안녕하세요.

 

오늘은 팔로알토 장비 Password Recovery에 대해서 알아보겠습니다. 

 

0.  maint를 입력 합니다. 

=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2025.03.14 15:44:52 =~=~=~=~=~=~=~=~=~=~=~=
 
Autoboot to default partition in 5 seconds.
Enter 'maint' to boot to maint partition.

Entry: m Entry: ma Entry: mai Entry: main Entry: maint

Booting to maint mode.

10054784 bytes read in 37 ms (259.2 MiB/s)
Allocating memory for ELF segment: addr: 0xffffffff80100000 (adjusted to: 0x100000), size 0x7c52a0
Bootloader: Done loading app on coremask:
 0xff
Starting cores:
 0xff
Linux version 3.10.87-oct2-mp (build@61b4b5631e94) (gcc version 4.7.0 (Cavium Inc. Version: SDK_BUILD build 49) ) #4 SMP Fri Nov 5 01:44:34 PDT 2021
CVMSEG size: 3 cache lines (384 bytes)
Cavium Inc. SDK-3.1.2
bootconsole [early0] enabled
CPU revision is: 000d9703 (Cavium Octeon III)
FPU revision is: 00739700
Checking for the multiply/shift bug... no.
Checking for the daddiu bug... no.
Determined physical RAM map:
 memory: 0000000000702000 @ 0000000000100000 (kernel data and code)
 memory: 000000000004e000 @ 0000000000802000 (usable after init)
 memory: 0000000000076000 @ 0000000000850000 (kernel data and code)
 memory: 0000000000100000 @ 00000000eff00000 (usable)
 memory: 000000000feff000 @ 00000000f0001000 (usable)
 memory: 00000000f0000000 @ 000000031f000000 (usable)
No power GPIO device tree entry
No power GPIO device tree entry

 

1. 콘솔포트를 연결하고 파워 전원을 연결 합니다. 

 

2. Factory Reset

 

3. Select Factory Reset

 

4. 완료 될때까지 기다립니다. 

 

5. Reboot를 선택 합니다. 

 

6. 부팅이 완료 되면 admin/admin으로 로그인 합니다.

admin@PA-820> show interface management


-------------------------------------------------------------------------------
Name: Management Interface
Link status:
  Runtime link speed/duplex/state: unknown/unknown/down
  Configured link speed/duplex/state: auto/auto/auto
MAC address:
  Port MAC address c4:24:56:a6:84:00

Ip address: 192.168.1.1
Netmask: 255.255.255.0
Default gateway:
Ipv6 address: unknown
Ipv6 link local address: unknown
Ipv6 default gateway:
-------------------------------------------------------------------------------


-------------------------------------------------------------------------------
Logical interface counters:
-------------------------------------------------------------------------------
bytes received                    0
admin@PA-820>

 

7. admin/admin 로그인 합니다. 

 

지금까지 [PaloAlto FW-#20] - Password Recovery(Factory Reset) 글을 읽어주셔서 감사합니다. 

안녕하세요.

 

오늘은 [2025][C8200][#3] Reset Smart license 대해서 알아보겠습니다. 

 

17.3.2  이상부터는 smart licensing using policy 사용합니다. 장비가 발주가 될때 이미 SV/VA가 등록이 되어서 장비가 전달 됩니다. 

 

SV =  KOREA
VA = JAPAN

 

근데 만약에 고객사에 요청으로 인하여 VA를 USA로 변경해야 한다면, cisco license team에 요청해서 라이센스를 VA =USA 변경 가능 합니다.

 

하지만 장비를 부팅하고 show license status 하면 아래처럼 표시 됩니다.

Router#show license status
Utility:
  Status: DISABLED

Smart Licensing Using Policy:
  Status: ENABLED

Account Information:
  Smart Account: KOREA
  Virtual Account: JAPAN

 

이 상태에서 CSSM에서 아래 환경에서 TOKEN를 발급해서 장비에 등록을 해도 정상적으로 동작하지 않습니다. 

SA: KOREA

VA: USA

 

이상태에서 장비에 기존에 있는 SA/VA정보를 초기화 해야 합니다.

Router#license smart factory re
Router#license smart factory reset 
%Warning: reload required after "license smart factory reset" command
Router#
Router#
Router#reload
WARNING: 

 

장비가 부팅이 완료 되면 아래처럼 show license status 확인합니다

초기화 되었습니다. 

Router#show license status
Utility:
  Status: DISABLED

Smart Licensing Using Policy:
  Status: ENABLED

Account Information:
  Smart Account: <none>
  Virtual Account: <none>

 

이상태에서 장비를 CSSM에 등록 하면 정상적으로 동작 합니다.

아래처럼 정상적으로 CSSM에 등록 되었습니다. 

Router#license smart trust idtoken OGJjMmQwZDgtMWY3Zi00ZTdlLTk1YzctYjRjMzQ0Y all force

Router#
*Mar  4 04:56:30.279: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage[OK]
*Mar  4 04:56:32.118: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
*Mar  4 04:56:32.177: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM
*Mar  4 04:56:34.590: %SYS-6-PRIVCFG_ENCRYPT_SUCCESS: Successfully encrypted private config file
*Mar  4 04:56:37.118: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C8200-1N-4T,S:XXXXXX.
Router#
Router#
Router#
Router#

 

CSSM에서 Event Log를 보면 정상적으로 등록 되었습니다. 

안녕하세요.

 

오늘은 C9800 WLC DHCP에 대해서 알아보겠습니다.

 

토폴로지 

 

DC에 9800WLC가 있습니다.

1. SSID: TEST01

2. TEST01 VLAN110

3. WLC안에서 DHCP기능을 실행 합니다. 

 

Office에서 유저가 TEST01 - AP에 접속 합니다. 

유저 노트북에서 DC에 있는 백본 스위치에서 IP주소를 받습니다. 

1. WLC VLAN110 설정

Configuration ->Tags & Profiles -> WLANs

 

2. Click Add버튼

 

 

3. 아래처럼 설정 합니다. 

Profile Name: TEST01

Status: Enable 

Broadcase SSID: Enable

6GHz: Disabled

 

Security -> Layter2 -> None를 설정해서 SSID 패스워드 없이 접속 가능 하게 합니다.

테스트 용도이기 때문에 이렇게 설정합니다. 

그리고 Save버튼을 클릭 합니다. 

 

4. VLAN 설정

Configuration -> Layer2 -> VLAN

 

Add버튼을 클릭 합니다. 

 

4. Policy 설정

 

 

아래처럼 설정합니다. 

 

아래처럼 VLAN를 설정하고 나머지를 디폴트 값으로 두고 SAVE버튼을 클릭 합니다. 

 

5. TAG설정 - POLICY

Name: TEST01-POLICY-TAG

WLAN: TEST01

PLOICY: TEST01_POLICY

 

6. TAG 설정 - SITE

 

Name: TEST_SITE_TAG 

아래처럼 설정 합니다. 

 

6. AP에 TAG 설정

 

7. 설정값을 적용하면 AP가 재부팅이 됩니다. 

8. WLC에서 자체 DHCP기능 설정

 

10. Lookback interface 생성

 

11. WLAN에서 DHCP Relay Look IP로 설정

WLAN VLAN 110이 DHCP relay로 직접 WLC DHCP 기능으로 IP할당 가능.

10. WLC interface IP주소

WLC01#show ip int brie
Interface              IP-Address      OK? Method Status                Protocol
GigabitEthernet1       unassigned      YES unset  up                    up      
GigabitEthernet2       unassigned      YES unset  up                    up      
GigabitEthernet3       192.168.10.182  YES NVRAM  up                    up      
Loopback10             1.1.1.1         YES TFTP   up                    up      
Port-channel1          unassigned      YES unset  up                    up      
Vlan1                  unassigned      YES NVRAM  up                    up      
Vlan100                192.168.100.182 YES NVRAM  up                    up      
Vlan110                192.168.110.254 YES NVRAM  up                    up      
Vlan120                192.168.120.254 YES NVRAM  up                    up      
Vlan130                192.168.130.254 YES NVRAM  up                    up      
WLC01#

 

10. Client 에서 TEST01를 접속하고 IP주소를 확 합니다. 

11. WLC에서 DHCP Binding 확인

WLC01#show ip dhcp binding 
Bindings from all pools not associated with VRF:
IP address      Client-ID/              Lease expiration        Type       State      Interface
                Hardware address/
                User name
192.168.110.11  0056.6c31.3130          Mar 01 2025 12:48 PM    Automatic  Selecting  Vlan110
WLC01#

 

 

 

지금까지 [C9800CL][#14]- DHCP - WLC Internal DHCP - option 5 글을 읽어주셔서 감사합니다. 

안녕하세요.

 

오늘은 C9800 WLC DHCP에 대해서 알아보겠습니다.

 

토폴로지 

 

DC에 9800WLC가 있습니다.

1. SSID: TEST01

2. TEST01 VLAN110

3. WLC WLAN에서 DHCP Reply를 설정 합니다. 

4. WINDOWS 서버 IP주소 192.168.10.224

 

Office에서 유저가 TEST01 - AP에 접속 합니다. 

유저 노트북에서 DC에 있는 백본 스위치에서 IP주소를 받습니다. 

1. WLC VLAN110 설정

Configuration ->Tags & Profiles -> WLANs

 

2. Click Add버튼

 

 

3. 아래처럼 설정 합니다. 

Profile Name: TEST01

Status: Enable 

Broadcase SSID: Enable

6GHz: Disabled

 

Security -> Layter2 -> None를 설정해서 SSID 패스워드 없이 접속 가능 하게 합니다.

테스트 용도이기 때문에 이렇게 설정합니다. 

그리고 Save버튼을 클릭 합니다. 

 

4. VLAN 설정

Configuration -> Layer2 -> VLAN

 

Add버튼을 클릭 합니다. 

 

4. Policy 설정

 

 

아래처럼 설정합니다. 

 

아래처럼 VLAN를 설정하고 나머지를 디폴트 값으로 두고 SAVE버튼을 클릭 합니다. 

 

5. TAG설정 - POLICY

Name: TEST01-POLICY-TAG

WLAN: TEST01

PLOICY: TEST01_POLICY

 

6. TAG 설정 - SITE

 

Name: TEST_SITE_TAG 

아래처럼 설정 합니다. 

 

6. AP에 TAG 설정

 

7. 설정값을 적용하면 AP가 재부팅이 됩니다. 

8. WLC WLAN에서 DHCP Rely설정

9. 서버 IP주소 확인

윈도우서버에서 DHCP 서버 설정

 

10. Client 에서 TEST01를 접속하고 IP주소를 확 합니다. 

11. 서에서 DHCP Binding 확인

지금까지 [C9800CL][#13]- DHCP - option4 - WLAN DHCP Relay  글을 읽어주셔서 감사합니다. 

안녕하세요.

 

오늘은 C9800 WLC DHCP에 대해서 알아보겠습니다.

 

토폴로지 

 

DC에 9800WLC가 있습니다.

1. SSID: TEST01

2. TEST01 VLAN110

3. DC 백본 스위치에서 INT VLAN110 - DHCP Rely설정

4. WINDOWS 서버 IP주소 192.168.10.224

 

Office에서 유저가 TEST01 - AP에 접속 합니다. 

유저 노트북에서 DC에 있는 백본 스위치에서 IP주소를 받습니다. 

1. WLC VLAN110 설정

Configuration ->Tags & Profiles -> WLANs

 

2. Click Add버튼

 

 

3. 아래처럼 설정 합니다. 

Profile Name: TEST01

Status: Enable 

Broadcase SSID: Enable

6GHz: Disabled

 

Security -> Layter2 -> None를 설정해서 SSID 패스워드 없이 접속 가능 하게 합니다.

테스트 용도이기 때문에 이렇게 설정합니다. 

그리고 Save버튼을 클릭 합니다. 

 

4. VLAN 설정

Configuration -> Layer2 -> VLAN

 

Add버튼을 클릭 합니다. 

 

4. Policy 설정

 

 

아래처럼 설정합니다. 

 

아래처럼 VLAN를 설정하고 나머지를 디폴트 값으로 두고 SAVE버튼을 클릭 합니다. 

 

5. TAG설정 - POLICY

Name: TEST01-POLICY-TAG

WLAN: TEST01

PLOICY: TEST01_POLICY

 

6. TAG 설정 - SITE

 

Name: TEST_SITE_TAG 

아래처럼 설정 합니다. 

 

6. AP에 TAG 설정

 

7. 설정값을 적용하면 AP가 재부팅이 됩니다. 

8. WLC VLAN110에 대해서 DHCP Rely설정

9. 서버 IP주소 확인

윈도우서버에서 DHCP 서버 설정

 

10. 백본 스위치에서 DHCP Relay 설정

interface Vlan110
 ip address 192.168.110.1 255.255.255.0
 ip helper-address 192.168.10.224

11. Client 에서 TEST01를 접속하고 IP주소를 확 합니다. 

11. 서에서 DHCP Binding 확인

지금까지 [C9800CL][#12]- DHCP - option3 - SW dhcp Relay 글을 읽어주셔서 감사합니다. 

안녕하세요.

 

오늘은 C9800 WLC DHCP에 대해서 알아보겠습니다.

 

토폴로지 

 

DC에 9800WLC가 있습니다.

1. SSID: TEST01

2. TEST01 VLAN110

3. WLC SVI에서 DHCP Relay를 설정 합니다. 

4. WINDOWS 서버 IP주소 192.168.10.224

 

Office에서 유저가 TEST01 - AP에 접속 합니다. 

유저 노트북에서 DC에 있는 백본 스위치에서 IP주소를 받습니다. 

1. WLC VLAN110 설정

Configuration ->Tags & Profiles -> WLANs

 

2. Click Add버튼

 

 

3. 아래처럼 설정 합니다. 

Profile Name: TEST01

Status: Enable 

Broadcase SSID: Enable

6GHz: Disabled

 

Security -> Layter2 -> None를 설정해서 SSID 패스워드 없이 접속 가능 하게 합니다.

테스트 용도이기 때문에 이렇게 설정합니다. 

그리고 Save버튼을 클릭 합니다. 

 

4. VLAN 설정

Configuration -> Layer2 -> VLAN

 

Add버튼을 클릭 합니다. 

 

4. Policy 설정

 

 

아래처럼 설정합니다. 

 

아래처럼 VLAN를 설정하고 나머지를 디폴트 값으로 두고 SAVE버튼을 클릭 합니다. 

 

5. TAG설정 - POLICY

Name: TEST01-POLICY-TAG

WLAN: TEST01

PLOICY: TEST01_POLICY

 

6. TAG 설정 - SITE

 

Name: TEST_SITE_TAG 

아래처럼 설정 합니다. 

 

6. AP에 TAG 설정

 

7. 설정값을 적용하면 AP가 재부팅이 됩니다. 

8. WLC VLAN110에 대해서 DHCP Rely설정

9. 서버 IP주소 확인

윈도우서버에서 DHCP 서버 설정

 

10. Client 에서 TEST01를 접속하고 IP주소를 확 합니다. 

11. 서에서 DHCP Binding 확인

지금까지 [C9800CL][#11]- DHCP Relay (SVI) -  Option2  글을 읽어주셔서 감사합니다. 

안녕하세요.

 

오늘은 C9800 WLC DHCP에 대해서 알아보겠습니다.

 

토폴로지 

 

DC에 9800WLC가 있습니다.

1. SSID: TEST01

2. TEST01 VLAN110

3. DC 백본 스위치에서 DHCP 기능을 활성화 합니다. 

 

Office에서 유저가 TEST01 - AP에 접속 합니다. 

유저 노트북에서 DC에 있는 백본 스위치에서 IP주소를 받습니다. 

 

1. WLC VLAN110 설정

Configuration ->Tags & Profiles -> WLANs

 

2. Click Add버튼

 

 

3. 아래처럼 설정 합니다. 

Profile Name: TEST01

Status: Enable 

Broadcase SSID: Enable

6GHz: Disabled

 

Security -> Layter2 -> None를 설정해서 SSID 패스워드 없이 접속 가능 하게 합니다.

테스트 용도이기 때문에 이렇게 설정합니다. 

그리고 Save버튼을 클릭 합니다. 

 

4. VLAN 설정

Configuration -> Layer2 -> VLAN

 

Add버튼을 클릭 합니다. 

 

4. Policy 설정

 

 

아래처럼 설정합니다. 

 

아래처럼 VLAN를 설정하고 나머지를 디폴트 값으로 두고 SAVE버튼을 클릭 합니다. 

 

5. TAG설정 - POLICY

Name: TEST01-POLICY-TAG

WLAN: TEST01

PLOICY: TEST01_POLICY

 

6. TAG 설정 - SITE

 

Name: TEST_SITE_TAG 

아래처럼 설정 합니다. 

 

6. AP에 TAG 설정

 

7. 설정값을 적용하면 AP가 재부팅이 됩니다. 

8. DC SWITCH에서 DHCP 설정

DHCP
ip dhcp excluded-address 192.168.110.1 192.168.110.230
!
ip dhcp pool VL110
 network 192.168.110.0 255.255.255.0
 default-router 192.168.110.1 
 dns-server 8.8.8.8 
!
VLAN 110
!
Int vlan 110
ip add 192.168.110.1 255.255.255.0
no shutdown

 

9. DHCP Binding 확인

SW01#show ip dhcp binding 
Bindings from all pools not associated with VRF:
IP address      Client-ID/              Lease expiration        Type       State      Interface
                Hardware address/
                User name
SW01#

 

10. Client 에서 TEST01를 접속하고 IP주소를 확 합니다. 

 

11. DC BackBone Swtich에서 DHCP Binding 확인

SW01#show ip dhcp binding 
Bindings from all pools not associated with VRF:
IP address      Client-ID/              Lease expiration        Type       State      Interface
                Hardware address/
                User name
192.168.110.239  011e.e792.411c.f0       Mar 02 2025 06:56 AM    Automatic  Active     Vlan110
SW01#

SW01#ping 192.168.110.239
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.110.239, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/19/48 ms
SW01#

 

지금까지 [C9800CL][#10]- DHCP Bridging - Option1 - BackBone SW DHCP  글을 읽어주셔서 감사합니다. 

안녕하세요.

 

오늘은 PNETLab Upgrade하는 방법에 대해서 알아보겠습니다.

 

1. PNETLab 설치 방법

https://itblog-kr.tistory.com/122

 

[PNETLab][#1]- Installation on VMware workstation

안녕하세요.  EVE-NG Community 무료 버전을 사용하고 있는데, SDWAN 테스트 할때 Jitter, Delay등등을 테스트 하기 위해서는 EVE-NG  PRO로 업그레이드 해야 합니다.  그래서 이번에 PNETLab를 설치 하고 안

itblog-kr.tistory.com

 

2. GUI에 접속 합니다. https://192.168.40.250

System 클릭 합니다. 

 

3. Versions을 클릭 합니다. 

 

4. Upgrade버튼을 클릭 합니다.

 

Current Version이랑 Latest Version이랑 똑같아서 클릭 해도 Upgrade가 않됩니다. 

위와 같은 방법으로 upgrade하면 됩니다. 

안녕하세요.

 

오늘은 Juniper SRX Traffic Flow에 대해서 알아보겠습니다.

각 벤더마다 아키텍처가 다를수 있습니다.

 

이부분이 정책하게 이해해야지 설정값을 설정값을 잘 만들수 있습니다. 

예를 들어서 SNAT, DNAT, Static NAT, 라우팅 테이블이 중에서 

DNAT가 먼저 적용되고 변경된 Destination IP주소로 라우팅을 검색해서 라우팅을 하는지.

아니면 라우팅이 먼저 적용된다음에 DNAT가 적용 되는지. 

 

순서에 따라서 설정값이 많이 달라집니다.

그래서 아래처럼 방화벽 Traffic Flow를 이해하는것이 중요 합니다. 

 

주니퍼 방화벽 공식 홈페이지 URL주소 입니다.

https://www.juniper.net/documentation/us/en/software/junos/flow-packet-processing/topics/topic-map/security-srx-devices-processing-overview.html

 

Traffic Processing on SRX Series Firewalls Overview | Junos OS | Juniper Networks

Junos OS for security devices integrates network security and routing capabilities of Juniper Networks. Packets that enter and exit a device undergo both packet-based and flow-based processing. Understanding the Default Processing Behavior for IPv4 Traffic

www.juniper.net

 

시간이 되시면 위에 공식 홈페이지에 글을 끝까지 읽어보시길 바랍니다.

지금까지 [2025][Juniper SRX #31] Traffic Flow 글을 읽어주셔서 감사합니다. 

안녕하세요.

 

오늘은 Juniper IPS Signature Update하는 방법에 대해서 알아보겠습니다.


1. Juniper SRX License Check

root> show system license
License usage:
                                 Licensed     Licensed    Licensed
                                  Feature      Feature     Feature
  Feature name                       used    installed      needed    Expiry
  idp-sig                               0            1           0    2030-01-26 00:00:00 UTC
  remote-access-ipsec-vpn-client        0            2           0    permanent
  remote-access-juniper-std             0            2           0    permanent

Licenses installed:

  License identifier: JUNOS422937473
  License version: 4
  Valid for device: CW4024AX0159
  Customer ID: KDDI ASIA PACIFIC PTE. LTD.
  Features:
    idp-sig          - IDP Signature
      date-based, 2024-12-27 00:00:00 UTC - 2030-01-26 00:00:00 UTC

root>

 

2. Juniper IDP Signature check. 

root> show security idp security-package-version
  Attack database version:N/A(N/A)
  Detector version :N/A
  Policy template version :N/A
  Rollback Attack database version :N/A(N/A)
  Rollback Detector version : N/A

 

3. Juniper SRX IDP package Download- 외부에 통신 확인. 

root> ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=118 time=46.391 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=118 time=33.274 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=118 time=20.448 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=118 time=19.188 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=118 time=18.793 ms
^C
--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 18.793/27.619/46.391/10.815 ms

root> request security idp security-package download
Will be processed in async mode. Check the status using the status checking CLI

root>

root> request security idp security-package download status
Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi).
Version info:3786(Thu Feb 27 14:04:10 2025 UTC, Detector=23.6.160240709)

root>

 

4. Juniper SRX IDP Package Install 

root> request security idp security-package install
Will be processed in async mode. Check the status using the status checking CLI

root> request security idp security-package install status
In progress:Installing AI ...

root>

 

약 5분 뒤에 request security idp security-package install status 확인 합니다.

root> request security idp security-package install status
Done;Attack DB update : successful - [UpdateNumber=3786,ExportDate=Thu Feb 27 14:04:10 2025 UTC,Detector=23.6.160240709]
     Updating control-plane with new detector : successful
     Updating data-plane with new attack or detector : not performed
      due to no active policy configured.

 

5. check version 

root> show security idp security-package-version
  Attack database version:3786(Thu Feb 27 14:04:10 2025 UTC)
  Detector version :23.6.160240709
  Policy template version :N/A
  Rollback Attack database version :()
  Rollback Detector version : N/A

root>

 

지금까지 [2025][Juniper SRX #30] IDP Signature Update 글을 읽어주셔서 감사합니다. 

+ Recent posts