컴퓨터/Network2009. 3. 6. 14:34

MAC으로 연결된 S/W 포트 찾기

첫째, ip충돌


컴퓨터에서 다음과 같은 ip 충돌(Duplicate address) 메세지가 나옴.
*May 19 15:01:23: %IP-4-DUPADDR: Duplicate address 192.168.131.121 sourced by 00c0.ca31.3835

 

두번째, Netbios name 충돌
윈도에서 컴퓨터 이름이 충돌난다는 메세지가 나옴

 

131번 네트웍 (vlan 31번)을 사용하는 스위치에서 MAC address와 스위치 연결 포트를 확인.

(이하, 192.168.131.121를 사용하는 컴퓨터를 범인으로, 이 컴퓨터에 직접 연결된 스위치를 범인 스위치로 통칭함)

 

환경은 6500과 다수의 2900/3500XL을 사용하고 있음.


[1] IP에 대한 MAC address 확인

 

Cat-6500# ping 192.168.131.121

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.131.121, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/202/1004 ms


Cat-6500# sh arp  // arp table 보기

Protocol  Address          Age (min)  Hardware Addr  Type  Interface
Internet  192.168.131.9          51  0003.6b04.cec0  ARPA  VLAN131
Internet  192.168.131.14          -  0004.4d3e.91c0  ARPA  VLAN131
Internet  192.168.131.1        101  0000.0c07.ac00  ARPA  VLAN131
Internet  192.168.131.121        0  0050.da08.4b73  ARPA  VLAN131
Internet  192.168.131.101        2  0001.0296.7a72  ARPA  VLAN131

 

 


[2] 스위치 찾기 및 찾은 후 스위치 연결 포트 확인

 

131번 네트웍을 사용하는 스위치는 7개임.(예전에 131번 네떡을 VLAN131로 셋팅햇었음)
따라서 7개의 스위치중에 어떤 것이 해당 스위치 인지 찾아낼 필요가 있음
(스위치는 해당 포트별로 MAC address table을 가지고 있음)


첫째, 범인 스위치가 아닌경우

 

(1) MAC address로 스위치 포트 확인

Cat-3500# sh mac-address-table add 0050.DA08.4B73
Non-static Address Table:
Destination Address  Address Type  VLAN  Destination Port
-------------------  ------------  ----  --------------------
0050.da08.4b73      Dynamic        31  GigabitEthernet0/2

 


(2) 해당 포트(Gi0/2)에 다른 스위치가 연결되어 있는지 확인

 

Cat-3500# sh cdp neighbors // 시스코 장비간 이웃한 장비를 찾는 명령어
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater

Device ID        Local Intrfce    Holdtme    Capability  Platform    Port ID
A1-3548                Gig 0/2          163        T S      WS-C3548-XL  Gig 0/2


따라서 이 스위치는 범인 스위치가 아님을 알수 있음

 


둘째, 범인 스위치인 경우

 

(1) MAC address로 스위치 포트 확인

 

Cat-3500# sh mac-address-table add 0050.DA08.4B73
Non-static Address Table:
Destination Address  Address Type  VLAN  Destination Port
-------------------  ------------  ----  --------------------
0050.da08.4b73      Dynamic        31  FastEthernet0/20

FastEthernet 0/20번에 연결되어 있다는 것을 알수 있음.

 

 

 

(2) 해당 포트(FA0/24)에 다른 스위치가 연결되어 있는지 확인


Cat-3500#show cdp neighbors // 시스코 장비간 이웃한 장비를 찾는 명령어
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater

Device ID        Local Intrfce    Holdtme    Capability  Platform    Port ID
Cat2924          Gig 0/2            142        T S      WS-C3548-X Gig 0/2
TBP05520055      Gig 0/1            166        T S      WS-C6509    3/7


따라서 FA0/24는 스위치가 연결된 포트가 아니므로 범인으로 인정됨

 

 


[3] 결론

2번 과정으로 스위치 Cat2924의 FastEthernet 0/20번 포트에 물린 사용자라는 것을 알아 낼수 있음.
Posted by biondi
컴퓨터/Network2008. 9. 5. 09:49

CISCO Catalyst 설정법

copy disk0 startup-config 디스크에 컨피그 저장
copy flash tftp - ios 백업 게이트 웨이 동일하게
copy tftp flash - ios 로드
config-reg 0x2102 정상적 레지스트리
우선 기존의 ios 가 저장된 flash메모리를 초기하 한다
switch# erase flash
switxh# reload
하면 flash메모리는 초기화 된다
이후 xmodem으로 ios를 업그레이드 하면된다
switch: flash_init
switch: load_helper
switch: copy xmodem: flash: ios 이미지 파일명
전송에서 xmodem 설정 ios파일 위치 지정후 시작
rommon 상태에서 IOS 다운로딩하기
rommon 3 > dir flash:
rommon 4 > boot flash: File-Name
tftpdnld ROMmon을 사용하여 TFTP를 통해 IOS 다운로딩하는 방법
rommon 16 > IP_ADDRESS=192.168.106.105
라우터의 IP 주소를 설정한다.
rommon 17 > IP_SUBNET_MASK=255.255.255.0
라우터의 서브넷매스크를 설정한다.
rommon 18 > DEFAULT_GATEWAY=192.168.106.1
라우터의 디폴트게이트웨이를 설정한다.(큰 의미는 없다)
rommon 19 > TFTP_SERVER=192.168.106.5
다운로딩할 IOS 소프트웨어가 있는 TFTP 서버의 IP 주소를 적는다.
rommon 20 > TFTP_FILE=c1700-y-mz[1].123-1a.bine
라우터로 다운로딩할 IOS 파일 이름을 적는다.
rommon 25 > tftpdnld
IP_ADDRESS: 192.168.106.105
IP_SUBNET_MASK: 255.255.255.0
DEFAULT_GATEWAY: 192.168.106.1
TFTP_SERVER: 192.168.106.5
TFTP_FILE: c1700-y-mz.123-1a.bin
Invoke this command for disaster recovery only.
WARNING: all existing data in all partitions on flash will be lost!
Do you wish to continue? y/n:  [n]:  y
password 복구
catalyst 2924 패스워드 복구 방법
1단계: 전원을 off한다음 스위치의 mode 버튼을 누른 상태에서 전원을 on 하면된다.
switch: flash  _init 플래시 초기화
Initializing Flash...
...
...
switch: load_helper
switch: dir flash: 플래쉬내용확인
...
...
switch: rename flash:config.text flash:config.old
switch: dir flash:
...
...
switch: boot
Loading "flash:c2900xl-c3h2s-mz.120-5.WC5a.bin"...####################################################################################################################################################################################
File "flash:c2900xl-c3h2s-mz.120-5.WC5a.bin" uncompressed and installed, entry point: 0x3000
executing...
Switch>
Switch>en
Switch#dir flash:
Directory of flash:/
3612672 bytes total (679936 bytes free)
Switch#rename flash:config.old flah sh:config.text
Destination filename [config.text]?
Switch#copy config.text running-old   config
Destination filename [running-config]?
1297 bytes copied in 2.784 secs (648 bytes/sec)
kang#
00:02:22: %SYS-5-CONFIG: Configured from  by
kang#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
kang(config)#enable secret gist
The enable secret you have chosen is the same as your enable password.
This is not recommended.  Re-enter the enable secret.

패스워드 설정
switch#conf t
switch(donfig-if)#enable secrec switch123
패스워드 암호와
switch#conf t
switch(config)#service password-encryption
 
텔넷 패스워드 접근제어
switch(config)#line vty 0 4
switch(config)#password switch
switch(config-line)#access-class 10 in
switch(config)#access-list 10 permit 1.1.1.1
포트속도와 DUPLEX 속도
switch(config)#interface fastethernet 0/1
switch(config-if)#speed 100
switch(config-if)#duplex full
 
스위치에 ip address 할당하기
switch# conf t
switch(config)# int vlan1
switch(config-if)#ip add 203.237.32.253 255.255.255.0(use the ip address and mask according)
switch(config-if)#no shutdown
switch(config-if)#exit
switch(config)#ip default-gateway 203.237.32.254 (use the ip address accordingly)
switch(config)#end
switch# wr mem
switch#show run 설정값 확인
 VLAN ID 1에 IP 설정 및 포트에 VALN 할당
C3550TX(config)#int range fa0/1 - 24
C3550TX(config-if)#switchport mode access
C3550TX(config-if)#switchport access vlan 1
C3550TX(config)#int range fa0/1 - 2
C3550TX(config-if-range)#channel-group 1 mode on
C3550TX(config-if-range)#end
C3550TX#configure terminal << 예) fa0/1,fa0/2를 그룹으로 묶을 경우 입력
C3550TX(config)#int port-channel 1
C3550TX(config-if)#switchport mode access
C3550TX(config-if)#switchport access vlan 1
C3550TX(config)#int vlan 1
C3550TX(config-if)#no shutdown
C3550TX(config-if)#ip address 192.168.0.254 255.255.255.0 << Default Gateway로 사용됨
C3550TX(config-if)end
포트를 vlan에 할당
switch# interface fa0/1 // fast ethernet 0/1 interface config mode로 들어가기
switch(config-if)# switchport mode access  // switchport를 엑세스포트로 사용
switch(config-if)# switchport access vlan 30  //  fa0/1을 valn 30에 할당
switch(config-if)# vlan 30
switch(config-if)#state active vlan 30번 활성화
trunk port 설정하기
switch#conf t
switch(config)# int fa0/1
switch(config-if)#switchport mode trunk
switch(config-if)#switchport trunk encapsulation isl   //isl 을  지원하는 포트 구성
switch(config-if)#switchport trunk allowed vlan add 1-10 //vlan 1-10까지 트렁크시킴
switch(config-if)#switchport trunk allowed vlan remove 5-10 //vlan5-10번을 제거
switch(config-if)#switchport trunk allowed vlan add all 모든 vlan을 트렁크시킴
포트 미러링 셋팅
switch#conf t
switch(config)#int fa0/10
switch(config-if)#port monitor fa0/1
switch(config-if)#port monitor fa0/2
switch(config-if)#port monitor fa0/3
switch(config-if)#exit
switch#show run 설정값을 확인한다
switch#show port monitor 미러링 값을 확인
cat2900(config)#monitor session 1 source(출발지) interface fa0/1 - 3 both
cat2900(config)#monitor session 1 destination(목적지) interface fa0/10
cat2900(config)#no monitor session 1
1,2,3번에 오고가는 패킷을 10번 포트로 보내주기 위한 설정
cat os
set span <source_port><destination_port><rx/tx/both>

이더채널
switch(config)#interface fastethernet0/1
switch(config-if)#channel-group 1 mode on
switch(config-if)#interface fastethernet0/2
switch(config-if)#channel-group 2 mode on
포트패스트
switch(config)#interface fastethetnet 0/1
switch(config-if)#spanning-tree portfast

vtp domain name
vtp mode (server,client,transparent)

포트에 주석달기
switch(config)#default-value exec-character-bits 8
한글을 사용가능 하게 해줌
switch#conf t
switch(config)#int fa0/1
switch(config-if)#description "광주시교육청"  --포트에 주석을 다는 command
switch(config)#banner motd #
초기 배너
포트속도와 duplex
switch(config)#int fa0/1
switch(config-if)#speed 100
switch(config-if)#duplexfull
1. Hostname, Enable password, vty(Telnet) Password 설정
Switch>enable
Switch#configure terminal << Global Configuration Mode 로 들어감
Switch(config)#hostname C3550TX << Host이름 설정
C3550TX(config)#service password-encryption << password 암호화
C3550TX(config)#username kt password kt123 << Console/Telnet Login ID
C3550TX(config)#line console 0 << Console 설정 모드
C3550TX(config-line)#login local << Console 접속 시 Login ID 사용
C3550TX(config)#line vty 0 15 << Telnet 접속 허용(16개 session 허용)
C3550TX(config-line)#login local << Telnet 접속 시 login ID 사용
C3550TX(config-line)#exit
C3550TX(config)#enable password kt << Privileged EXEC Mode

5. DHCP Server 설정
C3550TX#configure terminal
C3550TX(config)#ip dhcp pool DHCP_POOL_NAME << DHCP Pool Name 임의 설정
C3550TX(dhcp-config)#network 192.168.0.0 255.255.255.0 << DHCP IP Pool 설정
C3550TX(dhcp-config)#default-router 192.168.0.254 << Default Gateway 설정
C3550TX(dhcp-config)#dns-server X.X.X.X 168.126.63.1 << DNS 설정(해당지역 국사 DNS(x.x.x.x))
C3550TX(dhcp-config)#lease 0 1 << lease time 설정 60분
C3550TX(dhcp-config)#exit
C3550TX(config)#ip dhcp excluded-address 192.168.0.254 << pool에서 할당 제외 주소 설정(default-router)
C3550TX(config)#ip dhcp excluded-address 192.168.0.1 192.168.0.10 << IP-xDSL 장비 할당 주소 제외
C3550TX(config)#ip dhcp ping packets 0 << arp 테이블에서 고정 주소 사용여부 확인
 SNMP 설정
C3550TX# conf t
C3550TX(config)#snmp-server community public ro << SNMP Manager 활성화(Community 이름 설정)
C3550TX(config)# snmp-server system-shutdown << SNMP set을 이용하여 system reset
C3550TX(config)# snmp-server enable traps snmp authentication warmstart linkdown linkup coldstart << trap 종류
C3550TX(config)#snmp-server host xxx.xxx.xxx.xxx traps version 2c private snmp << Trap 서버 설정(x.x.x.x)
 기타 기능 설정
C3550TX(config)#service timestamp debug datetime localtime << debug시 timestamp를 data/time으로 표시
C3550TX(config)#service timestamp log datetime localtime << logging 시 timestamp를 date/time으로 표시
C3550TX(config)#clock timezone KST 9 << NTP 사용 시 적용
C3550TX(config)#end
C3550TX #clock set 18:11:00 19 may 2003 << 현재 시간 설정
Catalyst 3550 Quick Installation-기본설정
보안 기능 설정-1
C3550TX(config)#no ip http server << http server 동작 중지
C3550TX(config)#no service pad << pad service 사용 중지
C3550TX(config)#no ip source-route << source-routing header option을 가지고 Paket processing을 하지않는다.
… 일반적인 경우에는 거의 없는 Service / IP Spoofing 방지에 필수
C3550TX(config)#no ip finger << finger service 막기
C3550TX(config)#no ip domain-lookup << domain-lookup service 필요 시 open
C3550TX(config)#no cdp run << CDP 동작 중지
보안 기능 설정-2
C3550TX#conf t
C3550TX(config)#access-list 100 deny udp any any eq 1434 << ms-sql bug로 인한 인터넷 장애 예방
C3550TX(config)#access-list 100 permit ip any any

C3550TX(config)#int range fa0/1 - 24
C3550TX(config-if)#ip access-group 100 in
C3550TX(config-if)#end
C3550TX#conf t
C3550TX(configf)#int vlan 1
C3550TX(config-if)#no ip redirects << ip설정된 해당 interface에서 설정, icmp redirect 막기
C3550TX(config-if)#no ip unreachable << ip설정된 해당 interface에서 설정, icmp unreachable 막기
C3550TX(config-if)#no ip proxy-arp << proxy-arp 기능 막기
C3550TX(config-if)#no ip mask-reply << icmp mark-reply 막기
C3550TX(configf)#int gi0/1
C3550TX(config-if)#no ip redirects << ip설정된 해당 interface에서 설정, icmp redirect 막기
C3550TX(config-if)#no ip unreachable << ip설정된 해당 interface에서 설정, icmp unreachable 막기
C3550TX(config-if)#no ip proxy-arp << proxy-arp 기능 막기
C3550TX(config-if)#no ip mask-reply << icmp mark-reply 막기
Configuration 저장 및 통신 확인
C3550TX#write memory << Configuration 저장
C3550TX#ping 10.0.0.1 << 상위 장비 IP로 ping
C3550TX#ping 192.168.0.1 << 하위 장비로 ping
※ DHCP pool 추가설정(예: DHCP Server IP Pool : 192.168.1.0/24)
C3550TX#conf t
C3550TX(config)#int vlan 1
C3550TX(config-if)#ip address 192.168.1.254 255.255.255.0 secondary << DHCP 서버 Default Gateway 설정
C3550TX(config-if)end
C3550TX#configure terminal
C3550TX(config)#ip dhcp pool DHCP_POOL_NAME2 << DHCP Pool Name 임의 설정
C3550TX(dhcp-config)#network 192.168.1.0 255.255.255.0 << DHCP IP Pool 설정
C3550TX(dhcp-config)#default-router 192.168.1.254 << Default Gateway 설정
C3550TX(dhcp-config)#dns-server X.X.X.X 168.126.63.1 << DNS 설정(해당지역 국사 DNS(x.x.x.x))
C3550TX(dhcp-config)#lease 0 1 << lease time 설정 60분
C3550TX(dhcp-config)#exit
C3550TX(config)#ip dhcp excluded-address 192.168.1.254 << pool에서 할당 제외 주소 설정(default-router)
C3550TX(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10 << IP-xDSL 장비 할당 주소 제외
C3550TX(config)#ip dhcp ping packets 0 << arp 테이블에서 고정 주소 사용여부 확인
C3550TX(Config)#exit
C3550TX#write memory

속도개선을 위한 기술
포트 패스트
switch(config)#interface fast ethernet 0/1
switch(config-if)#spanning-tree portfast
업링크패스트
switch(config)#spanning-treeuplinkfast
백본패스트
switch#config terminal
switch(conifig)#spanning-treebackbonefast
hsrp(Hot Standby Routing Protocol)
A는 액티브 라우터로, B는 스탠바이 라우터로...
A가 다운되면 곧바로 B가 액티브 라우터 역할을 수행하고,
A가 살아나면 다시 B는 스탠바이로 복귀한다.
만약 라우터 자체의 다운뿐 아니라 시리얼 인터페이스 쪽에 문제가 생겨도 HSRP가 작동한다.(트래킹)
액티브 라우터 구성
config)# int e0
config-if)# ip add 172.70.100.2 255.255.255.0 (실제 라우터 e0 ip)
config-if)# standby 1 timers 3 10 (3초마다 액티브와 스탠바이가 서로를 확인한다.
그리고 10초 동안 엑티브쪽에서 대답이 없는 경우 자동으로 스탠바이가 액티브역할을 수행한다.
디폴트 값이므로 없어도 된다.)
config-if)# standby 1 priority 105
(디폴트 값은 100. 만약 설정을 안하면 기본 100으로 설정된다.
priority값이 높은 것이 액티브, 낮은 것이 스탠바이로 설정)
config-if)# standby 1 preempt delay 5 (액티브 라우터가 죽었다 살아나면 5초후에 다시 액티브로 수행이 된다.
이명령은 스탠바이 라우터에도 같이 설정해야 한다.)
config-if)# standby 1 ip 172.70.100.1 (내부네트웍망의 가상 디폴트 게이트웨이 ip)
config-if)# standby 1 track serial0 10 (트래킹. 시리얼0에 이상이 생기면 10만큼 priority값을 떨어뜨린다.
그러므로 이 경우 priority가 95가 되어 스탠바이 라우터의 priority 100보다 낮아지므로 스탠바이가 액티브가 된다.
만약 시리얼0이 다시 살아나면 priority는 다시 105가 되어 preempt에 의해 5초 후에 다시 액티브로 동작한다.)
스탠바이 라우터 구성
config)# int e0
config-if)# ip add 172.70.100.3 255.255.255.0 (실제 라우터 e0 ip)
config-if)# standby 1 timers 3 10
config-if)# standby 1 priority 100(디폴트 값으로 안넣어도 된다.)
config-if)# standby 1 preempt delay 5                                                                 
config-if)# standby 1 ip 172.70.100.1                                      
config-if)# standby 1 track serial0 10                                                    
같은 hsrp그룹이므로 같은 번호 1을 사용했고 같은 가상주소를 사용한다.
오직 다른점은 priority값이다.
# show standby로 상태확인.
# debug standby로 액티브와 스탠바이의 통신상태 확인가능.
 
alias exec idsm session slot 1 pro 1
alias exec fwsm session slot 2 pro 1
alias exec nam session slot 3 pro 1
서비스 모듈 접속시 애칭으로 바로 접속하는 command
라우터에 로그 남기도록 설정
Router# config t
Router(config)# service timestamps debug datetime localtime msec
Router(config)# service timestamps log datetime localtime msec
Router(config)# logging buffered

IP ACCOUNTING 
1. 내부 트래픽 확인 (IP Accounting은 output-packets만 적용)
Serial Interface 적용시 - 유출양 확인
Ethernet Interface 적용시 - 유입양 확인
2. 설정법
ROUTER#
ROUTER# config t
ROUTER(conf)# int s0  (또는 int e0)
ROUTER(conf-if)# ip accounting output-packets
ROUTER(conf-if)# ^z
ROUTER# sh ip accounting output-packets
Source                Destination                Packets            Bytes
203.200.39.50      203.239.36.121                   6                  328
202.109.117.194   203.239.36.122                   1                    40
203.235.205.231   203.239.36.123                195               12849
202.109.117.194   203.239.36.124                   1                    40
203.235.205.231   203.239.36.125                832               51043
접속하는 IP들의 경로와 Packets양을 보여줍니다.
Accounting data age is 0 ----- 분 단위 (30이 넘어가지 않도록 주의한다) 
3. 해지법
ROUTER#
ROUTER# config t
ROUTER(conf)# int s0 (또는 int e0) --- 설정했던 인터페이스
ROUTER(conf-if)# no ip accounting output-packets (앞에 no를 붙여준다)
ROUTER(conf-if)# ^z
ROUTER# sh ip accounting output-packets
더 이상 나타나지 않는다.
4. clear 방법
ROUTER# clear ip accounting
5. 주의사항
Encapsulation이 Frame-relay로 sub-interface로 설정이 되어 있을 경우
ROUTER(config)# int s0.1
ROUTER(config-subif)# ip accounting output-packets (해지시 앞에 no)
ROUTER(config-subif)# ^z
 
Helper-address  
 

1. Broadcast => Unicast
Interface e 0
ip address 10.10.10.1 255.255.255.0
ip help-address 10.10.20.2
  e0에 도착하는 Subnet Broadcast를 144.253.2.2로 Unicast 한다.
2. 제한된 Unicast
Interface e 0
ip address 10.10.10.1 255.255.255.0
ip help-address 10.10.20.2
ip forward-protocol udp 3000
no ip forward-protocol udp 69 
e0에 도착하는 Broadcast를 10.10.20.2로 Unicast 하는데 있어, UDP Destination Port 3000번을 쓰는 Packet은 넘기고, 69번을 쓰는 Packet은 Filtering 한다. 즉 69번을 쓰는 Packet만 Filtering된다.

3. Broadcast => Broadcast
Interface e 0
ip address 10.10.10.1 255.255.255.0
ip help-address 10.10.20.255
  e0에 도착하는 Broadcast를 10.10.20.255로 Broadcast한다

스위치 컨피그 초기화
switch#write erase
switch#reload
system configuration[yes/no]:no
process[yes/no]:yes
Posted by biondi
컴퓨터/Network2008. 9. 5. 09:34

SNMP(Simple Network Management Protocol)

네트워크를 관리하기 위한 프로토콜이다. SNMP manager와 agent로 구성되는데 SNMP를 지원

하는 모든 노드는 SNMP agent가 돌고 있다. 망 관리를 위해 서로 통신을 하게 된다.


  ==주요역할==


1. SNMP manager는 각 노드의 상태를 알 수 있다. 상태라는 것은 그 노드에 대한 여러가지 정보


를 말하며, 예를 들면 시스템관련정보(시스템이름, OS, 버젼, 회사명 등), 네트워크 관련정보(IP주


소, Route Table, 송수신패킷 수, 기타 각종 MIB에 정의된 정보들을 볼 수 있다.


2. SNMP manager는 원격으로 노드의 상태를 변경할 수 있다. IP를 변경하거나 Routing Table을


변경하거나, 시스템 이름을 변경하는 등의 작업을 할 수 있다. 그러나 노드가 이러한 변경을 허용


하고 구현되어 있어야 한다.


3. SNMP Trap이라는 것이 있는데, 노드에 특정한 이벤트가 발생하면 Manager한테 알려주는 것


을 말한다. 즉, 장비의 한 포트가 고장난 경우 SNMP manager에게 SNMP Trap으로 알려준다.




**SNMP설정법**


  Cisco
       config terminal
       snmp-server community public ro
       crtl+z
       wr
 
•   3Com    
       snmp community
       Enter new community for user `<user>':  public



[출처] SNMP(Simple Network Management Protocol)|작성자 소타나

Posted by biondi
컴퓨터/Network2008. 8. 7. 15:34

SNMP 지정한 호스트에게만 정보 제공하기

 

SNMP는 네트워크 관리 프로토콜로 매우 많은 정보를 내장하고 있습니다.

관리 프로토콜 답게 제어코드도 가지고 있으며 제어권한까지 줄 경우 많이 위험해 질 수 있습니다.

여기서는 SNMP를 관리하는 호스트에게만 허용을 하고 나머지 요청은 거부하는 방법을 적을까 합니다.

 

 

허용할 host ip xxx.xxx.xxx.xxx에 지정하고, 나머지는 모두 거부하도록 설정

포트가 아닌 snmp 설정에 지정할 ACL이므로 Standard access list지정하며

log는 거부시에 기록을 남긴다는 옵션입니다. 이 기록은 syslog와 같은 툴을 통해 기록,확인이 가능하여 어느 호스트가 접근 시도하였는지 알수 있어 역추적시 유용합니다

Snmp-server community 뒤에 나오는 Password는 서로 통신시 교환하는 snmp 패스워드로 생각하면 됩니다. Ro는 읽기 전용이라는 의미이며 rw로 지정시 snmp 관리도구를 통해 제어가 가능하게 됩니다(위험) 마지막 75는 좀전에 만든 ACL 75번을 적용하겠다는 내용입니다.

 

 (config)# access-list 75 permit host xxx.xxx.xxx.xxx

 (config)# access-list 75 deny any log

 (config)# snmp-server community Password ro 75


예)

 (config)# access-list 75 permit host 192.168.0.5

 (config)# access-list 75 deny any log

 (config)# snmp-server community N3T-manag3m3nt ro 75

Posted by biondi

티스토리툴바