V5724G 기능추가사항 Global Broadband No.1 NOS 3.13 NOS 3.15 Technology Service 1 Team
기능추가내용
고정 IP 차단및 ARP spoofing 차단기능 기능구현개요 : DHCP Snoop Table + ARP inspection Table ARP Spoofing 공격에의한 Switch 내부의 ARP table 의손상을막기위한기능및불법적으로사용되는고정 IP 사용자의통신을차단하기위하여해당기능을사용 Gwangjin-OLT1-V5724G# sh arp Address HWtype HWaddress Flags Mask Iface Port 1.1.1.1 ether 00:04:96:20:25:40 CH default 12/1 1.1.1.2 ether 00:04:96:20:25:40 CH default 9/2 1.1.1.3 ether 00:04:96:20:25:40 CH default 3/2 1.1.1.4 ether 00:04:96:20:25:40 CH default 9/1 ARP Spoofing 공격불법고정 IP 사용자 ARP Spoofing 공격에의해 ARP Table 이손상함예 ) IP 는여러개인데 MAC 은 1 개로됨
고정 IP 차단및 ARP spoofing 차단기능 DHCP Snoop Table : DHCP Server / Relay 동작시 DHCP Control packet 을모두 CPU 에서확인하여 DHCP Snoop table 에 DHCP 관련 packet 을 dynamic 하게 Table 로관리함 신인증서버 DHCP 응답 (offer / ack) Internet DHCP 요청 (discover/ request) port VID IP add MAC add Lease 1 1 10.1.1.1 00:00:00:00:01:01 599 DHCP Snooping Table
고정 IP 차단및 ARP spoofing 차단기능 ARP inspection Table : 운용자가 L2 장비및고정 IP 가입자에대해 ARP Inspection table 에 Permit 또는 deny 정책을설정하여야함 신인증서버 Internet L2 장비 (1.1.1.100) 고정 IP port VID IP add MAC add Rule 1 1 1.1.1.100 00:00:00:00:01:0a Permit ARP inspection Table 생성
고정 IP 차단및 ARP spoofing 차단기능 ARP inspection + DHCP Snoop 동작 Flow ARP replay packet into a Switch Deny 또는없음 DHCP Snoop Table 존재여부 No ARP inspection table 확인 Yes Permit Switch 에 ARP 등록하지않음 Switch 에 ARP 등록 / 통신허용
고정 IP 차단및 ARP spoofing 차단기능 설정예 ) DHCP Relay 환경에서의고정 IP 차단, ARP spoofing 차단 1. 시스템에고정 IP 차단설정을함 ip arp inspection vlan 1 1.1.1.254 제외 IP 1.1.1.1 DHCP relay Default 유동 IP 2.1.1.253 br23 DHCP server 2.1.1.254 L3 Switch& 3.1.1.254 ip dhcp snooping ip dhcp snooping vlan 1 ip dhcp snooping arp-inspection start 30 2. 제외 IP를설정함 arp access-list [NAME] permit ip range 1.1.1.1 1.1.1.1 mac any deny ip any mac any ip arp inspection filter [NAME] vlan 1
Alarm LED 의 Default 값을 enable 설정없이도시스템이벤트발생시 Alarm LED 가동작하도록변경함 PON Link 절체시 Major 모듈탈장착시 Critical FAN 탈장착시 MIN Alarm LED V5724G(config)# alarm led disable V5724G(config)# clear alarm led? critical Critical major Major minor Minor Alarm LED 기능사용을하지않을경우 발생한 LED 가 Off 되기위해사용하는명령어
Max-Host 의기본값이 1 로변경됨 ONU-Profile 의 MAX-Host 의기본값이 1 로변경됨즉설정을하지않을경우 1 로동작함 pon onu-profile FTTH create sla plato-dba 0 1 0 1000 0 1 max-host 1-4 1 vlan pvid uplink 1 vlan pvid 1-4 1 apply onu-profile FTTH-4 create sla plato-dba 0 1 0 1000 0 1 vlan pvid uplink 1 vlan pvid 1-4 1 apply pon onu-profile FTTH create sla plato-dba 0 1 0 1000 0 1 vlan pvid uplink 1 vlan pvid 1-4 1 apply onu-profile FTTH-4 create sla plato-dba 0 1 0 1000 0 1 max-host 1-4 4 vlan pvid uplink 1 vlan pvid 1-4 1 apply NOS version 3.13 NOS version 3.15
ONT Web 을이용한 ONU register 기능 가입자개통절차를보다효율적이고단순화하기위한기능 192.168.1.60 admin / 1234 가입자개통전 사전등록 Web 을이용하여 ONT 에접속 V5724G(config-pon-olt[1/1])# olt register mode web-based-registry
Sh run 명령사용시 PON 설정제외하고볼수있게 PON 관련가입자정보를제외한설정정보를보고자할경우사용 FTTH# sh running-config system hostname FTTH time-zone GMT+9 ntp start syslog output info local volatile syslog output info local non-volatile syslog output info console 중간생략 snmp community ro public snmp community rw private DASAN Networks, End Inc. - A Siemens Company PON 정보생략됨
ONU Tx Power 를 Off 시키는기능 가입자 ONU 의 Power 를강제로 Off 시킬수있다 ( 단가입자가전원스위치를 On/off 할경우설정이풀림 ) TX power off 기능 V5724G(config-pon-olt[1/1])# onu tx-power off 3 10 ONU ID 지속시간
ONU 에서사용하는 IP/MAC 조회 ONU 의가입자 MAC 및사용하는 IP 를한번에볼수있음
Loop Detect 기능 STP 를사용하지않고별도의방법으로 PON 의 Loop 상태를감시함 OLT STP BPDU 가아닌별도의 PDU 사용 L2 Switch ONU V5724G(bridge)# loop-detect enable loop-detect 1/1-12/2
Default ONU Profile 의 SLA Up/Down Unlimited 최초의가입자링크후적용되는 ONU SLA 는 Unlimited, 즉별도의 ONU 에별도의프로파일을설정하지않아도고객속도측정이가능함 ( 종전 Ver 3.13 에서는업링크가약 2Mbps 밖에측정안됨 ) onu-profile FTTH create sla plato-dba 0 1 0 1000 0 1 vlan pvid uplink 1 vlan pvid 1-4 1 apply 업링크속도에대한설정값 Priority Class : 0 Max Guaranteed BW (Mbps) : 1 Mbps Max Guaranteed BW (Kbps) : 0 Max Best effort BW (Mbps) : 1000Mbps Max Best effort BW (Kbps) : 0 Delay : 1 (1 low, 2 high) 1 Gbps 100Mbps
Service 별 Default Profile 생성기능 현재 KT 에서사용하고있는프로파일을자동생성하는기능 V5724g(pon)# create default-profile 해당명령사용시 4 개의프로파일자동생성 pon onu-profile LITE create sla plato-dba 0 1 0 4 0 1 download-policy down 4000 8388352 vlan pvid uplink 1 vlan pvid 1-4 1 apply onu-profile PREMIUM create sla plato-dba 0 1 0 4 0 1 download-policy down 13000 8388352 vlan pvid uplink 1 vlan pvid 1-4 1 apply onu-profile SPECIAL create sla plato-dba 0 1 0 4 0 1 download-policy down 20000 8388352 vlan pvid uplink 1 vlan pvid 1-4 1 apply onu-profile SPECIAL2 create sla plato-dba 0 1 0 4 0 1 download-policy down 50000 8388352 vlan pvid uplink 1 vlan pvid 1-4 1 apply
ONU 에최근등록된가입자 MAC 4 개이상디스플레이 최근등록된가입자 MAC 을디스플레이함 FTTH(config-pon-olt[1/1])# sh new-mac -------------------------------------------------------- MAC-Address : ONU-ID : In use MAC 10 개발생후확인 --------------------------------------------------------- 00:00:00:00:11:11 1 71.81 00:00:00:00:14:11 1 74.96 00:00:00:00:16:11 1 74.96 00:00:00:00:15:11 1 74.96 00:00:00:00:17:11 1 74.96 00:00:00:00:12:11 1 74.96 00:00:00:00:13:11 1 74.96 00:0d:60:af:3d:37 1 182.28
Global Broadband No.1 Thank you 다산네트웍스고객지원팀 Technology Service 1 Team