반응형
초기 설치 방법
앞에서 라우터에 관해서 간략히 알아 보았는데 라우터를 가지고 최적의 네트워크를 구성하기 위해서는 자사 네트워크의 규모나 특성등을 정확히 파악하여 구축하는 것이 바람직 할 것 같다. 전용회선 구성이 완료되면 라우터를 종단장치와 연결을 하여 초기 셋팅을 한다. 국내에 가장많이 보급된 CISCO 라우터는 초기 셋팅의 편의를 위해 "SETUP"이라는 Command를 제공한다.다음은 라우터로 Access하는 방법과 SETUP명령을 통해 실제로 셋팅하는 방법이다.처음 라우터를 구입하게 되면 각종 라우터 비품과 MANNUAL이 있는데 자세한 내용은 이를 참조한다.
1. CISCO ACCESS 방법
* CONSOLE
CONSOLE 케이블과 단말기(PC,NOTE-BOOK)를 사용하여 직접 연결 장비와 함께 제공되는 CONSOLE 케이블을 이용한다.통신 포트 셋팅: 9600-NONE-8-1
속도: 9600
흐름제어: XON/OFF
패리티 비트: 8BIT
STOP BIT: 1BTT* TELNET
TELNET을 이용하여 원격으로 ACCESS 하는 방법 LAN에 연결되어 있는 환경에서는 TELNTE 에뮬레이터를 이용하여 접근* AUX
AUX PORT를 이용하여 원거리에서 ACCESS하는 방법 많이 사용하지는 않지만, aux port에 모뎀을 연결하여 원거리 지역에서 전화를 걸어서 접속하는 방법이 있다.
2. SETUP 방법
setup command를 이용한 설정(대화형식의 라우터 설정)예) Router#setup--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.Continue with configuration dialog? [yes]: 대화형식의 환경설정First, would you like to see the current interface summary? [yes]:
Interface IP-Address OK? Method Status Protocol
Ethernet0 203.255.112.228 YES NVRAM up up
Serial0 203.231.85.138 YES manual down downConfiguring global parameters:
Enter host name [Router]: router 라우터의 명칭The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret [ ]: router - enable password 암호화된 형태로 enable password 보다 우선The enable password is used when there is no enable secret
and when using older software and some boot images.Enter enable password [router]: router enable passwordEnter virtual terminal password [router]: router 외부에서 telnet 접속할 때 필요한 passwordConfigure SNMP Network Management? [yes]: NMS를 정의Community string [public]: SNMP community 설정Configure IP? [yes]: ip address 설정Configure IGRP routing? [no]: IGRP 프로토콜 사용 안함Configure RIP routing? [yes]: RIP 프로토콜 사용Configuring interface parameters:
Configuring interface Ethernet0:
Is this interface in use? [yes]: ethnet 인터페이스 사용Configure IP on this interface? [yes]: ip address 설정함
IP address for this interface [203.255.112.228]: 사용할 ip address 기입
Number of bits in subnet field [0]: subnet 비트 수(0:디폴트)
Class C network is 203.255.112.0, 0 subnet bits; mask is /24
Configuring interface Serial0:
Is this interface in use? [yes]: serial 인터페이스 사용
Configure IP on this interface? [yes]: ip address 설정함
Configure IP unnumbered on this interface? [no]: ip address 설정함
IP address for this interface [203.231.85.138]: 사용할 ip address 기입
Number of bits in subnet field [6]: 6비트로 subnet
Class C network is 203.231.85.0, 6 subnet bits; mask is /30
The following configuration command script-x was created:
hostname router
enable secret 5 $1$msJM$TvuEk.ljvlRD98LBHb5ya/
enable password router
line vty 0 4
password router!
ip routing
!
interface Ethernet0
ip address 203.255.112.228 255.255.255.0
!
interface Serial0
ip address 203.231.85.138 255.255.255.252
!
router rip
network 203.255.112.0
network 203.231.85.0
!
endUse this configuration? [yes/no]: y 환경 설정 사용함
The enable secret you have chosen is the same as your enable password.
This is not recommended. Re-enter the enable secret.
The enable password you have chosen is the same as your enable secret.
This is not recommended. Re-enter the enable password.Building configuration...
[OK]
Use the enabled mode 'configure' command to modify this configuration.
router#
Password 설정
1. Console Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password cisco2. Virtual terminalRouter(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password cisco3. EnableRouter(config)#enable password cisco4. SecretRouter(config)#enable secret sanfran5. 라우터에 Telnet - 특정 ip만 허용
Router(config)#access-list 1 permit 203.255.112.72 <= 특정 ip 만 하나 허용
Router(config)#access-list 1 permit 203.255.113.0 0.0.0.255
<= c class 통째 허용
Router(config)#access-list 1 permit 203.235.123.0 0.0.0.63
<= 특정 뒷자리만 허용
- 적용
Router(config-line)#access-class 1 in
Enable Password 복구
1. Console 붙인 후, 전원을 껐다 켠다.
System Bootstrap, Version 5.3.2(9) [vatran9], RELEASE SOFTWARE (fc1)
Copyright(c) 1994 by cisco Systems, Inc.
C1000 processor with 8192 Kbytes of main memory2. Rommon 상태로 들어간다.
하이퍼터미널의 경우 : Control + Break Key 6회 이상
넷텀의 경우 : Edit 메뉴의 Send Short/Long BreakUser break detected at location 0xcfa5c
monitor: command "boot" aborted due to user interrupt
Cisco 1005/1600
rommon 1 > confreg 0x42
You must reset or power cycle for newconfig to take effect
rommon 2 > reset Cisco 2500 이상
>o/r 0x42
> I3. 초기 config 모드를 n(No) 한다. (만약 y 했다면 ^C로 취소한다.)
Would you like to enter the initial configuration dialog? [yes/no]:n
Press RETURN to get started!4. 예전 Config 복구 및 저장한다.
Router# copy startup-config running-config
Destination filename [running-config]?
505 bytes copied in 2.536 secs (252 bytes/sec)
Router# wr5. Passwd 변경과 register 값을 원래대로 복구한다.
Router# config t
Router(config)# enable secret router
Router(config)# config-register 0x2102
Router(config)# exit
Router# wr
Router# reload
Proceed with reload? [confirm]6. Passwd 가 복구되었는지 확인한다.Router> en
Password :
Router#7. 정상적으로 register 값이 복구되었는지 확인한다.
Router# sh ver
Configuration register is 0x2102
Local에서 IOS 업그레이드
1. 업그레이드시 필요한 것을 준비한다.
콘솔 케이블 , Cross 케이블, CISCO IOS , TFTP Server , Netterm
2. 노트북이나 PC에 TFTP 프로그램 다운 받아서 설치한다.
TFTP Server (TFTPServer-1-980730.exe)를 설치한 뒤에,
IOS 파일 (c10-112.bin(Cisco1005-11.2 version, c20-111.bin(Cisco2500-11.1 version)를 C:IOS 디렉토리에 받는다.
3. TFTP Server에서 프로그램 업다운 디렉토리를 선택한다.
Cisco TFTP Server 실행하고 메뉴에서 View => Options => TFTP Server Root 의 Browser 클릭하여 C: IOS 를 선택하여 OK한다.
4. 라우터에 콘솔케이블을 연결한다.
PC는 Com1 Port 에 연결.하이퍼 터미널이나 넷텀으로 콘솔 붙이기
(원격으로 작업할 때는 telnet 으로 연결한다)
하이퍼터미널 설치
Windows CD를 넣고 시작-제어판-프로그램추가/제거- Windows 설치- 통신- 하이퍼터미널부분을 체크- 확인해서 설치한다. (시작-프로그램-보조프로그램-통신 부분에서 하이퍼터미날 실행)
하이퍼터미날 연결 옵션 설정
이름: Consol
Com1에 직접연결을 선택
초당 바이트수 :9600
데이터비트: 8 ,
패리티 없음,
정지비트 1 ,
흐름제어 : 없음.
바탕화면에 Consol 단축 아이콘을 만들고 실행시킴
에뮬레이션 : vt100넷텀, 테라텀 사용시
메뉴 File=>Phone Direceory => Modem Test=> Modem Settings => Port(Com1), Baud Raue(9600), Data Bit(8),Parity(None), Stop Bits:1 , Control :XON/XOFF 만 체크. Dialing Ton 체크안함 => OK , Emulation:VT100 => Connect
5. 고객사 라우터의 IOS 버전을 확인한다.
router# sh ver
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-JS-L), Version 11.2(15), RELEASE SOFTWARE (fc1) Copyright (c) 1986-1998 by cisco Systems, Inc.
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read ONLY)
Configuration register is 0x2102
6. Enable mode 로 옮긴다.
Router>en
Password:
Router#
7. TFTP 로부터 FLASH Memory 로 Cisco IOS를 Upload 한다.
Cross Cable을 PC와 라우터 Ethernet Port 에 연결한다.
(혹은, 1대1케이블을 허브에 연결해서) PC 와 라우터는 같은 네트웍이어야 한다.
8. TFTP를 이용하여 IOS 파일을 FLASH Memory로 업로드 한다.
# copy tftp flash
Address or name of remote host [203.255.113.37]?
(TFTP Server가 Install 되어 있는 PC의 IP를 입력한다.)
Source filename [c10-112.bin] ? 업그레이드 버젼 파일 입력
Destination filename [c10-112.bin] ?
Accessing tftp://203.255.113.37/c10-112.bin...
Erase flash: before copying? [confirm]
Erasing the flash filesystem will remove all files! Continue? [confirm]
Erasing device... eeeeeeeeeeeeeeee ...erased
Erase of flash: complete
Loading c10-112.bin from 203.255.113.37 (via Ethernet0): !!!!!!!!!!!!!!
9. 저장 및 재부팅한다.
IOS를 Flash Memory로 업그레이드가 끝나면
CISCO 1005 경우
# wr
# reload
CISCO 2500 경우 라우터가 자동으로 리부팅 한다.
부팅후 # wr
IP ACCOUNTING
1. 내부 트래픽 확인 (IP Accounting은 output-packets만 적용)
Serial Interface 적용시 - 유출양 확인
Ethernet Interface 적용시 - 유입양 확인
2. 설정법
ROUTER#
ROUTER# config t
ROUTER(conf)# int s0 (또는 int e0)
ROUTER(conf-if)# ip accounting output-packets
ROUTER(conf-if)# ^z
ROUTER# sh ip accounting output-packetsSource Destination Packets Bytes
203.200.39.50 203.239.36.121 6 328
202.109.117.194 203.239.36.122 1 40
203.235.205.231 203.239.36.123 195 12849
202.109.117.194 203.239.36.124 1 40
203.235.205.231 203.239.36.125 832 51043
접속하는 IP들의 경로와 Packets양을 보여줍니다.
Accounting data age is 0 ----- 분 단위 (30이 넘어가지 않도록 주의한다)
3. 해지법
ROUTER#
ROUTER# config t
ROUTER(conf)# int s0 (또는 int e0) --- 설정했던 인터페이스
ROUTER(conf-if)# no ip accounting output-packets (앞에 no를 붙여준다)
ROUTER(conf-if)# ^z
ROUTER# sh ip accounting output-packets
더 이상 나타나지 않는다.
4. clear 방법
ROUTER# clear ip accounting
5. 주의사항
Encapsulation이 Frame-relay로 sub-interface로 설정이 되어 있을 경우
ROUTER(config)# int s0.1
ROUTER(config-subif)# ip accounting output-packets (해지시 앞에 no)
ROUTER(config-subif)# ^z
Helper-address
1. Broadcast => Unicast
Interface e 0
ip address 10.10.10.1 255.255.255.0
ip help-address 10.10.20.2
e0에 도착하는 Subnet Broadcast를 144.253.2.2로 Unicast 한다.
2. 제한된 Unicast
Interface e 0
ip address 10.10.10.1 255.255.255.0
ip help-address 10.10.20.2ip forward-protocol udp 3000
no ip forward-protocol udp 69
e0에 도착하는 Broadcast를 10.10.20.2로 Unicast 하는데 있어, UDP Destination Port 3000번을 쓰는 Packet은 넘기고, 69번을 쓰는 Packet은 Filtering 한다. 즉 69번을 쓰는 Packet만 Filtering된다. |
3. Broadcast => Broadcast
Interface e 0
ip address 10.10.10.1 255.255.255.0
ip help-address 10.10.20.255
e0에 도착하는 Broadcast를 10.10.20.255로 Broadcast한다.
Log & 시간 설정
1. 라우터에 로그 남기도록 설정하기
Router# config t
Router(config)# service timestamps debug datetime localtime msec
Router(config)# service timestamps log datetime localtime msec
Router(config)# logging buffered
Router(config)# ^Z
Cisco 1005 는 IOS 11.3 버전 이상부터 default 로 지원된다.
2. 리부팅 후에도 시간 설정 지워지지 않게 설정하기
Router# config t
Router(config)# clock timezone KST 9
Router(config)# ntp server 203.255.112.34
Router(config)# ntp server 203.255.112.4
Router(config)# ^Z
Router#clock set 18:11:00 10 octo 2000
Router# wr
Routing 이란
1. Routing Protocol
- 라우팅프로토콜은 라우팅을 수행하는 프로토콜이다.
- 라우팅테이블 구성, 라우팅테이블 Update등의 기능도 있다.
- Inter-Network 환경에서, 가장 효율적인 경로를 찾아 Routed Protocol 을 라우트한다.
2. Routed Protocol
- 실제 라우팅 되는 Protocol로 TCP/IP, IPX/SPX, Appltalk, Decnet Protocol등이 있다.
3. Static Routing & Dynamic Routing
1) Dynamic Routing
- 라우터간에 라우팅 테이블 정보를 교환하여 최적의 경로 테이블 구성 및 업데이트를 담당한다.
- IGP(Interior Gateway Protocol)와 EGP(Exterior Gateway Protocol)로 구분된다.
- AS(Autonomous System) 번호는 통상 ISP들이 Internic에서 부여 받는 네트워크 영역 번호로 AS안에는 ISP에서 회선을 공급 받는 고객사 네트워크를 포함하게 된다.
- 현재 AS 들간의 통신은 EGP인 BGP4를 사용하고, AS 내부에서는 RIP, IGRP, EIGRP ,OSPF를 사용한다.
2) Static Routing
- Routing Table을 수동으로 구성한다.
- 관리자가 직접 라우팅 테이블을 수동적인 입력 방법에 의해 구성한다.
- Stub Network을 연결하는 라우터 간에는 Static Routing을 구성하여, Dynamic Routing의 OverHead를 줄일 수 있다.
Default Routing
| ||||||||||||||||||||||||
|
Static Routing
| ||||||||||||||||
|
PPP와 Frame Relay
1. 고객사 라우터 PPP 설정 방법
Router_A# config t
Router_A(config)# int e0
Router_A(config-if)# ip address 203.239.36.70 255.255.255.248
(게이트웨이, Subnet-mask)
Router_A(config-if)# no shutdown
Router_A(config-if)# exitRouter_A(config)# int s0
Router_A(config-if)# descript-xion ### HaHaHa Company ###
Router_A(config-if)# ip address 10.124.100.34 255.255.255.252
(시리얼 IP주소, Subnet-mask)
Router_A(config-if)# no shutdown
Router_A(config-if)# encapsulation ppp
(그 외 type -> frame relay, hdlc)
Router_A(config-if)# bandwidth 56
(T1 = 1544, E1 = 2048 등)
Router_A(config-if)# exitRouter_A(config)# ip route 0.0.0.0 0.0.0.0 10.124.100.33
(디폴트 라우터 설정, ISP쪽 시리얼주소)
Router_A(config)# default-value exec-character-bit 8
Router_A(config)# ip routing
Router_A(config)# ^z (Ctrl + z)
Router_A# wr2. 고객사 라우터 Frame Relay 설정 방법
version 11.3
no service password-encryption
!
Hostname Router
!
ip subnet-zero
!
interface Ethernet0
ip address 203.239.36.70 255.255.255.248
!
interface Serial0
descript-xion ### HaHaHa Company ###
no ip address
encapsulation frame-relay (그 외 type -> ppp, hdlc)
frame-relay lmi-type ansi (그 외 lmi-type -> cisco, q933a)
!
interface Serial0.1 point-to-point
descript-xion ### HaHaHa Company ###
ip address 10.248.2.254 255.255.255.252 (시리얼 IP주소, Subnet-mask)
frame-relay interfae-dlci 100 (dlci 설정값 = 100)
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.248.2.253 (디폴트 라우터 설정, ISP쪽 시리얼주소)
default-value exec-character-bit 8
!
line con 0
line vty 0 4
login
Dynamic Routing
| ||||||||
|
Firewall Router 개요
1. 네트워크 구성도
2. 보안정책보안문제는 사용자가 점점 더 많은 인터넷 접속을 시도 하고, 자체 네트워크의 규모가 커짐에 따라 더욱 필요하게 되어 가고 있다. 외부 사용자가 내부 네트워크에 대해 접근을 차단하거나 내부사용자에 대해 불건전한 사이트에 대한 접속을 제한하는 등 여러 보안정책을 사용할 수 있다. 보안이 강조될수록 사용자가 이용 할 수 있는 인터넷 서비스는 축소 또는 불편을 겪을 수 있으므로 네트워크 관리자는 네트워크 환경을 면밀하게 분석하여 보안정책을 수립하는 것이 필요하다.
Access List 개요
1. Access List
-
IP 트래픽에 대한 필터링 기능을 수행한다.
-
Standard IP Access List와 Extended IP Access List가 있다.
2. Standard IP Access List
-
Source IP 주소만으로 Access를 통제한다.
-
Access List 번호 1-99번을 사용한다.
-
Access List 가 특정 IP 주소를 Reject 하는 경우, 라우터는 패킷을 버리고
“Host Unreachable” ICMP Message를 돌려준다. -
Deny 하려는 Traffic의 목적지에 가장 가까운 인터페이스에 적용한다.
3. Extended IP Access List
-
송신지의 IP 주소, Port 번호, 도착지의 IP 주소, Port 번호를 사용하여
Access를 통제한다. -
Access List 번호 100-199번을 사용한다.
-
Deny하려는 Traffic의 송신지에 가장 가까운 인퍼페이스에 적용한다.
4. Helper Addressing
-
라우터는 기본적으로 브로드 캐스트를 차단한다.
-
Helper Service는 브로드 캐스트를 목적 서버에 Direct로 Forwarding할 수 있게 한다.
Extended IP Access-list
1. 문법
-
일반적인 형태
Router(config)#access-list access-list-number {permit | deny} {protcol | protocol-keyword} {source-wildcard | any}
{destination-wildcard | any} {protocol-options} -
ICMP Protocol에 대한 Extended Access List
Router(config)#access-list access-list-number {permit | deny} icmp {source wildcard | any} {destination wildcard | any}
{destination wildcard | any} [icmp-type[icmp-code] | icmp-message] -
TCP Protocol에 대한 Extended Access List
Router(config)#access-list access-list-number {permit | deny} tcp {source wildcard | any } [operator source-port |source-port]
{destination woldcard | any} [poerator destination-port | destination-port] [established]
- tcp port number 혹은 keyword로 제어가능
- “established”가 지원되는 것이 특징 -
UDP Protocol에 대한 Extended Access List
Router(config)#access-list access-list-number {permit | deny} udp {source wildcard | any} [ operator source-port | source-port]
{destination wildcard | any} [operator destination-port | destination-port]
- udp port 혹은 keyword로 제어가능
- ‘edtablished’가 지원되지 않음
2. 예제
192.168.1.0 네트워크에 있는 서버A (192.168.1.11)에 Telnet 만을 제외하고 모든 TCP Access를 막는다. 192.168.3.0 에서는 192.168.5.0 에 Access할 수 없다. 192.168.1.0과 192.168.5.0 네트워크는 상호 통신 가능해야 한다. |
RouterA# config t
RouterA(config)# access-list 100 deny tcp any host 192.168.1.11 eq telent
RouterA(config)# access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255
RouterA(config)# access-list 100 permit ip any any
RouterA(config)# interface serial 0
RouterA(config-if)# ip access-group 100 in
RouterC# config t
RouterC(config)# interface serial 0
RouterC(config-if)# ip access-group 100 in
3. FAQ
3-1) 외부에서 내부네트웍에 대해 Telnet 안되도록 설정하는 방법
Router#config t
Router(config)#access-list 100 permit tcp any any established
Router(config)#access-list 100 permit tcp 203.255.113.0 0.0.0.255 any eq telnet
Router(config)#access-list 100 deny tcp any any eq telnet
Router(config)#access-list 100 permit ip any any
Router(config)#^Z
Router#config t
Router(config)#int s0
Router(config-if)#ip access-group 100 in
Router(config-if)#^Z
3-2) 외부에서 내부로 들어오는 백오리피스 포트 막는 방법
Interface Serial0
Ip access-group 119 in
Access-list 119 permit tcp any any established
Access-list 119 deny tcp any any eq 31337
Access-list 119 deny udp any any eq 31337
Access-list 119 permit ip any any
3-3) 외부에서 내부로 공유폴더 access 안되게 하는 방법
Interface Serial0
ip access-group 119 in
Access-list 119 permit tcp any any established
Access-list 119 deny udp any any eq netbios-ns
Access-list 119 deny udp any any eq netbios-dgm
Access-list 119 deny tcp any any eq 139
Access-list 119 permit ip any any
3-4) 외부에서 라우터 Telnet, Ping 등 제한하는 방법
interface Serial0
ip address 203.231.89.34 255.255.255.252
ip access-group 102 in
encapsulation ppp
!
access-list 101 deny tcp any any eq telnet
access-list 101 deny tcp any any eq discard
access-list 102 deny icmp any host 203.227.80.180
access-list 102 deny icmp any host 203.231.89.34
access-list 102 deny udp any host 203.231.89.34 eq time
access-list 102 deny udp any host 203.227.80.180 eq time
access-list 102 deny udp any host 203.231.89.34 eq tftp
access-list 102 deny udp any host 203.227.80.180 eq tftp
access-list 102 deny udp any host 203.227.80.180 eq snmp
access-list 102 deny udp any host 203.231.89.34 eq snmp
access-list 102 deny icmp any host 203.227.80.181
access-list 102 permit ip any any
line vty 0 4
access-class 101 in
password wooju
login
3-5) 가변포트에 대한 필터링 하는 방법(소리바다 : 9000~9999)
Router(config)#access-list 100 permit tcp any any established
Router(config)#access-list 100 deny tcp any any range 9000 9999
Router(config)#access-list 100 deny udp any any range 9000 9999
Router(config)#access-list 100 permit ip any any
Router(config)#int s0
Router(config-if)#ip access-group 100 in
SNMP 보안문제와 필터링법
1. 영향
SNMP는 UDP를 이용하기 때문에 공격 주소를 속여서 DoS (Denial of Service) 공격을 할 수 있다. 이것은 곧 라우터의 성능 저하, 크래쉬(crash) 및 리로드(reload) 결과를 초래하게 된다. 게다가 read-only community string을 획득하게 되면 SNMP access control를 속이는 것도 문제라 하겠다. |
2. 공격 가능한 경우
1) 취약한(Vulnerable) IOS Version을 설치한 상태에서 아래 장비를 사용중일 때 (Catalyst 는 CatOS를 사용 중 일 때 해당이 안됨) |
- Cisco 800, 1000, 1400, 1600, 1700, 2000, 2500, 2600, 3011, 3200, 3600, MC3810, 4000, 4500, 4700, 6400-NRP, 6400-NSP series routers
- Cisco 6000 series IP DSL switches
- uBR900 series cable access routers
- CVA120 series cable voice adapters
- IAD2400 series Integrated Access Devices
- Catalyst 2900XL, 2950, 3500XL, 3550, 4000, 4840G, 4908G-L3 series switches
- Cisco AS5000 series access servers
- Catalyst 6000 MSM, 6000 MSFC & MSFC2, 6000 Hybrid Mode, 6000 Native Mode, 6000 Supervisor modules
- Cisco RSM, RSFC, 7000, 7010, 7100, 7200, uBR7200, 7300, 7400, 7500, 7600, uBR10000, 10700, 10000 ESR, and 12000 series routers
- Lightstream 1010 ATM switches
- DistributedDirector 2500 and 4700 series
- Catalyst 8510CSR, 8510MSR, 8540CSR, 8540MSR series switches
- Cisco ONS 15540 Optical Transport Platform
- Cisco ONS 15303/15304
- Cisco ISR 3303
- Cisco OSR 7609
- Cisco SOHO-70 Small Office/Home Office router
- Cisco AGS, AGS+, CGS, IGS, MGS series routers
- Cisco 1000 series LAN Extender
- Cisco AccessPro PC card router
- Cisco 200, ASM-CS, and 500-CS series access servers
- Cisco 2500 FRAD series router
- 3011 WAN module for the Catalyst 3200 switch
- Cisco AccessPath TS-3 system shelf
3. 해결안
1) 불필요한 snmp 서비스 off 시키기
- Router(config)#no snmp-server
- 확인방법
Router#show snmp
%SNMP agent not enabled
- 주의사항
Router(config)#no snmp-server community public ro
이 명령어로 snmp 서비스가 죽지 않는다.
2) access-list 를 이용하여 특정 호스트만 열어주기 (port : 161,162)
- Router(config)#access-list 100 permit ip host 203.254.254.254 any
Router(config)#access-list 100 deny udp any any eq snmp
Router(config)#access-list 100 deny udp any any eq snmptrap
Router(config)#access-list 100 permit ip any any
- 해당 interface에 설정한다.
Router(config)#interface serial 0
Router(config-if)#ip access-group 100 in
- Catalyst Switch 장비인 경우에는 vlan 에 설정한다.
Router(config)#interface vlan 1
Router(config-if)#ip access-group 100 in
3) Cisco SNMP 서비스 취약성 권고안
본사 - 지사 구성
1. 본사 라우터 설정하기interface Ethernet0
ip address 210.109.165.241 255.255.255.240
!
interface Serial0
ip address 10.207.1.6 255.255.255.252
!
interface Serial1
ip address 10.10.10.1 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.207.1.5
ip route 203.239.36.64 255.255.255.248 10.10.10.2
2. 지사 라우터 설정하기interface Ethernet0
ip address 203.239.36.65 255.255.255.248
!
interface Serial0
ip address 10.10.10.2 255.255.255.252
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.1양쪽의 라우터가 CISCO Router를 사용해 본사와 지사를 연결하는 데이터 전용회선일 경우. 각 라우터의 controller를 참고하여 DTE, DCE를 구별한다. DCE로 설정된 라우터에 clock rate를 설정해 준다.Router#sh controllers s 0 (DCE 확인)
Router#conf t
Router(conf)#clock rate 40000 (최대로 준다)
반응형
'서버,보안' 카테고리의 다른 글
Alteon Service 추가 / 삭제 (0) | 2008.10.21 |
---|---|
기본적인 Alteon 180e 사용법 (0) | 2008.10.21 |
L4 셋팅 문의 답변 (0) | 2008.10.21 |
L4 Switch Server Load Balancing방법 (0) | 2008.10.21 |
Alteon L4 스위치 최초 비밀번호 (0) | 2008.10.21 |
MRTG 사용 시 실행파일 값 사용방법 (0) | 2008.10.21 |
Cisco L2, L3 스위치 VLAN 설정 방법 (0) | 2008.10.21 |
L4 ~ L7 스위치의 차이점 (0) | 2008.10.21 |