------------------- 5 sec: 7 752 6,016 3 272 2,176 1 min: 7 909 7,272 4 346 2,768 10 min: 7 841 6,728 3 280 2,240SWITCH #

4. System 상태 확인

35

다 ) RMON

각 포트에 대한 RMON 정보표시 각 포트에 대한 RMON 정보표시

SWITCH# show port statistics rmon 24Port 24 ethernet etherStatsDropEvents 0 etherStatsOctets 3199948934 etherStatsPkts 122821029 etherStatsBroadcastPkts 10805279 etherStatsMulticastPkts 4941046 etherStatsCRCAlignErrors 0 etherStatsUndersizePkts 0 etherStatsOversizePkts 708 etherStatsFragments 0 etherStatsJabbers 0 etherStatsCollisions 0 etherStatsPkts64Octets 41105317 etherStatsPkts65to127Octets 27426814 etherStatsPkts128to255Octets 5660755 etherStatsPkts256to511Octets 3210297 etherStatsPkts512to1023Octets 4522591 etherStatsPkts1024to1518Octets 40894547

4. System 상태 확인

36

라 ) CPULoad 확인

CPU Load 를 5 초 /1 분 /10 분 단위로 표시 CPU Load 를 5 초 /1 분 /10 분 단위로 표시

SWITCH# show cpuload----------------Average CPU load---------------- 5 sec: 0.53( 0.00) % 1 min: 0.51( 0.00) %10 min: 0.51( 0.00) %

CPU Load Threshold : 50

SWITCH#

4. System 상태 확인

37

마 ) ARP , MAC Address 확인

ARP 및 Learning 된 MAC Address 확인 ARP 및 Learning 된 MAC Address 확인

SWITCH# show arpAddress HWtype HWaddress Flags Mask Iface172.16.1.254 ether 00:D0:CB:0A:10:58 C br1SWITCH# show mac br1port (id) mac addr permissioneth01(1) 00:00:e2:82:e2:36 OKeth01(1) 00:00:e2:8a:ec:a2 OKeth01(1) 00:00:f0:71:50:99 OKeth01(1) 00:01:02:96:1a:21 OKeth01(1) 00:01:e6:25:43:5b OKeth01(1) 00:02:78:e0:7d:d5 OK

4. System 상태 확인

38

5. 5. 부가기능부가기능

가 ) 가입자 속도 제한 (Bandwidth Control)나 ) Storm Control다 ) Port Mirroring라 ) 가입자수 제한 (Max-hosts)마 ) Port Trunking바 ) STP사 ) MAC-Filter아 ) ACL자 ) OS Upgrade차 ) Password Recovery

39

가 ) 가입자 속도 제한 (Bandwidth Control)

1Mbps 단위로 속도조절 가능 1Mbps 단위로 속도조절 가능

SWITCH(config)# brSWITCH(bridge)# set rate 1-24 10 egressSWITCH(bridge)# show rate---------------------------------------------------------------- Port Ingress Egress | Port Ingress Egress--------------------------------+------------------------------- 1 N/A 10M | 2 N/A 10M 3 N/A 10M | 4 N/A 10M 5 N/A 10M | 6 N/A 10M 7 N/A 10M | 8 N/A 10M 9 N/A 10M | 10 N/A 10M 11 N/A 10M | 12 N/A 10M 13 N/A 10M | 14 N/A 10M 15 N/A 10M | 16 N/A 10M 17 N/A 10M | 18 N/A 10M 19 N/A 10M | 20 N/A 10M 21 N/A 10M | 22 N/A 10M 23 N/A 10M | 24 N/A 10M 25 N/A N/A | 26 N/A N/A

5. 부가기능

40

나 ) Storm-Control

Broadcast/Multicast/Flooding 제한 설정 Broadcast/Multicast/Flooding 제한 설정

SWITCH(bridge)# set storm-control enableSWITCH(bridge)# set storm-control add broadcast 32

한 장비의 Broadcast 를 32 개로 제한 [ 즉 , Vlan 이 2 개면 각 Vlan 당 16 개씩 제한

SWITCH(bridge)# set storm-control add 1 16 해당 Vlan 에 Flooding 되는 패킷수를 제한 한다 .[1 번 Vlan 에 16 개 ]

SWITCH(bridge)# set storm-control add 1 32 01:00:5e:00:00:01 해당 Vlan 에 설정 Mac 에 해당하는 Multicast 패킷을 제한한다 .[1 번 Vlan 에 32 개 ]

SWITCH(bridge)# set storm-control add 2 100

SWITCH(bridge)# show storm-control status

Vlan id UseGroupMAC GroupMACAddress PacketsPerTimeUnit

------- ----------- --------------- ------------------

0001 No 01:00:5e:00:00:01 32

---- No ff : ff : ff : ff : ff : ff 96

0002 No -- : -- : -- : -- : -- : -- 96

SWITCH(bridge)#

5. 부가기능

41

다 ) Port-mirroring

Mirrored 된 Port 의 In/Out Traffic 을 그대로 Monitor Port 로 복사 Mirrored 된 Port 의 In/Out Traffic 을 그대로 Monitor Port 로 복사

SWITCH# conf tSWITCH(config)# brSWITCH(bridge)# set mirror monitor 1SWITCH(bridge)# set mirror add 2SWITCH(bridge)# set mirror add 3SWITCH(bridge)# set mirror enableSWITCH(bridge)# show mirrorMirroring enabledMonitor port = 1Ingress-mirrored ports-- 02 03 -- -- -- -- -- -- -- -- -- -- -- -- -- -- Egress-mirrored ports-- 02 03 -- -- -- -- -- -- -- -- -- -- -- -- -- --

1

Monitor port

모니터링을 위한 snipper 등의프로그램 enable

2 3

5. 부가기능

42

라 ) 가입자 수 제한 (Max-hosts)

Max-hosts : 최대 수용 가능한 Mac host 개수 설정 Max-hosts : 최대 수용 가능한 Mac host 개수 설정

SWITCH# conf tSWITCH(config)# br SWITCH(bridge)# set max-hosts 1 1SWITCH(bridge)# show maxSWITCH(bridge)# show max-hosts port 1 : 1/1 (current/max)port 2 : 0/Unlimited (current/max)port 3 : 0/Unlimited (current/max)

SWITCH(bridge)# show mac br1port (id) mac addr permission in useeth01 (1) 00:00:39:ca:89:98 OK yeseth01 (1) 00:d0:cb:0a:a3:4a OK yes

1

• 1 번 포트에 1 개의 client 만 통과

5. 부가기능

43

마 ) Port trunking

Port Trunk 설정 예 Port Trunk 설정 예

1. Trunk port 설정2. 1-4 번 port 브릿지 그룹에서 빠짐 .3. 29 번 포트를 브리지 그룹에 추가4. 총 14 개의 그룹 설정 가능

SWITCH(bridge)# set trunk add 0 1-4 SWITCH(bridge)# show trunk Trunk Group 0 : 1(o) 2(x) 3(x) 4(x)Trunk Group 1 : InactiveTrunk Group 2 : InactiveTrunk Group 3 : Inactive

< 중략 >

Trunk Group 11 : InactiveTrunk Group 12 : InactiveTrunk Group 13 : InactiveSWITCH(bridge)# set vlan pvid 29 1SWITCH(bridge)# set vlan add br1 29 untagged

5. 부가기능

44

사 ) Mac-filter

Default-policy 와 MAC-Filter 로 구분되어 지며 MAC-Filter 가 우선순위가 높다 . Default-policy 와 MAC-Filter 로 구분되어 지며 MAC-Filter 가 우선순위가 높다 .

SWITCH(bridge)# set mac-filter default-policy deny 1-3SWITCH(bridge)# set mac-filter default-policy deny 7SWITCH(bridge)# show mac-filter default-policy ------------------------- PORT POLICY | PORT POLICY ------------+------------ 1 DENY | 21 PERMIT 2 DENY | 22 PERMIT 3 DENY | 23 PERMIT 4 PERMIT | 24 PERMIT --- 중 략 --- 15 PERMIT | 35 PERMIT 16 PERMIT | 36 PERMIT 17 PERMIT | 37 PERMIT 18 PERMIT | 38 PERMIT 19 PERMIT | 39 PERMIT 20 PERMIT | 40 PERMIT SWITCH(bridge)# set mac-filter add 00:02:a5:74:9b:17 permit 1 1SWITCH(bridge)# set mac-filter add 00:01:a7:70:01:d2 permit 1 1SWITCH(bridge)# show mac-filter

1

A: 00:02:a5:74:9b:17B: 00:01:a7:70:01:d2C: 00:01:a7:11:22:33

A B C

5. 부가기능

45

바 ) STP

L2 Loop 방지기능 L2 Loop 방지기능

SWITCH(bridge)# show stpbridge name bridge id STP enabled modebr1 8001.00d0cb26021c no stpSWITCH(bridge)# set stp enable br1 [STP 설정 ]SWITCH(bridge)# set stp disable br1 [STP 해제 ]SWITCH(bridge)#

% Default 설정은 Disable 임 .

5. 부가기능

46

아 ) ACL (Continued)

Packet 차단을 위한 Rule 설정 Packet 차단을 위한 Rule 설정

1. L2/L3/L4 packet 분류

SWITCH(qos)# classify packet L2-rule-name 0800 unicast [0800 & unicast packet]SWITCH(qos)# classify host L3-rule-name ip dst 10.1.1.0/24 any any any [Destination ip 가 10.1.1.0/24]SWITCH(qos)# classify l4 L4-rule-name ip tcp dst 21 any [Destination port 가 21 번 ] 2. Main rule

SWITCH(qos)#classify main main-1 add l2-rule any l3-rule any l4-rule any [packet 분류의 정의를 불러와서 사용한다 .] [0800 & unicast packet] 이고 [Destination ip 가 10.1.1.0/24] 이고

[Destination port 가 21 번 ] 이면 main-1 으로 지정

3. rule match

SWITCH(qos)# classify main main-1 match drop [main-1 의 조건과 일치하면 drop 한다 .]

1. L2/L3/L4 packet 분류2. Main rule 3. Rule match

5. 부가기능

47

장비 자체를 Destination 으로 하는 Packet 에 대한 ACL 장비 자체를 Destination 으로 하는 Packet 에 대한 ACL

SWITCH# configure terminal

• admin-access-rule 설정

예 ) # admin-access-rule [name] classify [priority] ip [source ip address]

[destination ip address] [protocol] [source port] [destination port]

예 ) # admin-access-rule [name] match [permit/deny]

• ADMIN-IP 로만 telnet 접속 가능하도록 admin-access-rule 을 적용

SWITCH(config)# admin-access-rule telnet-deny classify low ip any any tcp any 23

SWITCH(config)# admin-access-rule telnet-deny match deny

SWITCH(config)# admin-access-rule telnet-permit classify medium ip any <ADMIN-IP> tcp any 23

SWITCH(config)# admin-access-rule telnet-permit match permit

% Telnet 으로 작업시 반드시 Permit 을 먼저 해주어야 Telnet Session 이 유지됨 .

아 ) ACL (Continued)

5. 부가기능

48

자 ) OS Upgrade

OS Upgrade 수행 OS Upgrade 수행

장비와 PC 간 Console Cable 과 Cross Cable 을 이용해 Management Ethernet Port 를 연결 장비 재 부팅 후 “ s” 키 누름

Boot Mode 에서 pc 네트웍과 동일한 ip 대역 설정

ip 172.16.50.10 ( 예 )

save

reboot

재부팅 후 “ s” 키 누름

TFTP Server(PC) 로부터 OS down Load

load prog 172.16.50.1 V6224.7.08z.x

load prog <pc-ip-address> < 이미지파일이름 >

reboot tftp 서버를 구동 후 boot 모드에서 load 한 경우 위와 같이 표시됨

5. 부가기능

49

root=/dev/ram console=ttyS0,9600Switch OS Version : 7.08z #4259CPU manufacturer : Motorola [rev=1014]CPU speed : 200MHzMemory : 256M (available 248360k) INIT: version 2.77 booting Control-C 입력 INIT: Entering runlevel: 3(none) login: rootPassword:login[22]: root login on `ttyS0' *SWITCH# tar xPvf /dev/conf *SWITCH# savecfg*SWITCH# reboot

차 ) Password Recovery

Password recovery 를 위해 시스템 재부팅 Password recovery 를 위해 시스템 재부팅

5. 부가기능

50

6. Sample Configuration6. Sample Configuration

51

hostname power_apt

bridge

set vlan pvid 1-23,25-26 1

set vlan pvid 24 24

set vlan create br1

set vlan create br24

set vlan add br1 1-23,25-26 untagged

set vlan add br24 24 untagged

set mac-flood-guard 1-23 400

set storm-control enable 100

set storm-control add broadcast 2032

interface br1

description power_apt101

ip address 203.236.124.2/24

interface br24

description uplink port

ip address 10.1.1.1/30

ip martian-filter br1

Sample Configuration ( Continued)6. Sample Configuration

52

qos classify l4 igmp_src ip igmp src classify l4 igmp_dst ip igmp dst 0 classify l4 udp_1434_src ip udp src 1434 classify l4 udp_1434_dst ip udp dst 1434 classify l4 tcp_445 ip tcp dst 445 any classify l4 tcp_4444_dst ip tcp dst 4444 any classify main IGMP_SRC add any any any igmp_src any any classify main IGMP_SRC match drop classify main IGMP_DST add any any any any igmp_dst any classify main IGMP_DST match drop classify main TCP_4444_DST add any any any any tcp_4444_dst any classify main TCP_4444_DST match drop classify main UDP_1434_SRC add any any any udp_1434_src any any classify main UDP_1434_SRC match drop classify main UDP_1434_DST add any any any any udp_1434_dst any classify main UDP_1434_DST match drop classify main TCP_445_DST add any any any any tcp_445 any classify main TCP_445_DST match drop

ip route 0.0.0.0 10.1.1.2ip tcp ignore rst-unknownip tcp syncookiesip dhcp mode relay 202.168.126.2snmp community ro inetinsnmp community ro powernmssnmp community ro dacomsnmp trap-host 192.168.252.254

Sample Configuration6. Sample Configuration

53

7. 7. 구성 실습 예제구성 실습 예제

가 ) Case-I

54

APT 구내망 L3 Switch(V6224)APT 구내망 L3 Switch(V6224)

<L3 아파트 집선 Switch 기본 설정사항 >1.Hostname:ISP 명 -APT 명 -L2.Vlan 생성 하나의 Vlan 을 생성하여 uplink 에 할당 default Vlan 을 아파트 전체에 제공하되 필요시 각 동별 (port별 ) vlan 을 나누어 제공한다 . br1 에 management/Gate-way ip 설정3.망측 Link address(br24 에 uplink 설정 ) 사설 IP(10.x.x.x/30) 할당 ( 지사별 사설 IP 할당기준 참조 )4. 각 인터페이스에 description 을 설정5.Default Route 설정 연결된 국사측 장치의 Link address 로 Default route 설정 )6. Martian-filter 설정 soure ip spoofing 으로 부터 차단기능 예 ) ip martian-filter br1

가 ) Case-I (V6224 + V2124)

7. 구성 실습 예제

IP망 국사 및 ISP 연계망 100M FX

APT 내부

아파트 MDF 실 L3 집선

Switch

101동

100M FX

102동

103동

105동

104동

100M FX

55

APT 구내망 L3 Switch(V6224)APT 구내망 L3 Switch(V6224)

<L3 아파트 집선 Switch 기본 설정사항 >7.DHCP Relay 설정예 ) ip dhcp mode relay x.x.x.x(server address)8.Storm-control 설정과도한 Broadcast, Multicast traffic 을 조절하여 장비의 부하를 줄이기 위한 설정예 ) set storm-control add broadcast 2040 set storm-control add 1 2040 (GMAC)9.NMS 관련설정snmp community ro dacom (ro: read-only)snmp community ro inetin snmp community ro powernms snmp trap-host 192.168.252.254 (trap server)10. 장비로의 접근제어 admin-access-rule 을 이용한 장비로의 접근 제어 설정

가 ) Case-I (V6224 + V2124)

7. 구성 실습 예제

IP망 국사 및 ISP 연계망 100M FX

APT 내부

아파트 MDF 실 L3 집선

Switch

101동

100M FX

102동

103동

105동

104동

100M FX

56

APT 구내망 L3 Switch(V6224)APT 구내망 L3 Switch(V6224)

<L3 아파트 집선 Switch 기본 설정사항 >11. SYN Attack 방지 기능 시스템에서 서비스하지 않는 TCP 또는 UDP Port 로 Sync Attack 시 Drop 예 ) ip tcp syncookies 시스템에서 서비스하는 TCP 또는 UDP Port 로 Sync Attack 시 Syncookies 를 설정하여 서비스에 지장이 없도록 동작 . 예 ) ip tcp ignore rst-unknown 12. QoS 적용 Virus 등 알려진 공격을 사전 차단13. MAC-Flood guard 설정 1~23 번 포트에서 특정 가입자 MAC 에서 초당 400 개 이상의 Packet 유입 시 MAC Address 를 Deny 한다 . 예 ) set mac-flood-guard 1-23 400

가 ) Case-I (V6224 + V2124)

7. 구성 실습 예제

IP망 국사 및 ISP 연계망 100M FX

APT 내부

아파트 MDF 실 L3 집선

Switch

101동

100M FX

102동

103동

105동

104동

100M FX

57

<L3 아파트 집선 Switch 기본 설정사항 >QoS 설정사항 classify l4 igmp_src ip igmp src classify l4 igmp_dst ip igmp dst 0 Bomba 등 다량 Traffic classify l4 udp_1434_src ip udp src 1434 <- MS SQL server 의 성능을 저하시키는 Virus Packet classify l4 udp_1434_dst ip udp dst 1434 classify l4 tcp_445 ip tcp dst 445 any classify l4 tcp_4444_dst ip tcp dst 4444 any <- Mblast 웜 바이러스 classify main IGMP_SRC add any any any igmp_src any any classify main IGMP_SRC match drop classify main IGMP_DST add any any any any igmp_dst any classify main IGMP_DST match drop classify main TCP_4444_DST add any any any any tcp_4444_dst any classify main TCP_4444_DST match drop classify main UDP_1434_SRC add any any any udp_1434_src any any classify main UDP_1434_SRC match drop classify main UDP_1434_DST add any any any any udp_1434_dst any classify main UDP_1434_DST match drop classify main TCP_445_DST add any any any any tcp_445 any classify main TCP_445_DST match drop!

가 ) Case-I (V6224 + V2124)

7. 구성 실습 예제