안녕하세요.

 

오늘은 Fortigate ECMP에 대해서 알아보겠습니다.

 

1. ECMP - Equal Cost Multiple Path - 매카니즘에 대허서 Routing Table 경로가 같으면 Traffic를 Load-Balance 합니다. 

2. ECMP는 Policy Routing 이후에 ECMP 정책이 적용 됩니다.

3. ECMP가 적용되기 위해서는 Same Destination, Cost가 같아야 합니다. 

4. 포티넷은 총 255에 ECMP Table를 지원 합니다.

5. ECMP Load-Balance 종류

    5-1 Source-ip-based - it is defualt selection - A source ip는 WAN01선택, B Source IP는 WAN02선택 이렇게 소스 IP별로 로드밸런싱 합니다. 

    5-2 weight-based - session percentage 적용해서 WAN01 - 75% , WAN02는 -25% 선택 가능-  WAN01 - 100M, WAN02, 25M

 

   5-3 usage-based - WAN01에 ingress and egress thresholds를 설정하고 이 임계치가 넘어가면 WAN02로 전환

  모든트래픽이 WAN01으로 흐르고 있는 상황에서 5% 넘으면 다음세션부터는 WAN02가 처리. 

 

   5-4 source-dest-ip-based - 소스IP, 목적지IP를 조합해서 로드밸런싱 합니다. 

 

 

저작자표시

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#21]- DDNS - Dual WAN  (1) 2024.12.28
[Fortigate-#20]- DDNS - Single WAN  (0) 2024.12.28
[Fortigate-#19]- IP SLA  (0) 2024.12.28
[Fortigate-#18]- Explicit Proxy with UTM function  (0) 2024.12.23
[Fortigate-#17]- Explicit Proxy  (0) 2024.12.23

안녕하세요. 

 

오늘은 paloalto에서 SNMP v2를 설정하고 리눅스에서 snmp값을 검색해보겠습니다. 

 

1. Device -> Server Profiles -> SNMP Trap

그리고 Add버튼을 클릭 합니다. 

 

2. 아래처럼 설정 합니다. 

 

3. Device -> Setup -> Operations -> SNMP Setup

 

SNMP Setup을 클릭 합니다. 

 

4. 아래처럼 설정 합니다. 

 

5. 리눅스를 SSH접속 합니다.

 

아래처럼 입력하면 Linux에서 Paloalto SNMP값을 불러 올수 있습니다. 

kevin@kevin-virtual-machine:~$ sudo snmpwalk -v 2c -c ciscocisco 192.168.10.253
iso.3.6.1.2.1.1.1.0 = STRING: "Palo Alto Networks PA-220 series firewall"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.25461.2.3.38
iso.3.6.1.2.1.1.3.0 = Timeticks: (27183886) 3 days, 3:30:38.86
iso.3.6.1.2.1.1.4.0 = STRING: "Not Set"
iso.3.6.1.2.1.1.5.0 = STRING: "PA-220"
iso.3.6.1.2.1.1.6.0 = STRING: "Local"
iso.3.6.1.2.1.1.7.0 = INTEGER: 127
iso.3.6.1.2.1.1.8.0 = Timeticks: (2) 0:00:00.02
iso.3.6.1.2.1.2.1.0 = INTEGER: 27

 

저작자표시

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#15] - log forward to kiwi syslog  (0) 2025.01.18
[PaloAlto FW-#14] - Kiwi Syslog install  (0) 2025.01.18
[PaloAlto FW-#13] - SNMP site-to-site vpn snmp  (0) 2025.01.17
[PaloAlto FW-#12]- Global Protect(Remote User) with 2FA cisco duo redundancy  (0) 2024.12.10
[PaloAlto FW-#11]- Global Protect(Remote User) with 2FA cisco duo  (1) 2024.12.10

안녕하세요.

 

오늘은 PALOALTO에서 BGP가 다운되었을때 Log를 KIWI syslog에 포워딩 해보겠습니다.

 

Paloalto syslog forwarding Source - > E1/1 192.168.10.253

KIWI syslog Server IP: 192.168.10.103

 

1. Device -> Setup -> Services -> Services Features

 

2. Devices -> Log Settings -> system 에서 Add버튼을 클릭 합니다. 

 

3. 저희는 BGP 관련 Status 상태 정보만 확인하고 Syslog에게 전달하기 위해서 Filter Builder를 클릭 합니다. 

 

4. 아래 처럼 입력 합니다. 

(eventid eq routed-BGP-peer-enter-established) or (eventid eq routed-BGP-peer-left-established)

 

뜻 BGP peer가 생성 되었을때 또는 BGP peer가 해제 되었을때는 SYSLOG에 LOG를 전달 합니다.

 

View Filtered Logs를 클릭해서 실제 로그가 제대로 검색 되는지 확인 합니다. 

 

5. 정상적으로 로그가 검색 되었습니다.

아래처럼 okay버튼을 클릭 합니다.

 

6. SYSLOG 서버 IP를 입력 합니다.

 

7. Click Syslog Profile

 

8. 아래처럼 입력 합니다. 

 

9. OK버튼을 클릭 합니다. 

 

10. Commit를 클릭 합니다.

 

 

TIP - Monitor -> Logs -> System에서 아래처럼 검색 가능 합니다. 

 

 

윈도우 PC에서 Syslog를 설정 합니다.

 

이제 실제로 테스트 해보겠습니다.

 

Paloalto에서 Down되어진 BGP를 UP를 시킵니다. 그리고 Commit를 실행 합니다. 

 

BGP에 UP이 되면 KIWI syslog에 LOG가 쌓이는지 확인 합니다.

 

첫번째 로그는 BGP가 UP되었을때

두번째 로그는 BGP가 DOWN되었을때 

 

정상적으로 동작 합니다. 

 

이런 방식으로 특정 LOG에 대해서 syslog에 전달해서 관리 가능 합니다. 

 

저작자표시

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#16] - SNMP  (0) 2025.01.18
[PaloAlto FW-#14] - Kiwi Syslog install  (0) 2025.01.18
[PaloAlto FW-#13] - SNMP site-to-site vpn snmp  (0) 2025.01.17
[PaloAlto FW-#12]- Global Protect(Remote User) with 2FA cisco duo redundancy  (0) 2024.12.10
[PaloAlto FW-#11]- Global Protect(Remote User) with 2FA cisco duo  (1) 2024.12.10

안녕하세요. 

 

오늘은 PALOALTO에서 log를 kiwi syslog에 전달하기 위해서 윈도우 PC에 kiwi syslog를 설치해보겠습니다.

 

PALOALTO syslog interface 192.168.10.254

Windows PC: 192.168.10.103

 

1. 공싱 홈페이지에 접속 합니다. 

https://www.solarwinds.com/free-tools/kiwi-free-syslog-server

 

FREE Kiwi Syslog Server Free Edition | SolarWinds

Whether you want to stay ahead with new tech, speed up modernization, support modular services, cut costs, or stay competitive, we’ve built industry-leading software to maximize hybrid IT, spark innovation, and tackle your toughest IT challenges.

www.solarwinds.com

 

 

위에처럼 Download Free Tool를 클릭 합니다.

 

2. 정보를 입력 하고 아래 Download 버튼을 클릭 합니다. 

 

3. 다운로드 폴더를 클릭 합니다. 

 

4. 아래 설치 파일을 클릭 합니다. 

 

5. 아래 Yes 버튼을 클릭 합니다. 

 

6. 아래 I agree 버튼을 클릭 합니다. 

 

7. Next버튼을 클릭 합니다.

 

8. 아래 Next버튼을 클릭 합니다. 

 

9. Next버튼을 클릭 합니다. 

 

10. Install 버튼을 클릭 합니다. 

 

11. 설치가 완료 될때까지 기다립니다. 

 

12. Finish 버튼을 클릭 합니다. 

13. 무료 버전은 아래처럼 Source 최대 5개까지 가능 합니다.

 

지금까지 [PaloAlto FW-#14] - Kiwi Syslog install 글을 읽어주셔서 감사합니다. 

저작자표시

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#16] - SNMP  (0) 2025.01.18
[PaloAlto FW-#15] - log forward to kiwi syslog  (0) 2025.01.18
[PaloAlto FW-#13] - SNMP site-to-site vpn snmp  (0) 2025.01.17
[PaloAlto FW-#12]- Global Protect(Remote User) with 2FA cisco duo redundancy  (0) 2024.12.10
[PaloAlto FW-#11]- Global Protect(Remote User) with 2FA cisco duo  (1) 2024.12.10

안녕하세요. 

 

현재 Zabbix를 통해서 PaloAlto site-to-site vpn 모니터링 하기 위해서 여러가지 검색을 했지만. 

팔로알토는 site-to-site vpn snmp를 제공 하지 않는다고 공식적으로 팔로알토 페이지에서 확인 하였습니다.

 

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgnCAC

 

Monitoring VPN tunnel down events with SNMP

Monitoring VPN tunnel down events with SNMP 59156 Created On 09/25/18 19:54 PM - Last Modified 06/09/23 07:35 AM Symptom Symptoms Is there a way to generate SNMP traps or generate some type of notification if a VPN tunnel goes down?   Diagnosis A tunne

knowledgebase.paloaltonetworks.com

 

SYSLOG를 통해서 S2S VPN이 다운 되었다고 LOG를 확인 가능 합니다. 

저작자표시

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#15] - log forward to kiwi syslog  (0) 2025.01.18
[PaloAlto FW-#14] - Kiwi Syslog install  (0) 2025.01.18
[PaloAlto FW-#12]- Global Protect(Remote User) with 2FA cisco duo redundancy  (0) 2024.12.10
[PaloAlto FW-#11]- Global Protect(Remote User) with 2FA cisco duo  (1) 2024.12.10
[PaloAlto FW-#10]- Global Protect(Remote User) with Active Director redundancy  (0) 2024.12.10

 

PALOALTO랑 2FA를 설정할때 제약 사항. 

 

PALOALTO MGMT PORT또는 DATA PORT로 LDAP또는 RADIUS Packet를 전달 한다.

하지만 아래 사진 처럼 SOURCE INTERFACE를 한개만 설정 할수 있다. 

 

아래 같은 상황을 설정해 봅니다. 

 

내부에 서버가 있습니다.

 

ISP01 - 192.168.1.2 통해서 GP연결하는 유저는 Production server에 접속 함.

ISP01 - 192.168.1.3 통해서 GP연결하는 유저는 Test server에 접속 함. 

 

PRODUCTION SERVER - 192.168.150.100 - Active Directory and Cisco DUO

TEST SERVER - 192.168.151.100 - Active Directory and Cisco DUO

 

 

Production GP USER - Portal Authentication - AD

1. GP User - 192.168.1.2 접속

2. PA E1/3 LDAP Traffic 전달

   192.168.150.254 Source  -> LDAP 192.168.150.100   same L2

3. LDAP Server 인증 체크

4. 인증 리턴 패킷을 다시 192.168.150.100 Source -> 192.168.150.254 Destination 전달

5. PAloalto는 다시 유저에게 전달해서 Portal authentication 완료 됩니다. 

 

Cisco DUO authentication

 

1. RADIUS TRAFFIC 전달

    Source 192.168.150.254 -> Destination 192.168.150.100 

2. Cisco DUO Proxy -> Cisco DUO CLOUD 전달

    Source 192.168.150.100이 API를 통해서 Cisco DUO전달

3. Cisco DUO CLOUD에 User에 포함된 모바일폰 정보를 확인후 Push Notification 전달

 

지금까지는 LDAP and Radius Source Interface IP가 192.168.150.254 <->  192.168.150.100 LDAP and DUO서버랑 같은 L2 도메인 이라서 통신 되는데 문제가 없습니다.

 

*****  하지만 Test Server에 접속 할때는 상황이 다릅니다. ******

 

GP Portal IP - 192.168.1.3

LDAP02 and DUO02 - 192.168.151.100

PALOALTO Source LDAP and RADIUS IP - 192.168.150.254

 

1. GP User가 ISP01 192.168.1.3에 접속 합니다.

2. PA E1/3 192168.150.254를 Source해서 192.168.151.100으로 접속을 시도 합니다. 

하지만 실제 E1/4 192.168.151.254 <-> 192.168.151.100 같은 L2이기때문에, 패킷이 E1/3이 아니라 E1/4 전달 됩니다.

리턴 패킷도 E1/3이 아니라 E1/4로 받아서 AD 인증 cisco DUO 인증 모두 실패 합니다. 

 

라우팅을 변경 하면 해결 됩니다. 

1. PALOALTO에서 192.168.151.100/32를 E1/3를 통해서 Internet PA - E1/2 192.168.168.150으로 전달 합니다

2. INTNET PA입장에서는 192.168.151.1 <-> 192.168.151.100 같은 L2도메인이기때문에,  

    INTERNET PA  E1/3 192.168.151.1를 통해서 192.168.151.100 통신 합니다

3. 192.168.151.100 - AD02 DUO02는 Default Gateway가 192.168.151.1이고 AD02/DUO02는 패킷을 INTERNET PA로 전달 합니다. 

4.  INTERNET PA는 E1/3를 받아서 192.168.1.2 E1/2 전달합니다. 

5. GP PALOALTO는 E1/3 192.168.1.254로 AD2/DUO2패킷을 전달 받습니다.


이렇게 하면 이 문제가 해결 됩니다. 

 

GP PA1에서 단순히 Static Routing를 아래처럼 설정하면 됩니다.

192.168.151.0/24 - E1/4 연결 되었지만 아래처럼 192.168.151.100/32로 E1/3강제로 라우팅을 변경 가능합니다.

 

그 이유는 Longest Match Rule에 의해서 가능 합니다

 

Aysmetric 구조가 아니고 PA AD/DUO source interface로 패킷이 나가서 라우팅만 잘 되고 다시 그 인터페이스로 패킷을 전달 받으면 제대로 동작하는 것을 확인 하였습니다. 

저작자표시

'CISCO > Cisco DUO' 카테고리의 다른 글

[Cisco DUO][#4]- synchronize active directory user to cisco duo cloud  (0) 2024.11.16
[Cisco DUO][#2]- Windows Server Login or RDP 2FA - Bypass function  (0) 2024.11.15
[Cisco DUO][#1]- Windows Server Login or RDP 2FA인증  (0) 2024.11.15

안녕하세요.

 

이번에는 windows 10 PC를 Active Directory에 Join하겠습니다.

 

토폴로지는 아래와 같습니다.

 

추후에 wire 802.1x를 설정하기 위해서는 PC가 Switch에 연결되어야 합니다. 

PC는 아래 구름을 통해서 VMware ESXi안에 있는 Windows Server통신 가능 합니다.

 

PC

IP: 192.168.10.169

Netmask: 255.255.255.0

GW: 192.168.10.253

DNS: 192.168.10.193

DNS: 8.8.8.8

 

AD Server IP: 192.168.10.253

Domain: test.local

 

1. Windows Server에서 windows 10에서 IP주소를 설정 합니다. 

 

2. ping test.local

 

 

3.

컴퓨터 이름을 수정합니다.

USERPC01

Domain: test.local

 

Active Directory 계정을 입력 합니다. 

 

4. OK버튼을 클릭 합니다. 

 

재부팅 합니다. 

 

5. 윈도우 서버에서 User를 생성 합니다.

user01 

 

AD user 계정으로 로그인중입니다. 

 

 

 

지금까지 [2025][CISCO ISE#39] - Windows 10 PC Active Directory Join 글을 읽어주셔서 감사합니다.

저작자표시

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#38] - Admin login with Active Directory  (0) 2025.01.14
[2025][CISCO ISE#37] - Admin Access - Settings Menu  (0) 2025.01.14
[2025][CISCO ISE#36] - Admin Access - Administrators Menu  (0) 2025.01.14
[2025][CISCO ISE#35] - Admin Access - Authorization Menu  (0) 2025.01.14
[2025][CISCO ISE#34] - Admin Access - Authentication Menu  (0) 2025.01.14

안녕하세요.

 

cisco ise 로그인 할때 Local Database를 이용해서 로그인 하였습니다 - Local User on cisco ise

 

이번에는 Active Directory에 User를 통해서 Cisco ISE 로그인 해보겠습니다.

 

Active Directory는 이전 강의에서 설명 하였습니다.

https://itblog-kr.tistory.com/133

 

[2025][CISCO ISE#7] - Active Directory install

안녕하세요. 이번에는 cisco ISE 실습을 위해서 Active Directory를 윈도우 서버에 설치해보겠습니다.Diagram 1. Add Roles and Features 클릭 합니다.  2. Next를 클릭 합니다.  3. next를 클릭 합니다.  4. Next를

itblog-kr.tistory.com

 

1. 윈도우서버에 접속해서 아래처럼 테스트를 위해서 그룹과 계정을 생성합니다.

 

AdminGroup - admin user

SupportGroup - support user

 

2. AD를 연동 합니다. 

 

 

 

 

정상적으로 등록 되었습니다.

 

이번에는 Active Direcotry에 있는 Group를 cisco ise에 불러오겠습니다.

 

아래처럼 AdminGroup과 SupportGroup를 선택하고 OK버튼을 클릭 합니다. 

 

3. Admin 로그인 할때 Local User가 아닌 Active Directory 선택합니다.

 

4. Group를 생성합니다.

AdminGroup

SupportGroup

 

위에 처럼 Admin Groups이 생성 되었습니다. 

 

5. Authorization -> Permissions -> RBAC Policy 클릭합니다

 

Action 버튼을 클릭후 Insert New Policy를 선택합니다.

 

 

Rule Name: AdminGroup-Policy

Admin Groups: AdminGroup 

Permissions: Super Admin Menu Access and Super Admin Data Acess

 

User가 AdminGroup에 속하면 권환을 Super Admin Menu랑 Super Admin Data를 부여하라는 뜻입니다.

 

 

Rule Name: SupportGroup-Policy

Admin Groups: SupportGroup

Permissions: HelpDesk Admin Menu and Read Only Admin Data

 

User가 SupportGroup에 속하면 권환을 Helpesk admin menu랑 Read Only Admin Data를 부여하라는 뜻입니다.

 

Save버튼을 클릭 합니다. 

 

 

6 . 이제 테스트를 합니다. 다른 브라우저를 열고 cisco ISE GUI 접속 합니다. 

 

 

로그인 가능하고 모든 메뉴를 볼수 있습니다. 

 

이번에는 support user를 로그인 합니다. 

 

 

Support유저는 제한된 메뉴만 볼수 있습니다. HelpDesk 유저이기 때문에

 

이번에는 테스트를 위해서 Admin 계정에서 AdminGroup를 제거 합니다.

 

그리고 다시 admin 계정으로 로그인 합니다

 

admin이 admingroup에 속하지 않기때문에, 로그인에 실패 하였습니다.

 

AD가 문제가 생겨서 로그인 못하면 옵션에서 Internal로 변경하고 기존에 있는 admin local user로 로그인 가능 합니다.

 

아래처럼 로그인 가능 합니다. 

 

다음 테스트를 위해서 Admin 계정에 다시 AdminGroup를 추가 합니다.

 

지금까지 [2025][CISCO ISE#38] - Admin login with Active Directory 글을 읽어주셔서 감사합니다. 

저작자표시

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#39] - Windows 10 PC Active Directory Join  (0) 2025.01.14
[2025][CISCO ISE#37] - Admin Access - Settings Menu  (0) 2025.01.14
[2025][CISCO ISE#36] - Admin Access - Administrators Menu  (0) 2025.01.14
[2025][CISCO ISE#35] - Admin Access - Authorization Menu  (0) 2025.01.14
[2025][CISCO ISE#34] - Admin Access - Authentication Menu  (0) 2025.01.14

안녕하세요.

 

오늘은 Admin Access에서 Setting Menu에 대해서 알아보겠습니다.

 

1. Administration -> System -> Admin Access -> Settings  -> Access

 

배너 설정도 가능 합니다. 

GUI 동시 접속자수 설정 가능

CLI 동시 접속자수 설정 가능

 

IP access - 기본설정으로 모든 IP는 cisco ISE접속 가능

아래처럼 특정 IP만 cisco ise GUI/CLI 접속 가능 하게 설정 가능 

MnT Access 도 IP Access랑 똑같습니다. 

 

 

 

** Session Timeout **

Session이 Idel 일때 특정 시간이 되면 자동으로 Logout가능 하게 합니다.

 

현재 CISCO ISE접속한 유저들을 표시 합니다. 

 

 

지금까지 [2025][CISCO ISE#37] - Admin Access - Settings Menu 글을 읽어주셔서 감사합니다. 

저작자표시

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#39] - Windows 10 PC Active Directory Join  (0) 2025.01.14
[2025][CISCO ISE#38] - Admin login with Active Directory  (0) 2025.01.14
[2025][CISCO ISE#36] - Admin Access - Administrators Menu  (0) 2025.01.14
[2025][CISCO ISE#35] - Admin Access - Authorization Menu  (0) 2025.01.14
[2025][CISCO ISE#34] - Admin Access - Authentication Menu  (0) 2025.01.14

안녕하세요. 

 

오늘은 Admin Access에서 Administrators Menu에 대해서 알아보겠습니다. 

 

1. Administration - System - Administrators - Admin Users

 

아래처럼 Administrators 계정을 관리 할 수 있습니다.

생성/삭제/수정 가능 합니다. 

 

유저들은 groups에 포함 되어야 합니다. 유저가 group에 포함되는 순간 group관련 정책들이 적용 됩니다. 

 

유저 생성

 

지금까지 [2025][CISCO ISE#36] - Admin Access - Administrators Menu 글을 읽어주셔서 감사합니다. 

저작자표시

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#38] - Admin login with Active Directory  (0) 2025.01.14
[2025][CISCO ISE#37] - Admin Access - Settings Menu  (0) 2025.01.14
[2025][CISCO ISE#35] - Admin Access - Authorization Menu  (0) 2025.01.14
[2025][CISCO ISE#34] - Admin Access - Authentication Menu  (0) 2025.01.14
[2025][CISCO ISE#33] - Upgrade Version  (0) 2025.01.13

+ Recent posts

티스토리툴바