1. 장비설정 초기화
Switch# erase startup-config
Switch# reload
2. Enable password 설정
Switch# config t
Switch(config)# enable secret 암호입력
Switch(config)# end
Switch# wr (저장)
3. Telnet 접근제어
Switch(config)# line vty 0 4
Switch(config)# password 암호입력
Switch(config-line)# access-class 20 in
Switch(config-line)# exit
Switch(config)# access-list 20 permit 200.1.1.1
4. 포트 속도와 Duplex 수동 설정
Switch(config)# int range fa 0/23 - 24
Switch(config-if-range)# speed 100
Switch(config-if-range)# duplex full
Switch(config-if-range)# spanning-tree portfast
Switch(config)# show int status // 인터페이스 상태 확인
5. 관리용 IP 설정
Switch(config)# int VLAN 1
Switch(config-if)# no shut // (필수)
Switch(config-if)# ip address 10.10.10.10 255.255.255.0
Switch(config)# ip default-gateway 10.10.10.254
6. SNMP 설정
Switch(config)# snmp-server community inet ro 12
Switch(config)# access-list 12 permit host 203.255.113.37
SNMP는 네트워크 관리 프로토콜로 매우 많은 정보를 내장하고 있습니다.
관리 프로토콜 답게 제어코드도 가지고 있으며 제어권한까지 줄 경우 많이 위험해 질 수 있습니다.
여기서는 SNMP를 관리하는 호스트에게만 허용을 하고 나머지 요청은 거부하는 방법을 적을까 합니다.
허용할 host ip를 xxx.xxx.xxx.xxx에 지정하고, 나머지는 모두 거부하도록 설정
포트가 아닌 snmp 설정에 지정할 ACL이므로 Standard access list지정하며
log는 거부시에 기록을 남긴다는 옵션입니다. 이 기록은 syslog와 같은 툴을 통해 기록,
확인이 가능하여 어느 호스트가 접근 시도하였는지 알수 있어 역추적시 유용합니다
Snmp-server community 뒤에 나오는 Password는 서로 통신시 교환하는 snmp 패스워드로 생각하면 됩니다. Ro는 읽기 전용이라는 의미이며 rw로 지정시 snmp 관리도구를 통해 제어가 가능하게 됩니다(위험) 마지막 75는 좀전에 만든 ACL 75번을 적용하겠다는 내용입니다.
(config)# access-list 75 permit host xxx.xxx.xxx.xxx
(config)# access-list 75 deny any log
(config)# snmp-server community Password ro 75
예)
(config)# access-list 75 permit host 192.168.0.5
(config)# access-list 75 deny any log
(config)# snmp-server community N3T-manag3m3nt ro 75
'Infra > CCNA CCNP CCIE' 카테고리의 다른 글
| [네트워크] 기초 - 네트워크란? (0) | 2018.05.17 |
|---|---|
| [네트워크] 스위치 보안점검(장비보안) 점검사항 (3) | 2016.09.22 |