IT BLOG(KR)

안녕하세요. 

오늘은 wifi 패스워드를 cmd창에서 확인 하는 방법에 대해서 알아보겠습니다.

1. CMD를 실행합니다.

2. 아래처럼 SSID 확인 가능 합니다. 

저는 31994라는 SSID를 사용 중에 있습니다. 

2.

지금까지 [IT TECH TIP-#2] - 접속된 WIFI 패스워드 확인 - cmd 글을 읽어주셔서 감사합니다. 

안녕하세요. 

오늘은 현재 접속된 WIFI 패스워드를 확인 하는 방법에 대해서 알아보겠습니다.

오랜전에 WIFI를 접속 후 현재 패스워드를 까먹엇을때 유용하게 사용 가능 합니다.

1. WIFI 아이콘에서 오른쪽 마우스를 클릭후 네트워크 및 인터넷 설정을 클릭 합니다. 

2. Wi-Fi를 클릭 합니다. 

3. 속성을 클릭 합니다. 

4. 고급 Wi-Fi 네트워크 속성을 클릭 합니다. 

6. 보안 탭을 클릭후 문자 표시를 선택하면 WIFI 패스워드를 확인 가능 합니다. 

지금까지 [IT TECH TIP-#1] - 접속된 WIFI 패스워드 확인 - 윈도우11 글을 읽어주셔서 감사합니다. 

안녕하세요. 

오늘은 Global Protect Protal list를 Batch File를 이용해서 설치 하는 방법에 대해서 알아보겠습니다.

아래 처럼 User가 GP를 실행했을때 List가 총 4개가 나오게 Batch 파일을 만들어보겠습니다.

192.168.1.2

192.168.1.3

192.168.2.2

192.168.2.3

윈도우10에서 테스트 하였습니다.

1. 윈도우 10에서 메모장을 열고 아래 설정값을 복사합니다.

2. 그리고 GP_BATCH 이름 정하고 확장자를 .bat로 저장합니다

3. 테스트를 위해서 기존에 있는 GP Portal List를 삭제합니다. 

윈도우 + R

Portal list를 삭제합니다.

그리고 다시 Registry값을 보면 아래처럼 삭제 되었습니다.

4. Batch 파일을 통해서 GP Portal List를 추가하기 위해서 Batch File를 administrator 권환으로 실행 합니다. 

그리고 Registor값을 확인해보면 Portal List가 추가되었습니다.

** 위에 Na NA폴더는 삭제 합니다. ** 삭제하지 않으면 제대로 동작하지 않습니다. 

하지만 GP List에 보면 아래처럼 Portal List가 없습니다. 

** GP를 재실행 합니다. **

** GP를 재실행 할수 있는 권환이 옵션이 없으면 PC를 재부팅 합니다. **

5. 재부팅이 완료 되면 아래 사진처럼 4개에 globlal protect Portal List가 보입니다.

만약에 User가 100이라고 가정해보겠습니다.

AD Join이 된 PC라면, GPO를 통해서 유저가 AD계정으로 로그인 할때 위에 Batch file를 자동 실행하게 해서 Global Protect portal list를 추가 할수 있습니다. 하지만 유저가 PC를 재부팅해야지 추가된 portal list가 보입니다.

AD 사용 하지 않는 User라면 Email를 통해서 Batch File를 전달해서 유저들이 Batch를 클릭해서 설정하게 하고 재부팅 하게 합니다. 

지금까지 [PaloAlto FW-#19] - GlobalProtect Portal list install - Batch File 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 PaloAlto Service Route에 대해서 알아보겠습니다.

PaloAlto는 Service관련 Traffic에 대해서는 어떤 인테페이스를 Source로 해서 통신 할 것인지 정의 할수 있습니다.

Default로는 MGMT를 사용 합니다. 일반 Data InterFace를 사용 하기 위해서는 수정이 필요 합니다. 

1. Device -> Setup -> Services -> Servoces Features에서 Service Route Configuration를 클릭 합니다. 

2. 아래처럼 디폴트값은 MGMT 입니다. 

실제 장비 사진을 보시면 위에 MGMT - OUT OF BAND를 통해서 Service 과련 Traffic를 Source IP로 선택해서 통신 합니다.

Customeize를 선택하면 팔로알토에서 제공하는 Pre-defined 된 Service들에 해서 Source Interface와 IP를 선택 가능 합니다. 

제약 사항.

** Backup Interface를 선택 할수 없습니다. **

만약에 Pre-Defined에 없는 Service들은  Destination를 통해서 설정 가능 합니다. 

아래처럼 설정하면 Pre-Defined에 없는 Service Traffic은 Destination에 Match되면 이 소스로 IP로 해서 통신 합니다. 

** 중요 **

이 Destination은 특정 IP에 대해서는 이 Source Interface랑 IP를 사용해라가 아닙니다.

예를 들어

Active Directory 01 IP 1.1.1.1

Active Directory 02 IP 2.2.2.2

에서 PaloAlto에서 1.1.1.1 Source IP를 192.168.10.1

2.2.2.2에 대해서는 Source IP를 192.168.20.1 선택 하고 싶습니다. 그래서 Destination에 위와 같이 설정해도 원했던것처럼 동작하지 않습니다.

Destination 1.1.1.1 source interface e1/1 ip 192.168.10.1

Destination 2.2.2.2 source interface e1/2 ip 192.168.20.1

Priority 

1. Pre-Defined이 첫번째로 적용 됩니다.

2. Destination은 Pre-Defined에 없는 Service들을 적용 할때 사용 됩니다.  용도가 다릅니다.

공식 팔로알토 문서

https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-web-interface-help/device/device-setup-services/destination-service-route

You can use a destination service route to add a customized redirection of a service that is not supported on the Customize list of services.  A destination service route is a way to set up routing to override the forwarding information base (FIB) route table. Any settings in the Destination service routes override the route table entries. They could be related or unrelated to any service.

지금까지 [PaloAlto FW-#18] - Service Route 글을 읽어주셔서 감사합니다.

안녕하세요.

오늘은 mib browser에 대해서 알아보겠습니다. 

mib browser를 이용하면 쉽게 oid값을 찾아 낼수 있습니다. 

google에서 mib browser를 검색하면 무료로 사용 할수 있는 mib browser가 많이 있습니다. 

1. 저는 ireasoning.com에서 제공하는 mib browser를 설치 하겠습니다.

https://www.ireasoning.com/mibbrowser.shtml

2. Download Now버튼을 클릭 합니다. 

3. 아래처럼 사용중인 OS에 맞게 다운로드 합니다. 

4. setup를 클릭 해서 설치 합니다. 설치 과정은 생략 하겠습니다. 

5. 위에 사진에서 mib browser를 클릭 합니다

6. Paloalto에서 mib 파일을 다운로드 받습니다.

https://docs.paloaltonetworks.com/resources/snmp-mib-files

7. 사용중인 버전을 클릭해서 다운로드 받습니다.

8. 압축을 풉니다. 

9. Mib Broswer를 통해서 위에 값을 불러 옵니다.

10. 아래 폴더에 접속합니다. 

11. BGP 관련 OID값을 찾아보겠습니다.

BGP가 UP되었을때 OID

BGP가 DOWN되었을때 OID

실제 이 OID값을 가지고 리눅스에서 팔로알토에 snmp 쿼리 해보겠습니다.

12. SNMP관련 Tool이 설치 된 리눅스에 접속 합니다.

 .1.3.6.1.4.1.25461.2.1.3.2.0.1531   --- BGP UP

 .1.3.6.1.4.1.25461.2.1.3.2.0.1532   -- BGP DOWN

팔로알토 장비가 PA220인데 이 BGP OID를 지원을 하지 않는거 같다. 

추후에 다른 PA장비에서 테스트를 진행해보겠습니다. 

지금까지 [PaloAlto FW-#17] - mib browser - BGP UP/DOWN 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 Fortigate ECMP에 대해서 알아보겠습니다.

1. ECMP - Equal Cost Multiple Path - 매카니즘에 대허서 Routing Table 경로가 같으면 Traffic를 Load-Balance 합니다. 

2. ECMP는 Policy Routing 이후에 ECMP 정책이 적용 됩니다.

3. ECMP가 적용되기 위해서는 Same Destination, Cost가 같아야 합니다. 

4. 포티넷은 총 255에 ECMP Table를 지원 합니다.

5. ECMP Load-Balance 종류

    5-1 Source-ip-based - it is defualt selection - A source ip는 WAN01선택, B Source IP는 WAN02선택 이렇게 소스 IP별로 로드밸런싱 합니다. 

    5-2 weight-based - session percentage 적용해서 WAN01 - 75% , WAN02는 -25% 선택 가능-  WAN01 - 100M, WAN02, 25M

   5-3 usage-based - WAN01에 ingress and egress thresholds를 설정하고 이 임계치가 넘어가면 WAN02로 전환

  모든트래픽이 WAN01으로 흐르고 있는 상황에서 5% 넘으면 다음세션부터는 WAN02가 처리. 

   5-4 source-dest-ip-based - 소스IP, 목적지IP를 조합해서 로드밸런싱 합니다. 

안녕하세요. 

오늘은 paloalto에서 SNMP v2를 설정하고 리눅스에서 snmp값을 검색해보겠습니다. 

1. Device -> Server Profiles -> SNMP Trap

그리고 Add버튼을 클릭 합니다. 

2. 아래처럼 설정 합니다. 

3. Device -> Setup -> Operations -> SNMP Setup

SNMP Setup을 클릭 합니다. 

4. 아래처럼 설정 합니다. 

5. 리눅스를 SSH접속 합니다.

아래처럼 입력하면 Linux에서 Paloalto SNMP값을 불러 올수 있습니다. 

안녕하세요.

오늘은 PALOALTO에서 BGP가 다운되었을때 Log를 KIWI syslog에 포워딩 해보겠습니다.

Paloalto syslog forwarding Source - > E1/1 192.168.10.253

KIWI syslog Server IP: 192.168.10.103

1. Device -> Setup -> Services -> Services Features

2. Devices -> Log Settings -> system 에서 Add버튼을 클릭 합니다. 

3. 저희는 BGP 관련 Status 상태 정보만 확인하고 Syslog에게 전달하기 위해서 Filter Builder를 클릭 합니다. 

4. 아래 처럼 입력 합니다. 

(eventid eq routed-BGP-peer-enter-established) or (eventid eq routed-BGP-peer-left-established)

뜻 BGP peer가 생성 되었을때 또는 BGP peer가 해제 되었을때는 SYSLOG에 LOG를 전달 합니다.

View Filtered Logs를 클릭해서 실제 로그가 제대로 검색 되는지 확인 합니다. 

5. 정상적으로 로그가 검색 되었습니다.

아래처럼 okay버튼을 클릭 합니다.

6. SYSLOG 서버 IP를 입력 합니다.

7. Click Syslog Profile

8. 아래처럼 입력 합니다. 

9. OK버튼을 클릭 합니다. 

10. Commit를 클릭 합니다.

TIP - Monitor -> Logs -> System에서 아래처럼 검색 가능 합니다. 

윈도우 PC에서 Syslog를 설정 합니다.

이제 실제로 테스트 해보겠습니다.

Paloalto에서 Down되어진 BGP를 UP를 시킵니다. 그리고 Commit를 실행 합니다. 

BGP에 UP이 되면 KIWI syslog에 LOG가 쌓이는지 확인 합니다.

첫번째 로그는 BGP가 UP되었을때

두번째 로그는 BGP가 DOWN되었을때 

정상적으로 동작 합니다. 

이런 방식으로 특정 LOG에 대해서 syslog에 전달해서 관리 가능 합니다. 

안녕하세요. 

오늘은 PALOALTO에서 log를 kiwi syslog에 전달하기 위해서 윈도우 PC에 kiwi syslog를 설치해보겠습니다.

PALOALTO syslog interface 192.168.10.254

Windows PC: 192.168.10.103

1. 공싱 홈페이지에 접속 합니다. 

https://www.solarwinds.com/free-tools/kiwi-free-syslog-server

위에처럼 Download Free Tool를 클릭 합니다.

2. 정보를 입력 하고 아래 Download 버튼을 클릭 합니다. 

3. 다운로드 폴더를 클릭 합니다. 

4. 아래 설치 파일을 클릭 합니다. 

5. 아래 Yes 버튼을 클릭 합니다. 

6. 아래 I agree 버튼을 클릭 합니다. 

7. Next버튼을 클릭 합니다.

8. 아래 Next버튼을 클릭 합니다. 

9. Next버튼을 클릭 합니다. 

10. Install 버튼을 클릭 합니다. 

11. 설치가 완료 될때까지 기다립니다. 

12. Finish 버튼을 클릭 합니다. 

13. 무료 버전은 아래처럼 Source 최대 5개까지 가능 합니다.

지금까지 [PaloAlto FW-#14] - Kiwi Syslog install 글을 읽어주셔서 감사합니다. 

안녕하세요. 

현재 Zabbix를 통해서 PaloAlto site-to-site vpn 모니터링 하기 위해서 여러가지 검색을 했지만. 

팔로알토는 site-to-site vpn snmp를 제공 하지 않는다고 공식적으로 팔로알토 페이지에서 확인 하였습니다.

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgnCAC

SYSLOG를 통해서 S2S VPN이 다운 되었다고 LOG를 확인 가능 합니다. 

PALOALTO랑 2FA를 설정할때 제약 사항. 

PALOALTO MGMT PORT또는 DATA PORT로 LDAP또는 RADIUS Packet를 전달 한다.

하지만 아래 사진 처럼 SOURCE INTERFACE를 한개만 설정 할수 있다. 

아래 같은 상황을 설정해 봅니다. 

내부에 서버가 있습니다.

ISP01 - 192.168.1.2 통해서 GP연결하는 유저는 Production server에 접속 함.

ISP01 - 192.168.1.3 통해서 GP연결하는 유저는 Test server에 접속 함. 

PRODUCTION SERVER - 192.168.150.100 - Active Directory and Cisco DUO

TEST SERVER - 192.168.151.100 - Active Directory and Cisco DUO

Production GP USER - Portal Authentication - AD

1. GP User - 192.168.1.2 접속

2. PA E1/3 LDAP Traffic 전달

   192.168.150.254 Source  -> LDAP 192.168.150.100   same L2

3. LDAP Server 인증 체크

4. 인증 리턴 패킷을 다시 192.168.150.100 Source -> 192.168.150.254 Destination 전달

5. PAloalto는 다시 유저에게 전달해서 Portal authentication 완료 됩니다. 

Cisco DUO authentication

1. RADIUS TRAFFIC 전달

    Source 192.168.150.254 -> Destination 192.168.150.100 

2. Cisco DUO Proxy -> Cisco DUO CLOUD 전달

    Source 192.168.150.100이 API를 통해서 Cisco DUO전달

3. Cisco DUO CLOUD에 User에 포함된 모바일폰 정보를 확인후 Push Notification 전달

지금까지는 LDAP and Radius Source Interface IP가 192.168.150.254 <->  192.168.150.100 LDAP and DUO서버랑 같은 L2 도메인 이라서 통신 되는데 문제가 없습니다.

*****  하지만 Test Server에 접속 할때는 상황이 다릅니다. ******

GP Portal IP - 192.168.1.3

LDAP02 and DUO02 - 192.168.151.100

PALOALTO Source LDAP and RADIUS IP - 192.168.150.254

1. GP User가 ISP01 192.168.1.3에 접속 합니다.

2. PA E1/3 192168.150.254를 Source해서 192.168.151.100으로 접속을 시도 합니다. 

하지만 실제 E1/4 192.168.151.254 <-> 192.168.151.100 같은 L2이기때문에, 패킷이 E1/3이 아니라 E1/4 전달 됩니다.

리턴 패킷도 E1/3이 아니라 E1/4로 받아서 AD 인증 cisco DUO 인증 모두 실패 합니다. 

라우팅을 변경 하면 해결 됩니다. 

1. PALOALTO에서 192.168.151.100/32를 E1/3를 통해서 Internet PA - E1/2 192.168.168.150으로 전달 합니다

2. INTNET PA입장에서는 192.168.151.1 <-> 192.168.151.100 같은 L2도메인이기때문에,  

    INTERNET PA  E1/3 192.168.151.1를 통해서 192.168.151.100 통신 합니다

3. 192.168.151.100 - AD02 DUO02는 Default Gateway가 192.168.151.1이고 AD02/DUO02는 패킷을 INTERNET PA로 전달 합니다. 

4.  INTERNET PA는 E1/3를 받아서 192.168.1.2 E1/2 전달합니다. 

5. GP PALOALTO는 E1/3 192.168.1.254로 AD2/DUO2패킷을 전달 받습니다.

이렇게 하면 이 문제가 해결 됩니다. 

GP PA1에서 단순히 Static Routing를 아래처럼 설정하면 됩니다.

192.168.151.0/24 - E1/4 연결 되었지만 아래처럼 192.168.151.100/32로 E1/3강제로 라우팅을 변경 가능합니다.

그 이유는 Longest Match Rule에 의해서 가능 합니다

Aysmetric 구조가 아니고 PA AD/DUO source interface로 패킷이 나가서 라우팅만 잘 되고 다시 그 인터페이스로 패킷을 전달 받으면 제대로 동작하는 것을 확인 하였습니다. 

안녕하세요.

이번에는 windows 10 PC를 Active Directory에 Join하겠습니다.

토폴로지는 아래와 같습니다.

추후에 wire 802.1x를 설정하기 위해서는 PC가 Switch에 연결되어야 합니다. 

PC는 아래 구름을 통해서 VMware ESXi안에 있는 Windows Server통신 가능 합니다.

PC

IP: 192.168.10.169

Netmask: 255.255.255.0

GW: 192.168.10.253

DNS: 192.168.10.193

DNS: 8.8.8.8

AD Server IP: 192.168.10.253

Domain: test.local

1. Windows Server에서 windows 10에서 IP주소를 설정 합니다. 

2. ping test.local

3.

컴퓨터 이름을 수정합니다.

USERPC01

Domain: test.local

Active Directory 계정을 입력 합니다. 

4. OK버튼을 클릭 합니다. 

재부팅 합니다. 

5. 윈도우 서버에서 User를 생성 합니다.

user01 

AD user 계정으로 로그인중입니다. 

지금까지 [2025][CISCO ISE#39] - Windows 10 PC Active Directory Join 글을 읽어주셔서 감사합니다.

안녕하세요.

cisco ise 로그인 할때 Local Database를 이용해서 로그인 하였습니다 - Local User on cisco ise

이번에는 Active Directory에 User를 통해서 Cisco ISE 로그인 해보겠습니다.

Active Directory는 이전 강의에서 설명 하였습니다.

https://itblog-kr.tistory.com/133

1. 윈도우서버에 접속해서 아래처럼 테스트를 위해서 그룹과 계정을 생성합니다.

AdminGroup - admin user

SupportGroup - support user

2. AD를 연동 합니다. 

정상적으로 등록 되었습니다.

이번에는 Active Direcotry에 있는 Group를 cisco ise에 불러오겠습니다.

아래처럼 AdminGroup과 SupportGroup를 선택하고 OK버튼을 클릭 합니다. 

3. Admin 로그인 할때 Local User가 아닌 Active Directory 선택합니다.

4. Group를 생성합니다.

AdminGroup

SupportGroup

위에 처럼 Admin Groups이 생성 되었습니다. 

5. Authorization -> Permissions -> RBAC Policy 클릭합니다

Action 버튼을 클릭후 Insert New Policy를 선택합니다.

Rule Name: AdminGroup-Policy

Admin Groups: AdminGroup 

Permissions: Super Admin Menu Access and Super Admin Data Acess

User가 AdminGroup에 속하면 권환을 Super Admin Menu랑 Super Admin Data를 부여하라는 뜻입니다.

Rule Name: SupportGroup-Policy

Admin Groups: SupportGroup

Permissions: HelpDesk Admin Menu and Read Only Admin Data

User가 SupportGroup에 속하면 권환을 Helpesk admin menu랑 Read Only Admin Data를 부여하라는 뜻입니다.

Save버튼을 클릭 합니다. 

6 . 이제 테스트를 합니다. 다른 브라우저를 열고 cisco ISE GUI 접속 합니다. 

로그인 가능하고 모든 메뉴를 볼수 있습니다. 

이번에는 support user를 로그인 합니다. 

Support유저는 제한된 메뉴만 볼수 있습니다. HelpDesk 유저이기 때문에

이번에는 테스트를 위해서 Admin 계정에서 AdminGroup를 제거 합니다.

그리고 다시 admin 계정으로 로그인 합니다

admin이 admingroup에 속하지 않기때문에, 로그인에 실패 하였습니다.

AD가 문제가 생겨서 로그인 못하면 옵션에서 Internal로 변경하고 기존에 있는 admin local user로 로그인 가능 합니다.

아래처럼 로그인 가능 합니다. 

다음 테스트를 위해서 Admin 계정에 다시 AdminGroup를 추가 합니다.

지금까지 [2025][CISCO ISE#38] - Admin login with Active Directory 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 Admin Access에서 Setting Menu에 대해서 알아보겠습니다.

1. Administration -> System -> Admin Access -> Settings  -> Access

배너 설정도 가능 합니다. 

GUI 동시 접속자수 설정 가능

CLI 동시 접속자수 설정 가능

IP access - 기본설정으로 모든 IP는 cisco ISE접속 가능

아래처럼 특정 IP만 cisco ise GUI/CLI 접속 가능 하게 설정 가능 

MnT Access 도 IP Access랑 똑같습니다. 

** Session Timeout **

Session이 Idel 일때 특정 시간이 되면 자동으로 Logout가능 하게 합니다.

현재 CISCO ISE접속한 유저들을 표시 합니다. 

지금까지 [2025][CISCO ISE#37] - Admin Access - Settings Menu 글을 읽어주셔서 감사합니다. 

안녕하세요. 

오늘은 Admin Access에서 Administrators Menu에 대해서 알아보겠습니다. 

1. Administration - System - Administrators - Admin Users

아래처럼 Administrators 계정을 관리 할 수 있습니다.

생성/삭제/수정 가능 합니다. 

유저들은 groups에 포함 되어야 합니다. 유저가 group에 포함되는 순간 group관련 정책들이 적용 됩니다. 

유저 생성

지금까지 [2025][CISCO ISE#36] - Admin Access - Administrators Menu 글을 읽어주셔서 감사합니다. 

안녕하세요

오늘은 Admin Access에서 Authorization에 대해서 알아보겠습니다.

Administation -> System -> Admin Access -> Authorzation 

** Menu Access **

Navigational Visibility on ISE

어떤 메뉴를 유저(그룹)에 대해서 어떤 메뉴를 보여줄수 설정 가능 합니다. 

EX) 아랯럼 특정 메뉴를 Show 또는 Hide로 설정 가능 합니다. 

*** Data Access ***

Ability - Read/Access/Modify the identity data on cisco ise. Access관련 권환에 대해서 설정 가능 합니다. 

Permmission can be configured only for Admin groups, iser identity group, Endpoint identity group and network device groups.

1. Full Access

2. Read Only Access

3. No Access

** RBAC Policy **

RBAC stands for Role-based access control. which a user belongs can be configured to use the desired menu and data access policies 

지금까지 [2025][CISCO ISE#35] - Admin Access - Authorization Menu 글을 읽어주셔서 감사합니다.

안녕하세요.

오늘은 Admin Access 에 대해서 알아보겠습니다.

1. 아래처럼 Admin Access 를 확인 할 수 있습니다. 

administration -> system -> Admin Access에서 아래처럼 Authentication에 대해서 알아보겠습니다. 

1. Authentication

** Authentication Mehtod **

Password Based 또는 Certificate Based 선택 가능 합니다.

그리고 Identity Source에서 

Internal - ISE local database 에서 인증

Active Directory - AD를 통해서 User인증 등을 선택 할 수 있습니다. 

*** Password Policy ***

Password를 생성할때 조건 사항들을 선택 할수 있습니다.

Passowrd 총 길이는 10개 이상 이어야 하고 대문자 숫자 특수 문자는 몇개를 포함하여야 특정 문자는 선택 할수 없고 등등을 정의 할 수 있습니다.

*** Account Disable Policy ***

계정이 특정 기간 동안 로그인 하지 않으면 그 계정을 Disable하는 기능 입니다.

EX) 10 days 정의하면 사용자가 10일동안 로그인 하지 않으면 이 계정을 Disable 합니다. 

*** Lock/Suspend Settings ***

로그인을 몇번 시도해서 틀렸을경우 몇분 동안 다시 로그인을 하지 못하게 정의 할 수 있습니다. 

위에 기본 설정에서 보시면,  패스워드를 3번 틀리면 15분 동안 다시 로그인 할 수 없게 합니다.

이유는 해킹툴로 패스워드를 임의에 수로 계속 로그인 하게 시도 할 수 있습니다. 위에 기능을 설정하면 보안상 좋습니다. 

지금까지 [2025][CISCO ISE#33] - Admin Access - Authentication Menu 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 cisco ise version upgrade하는 방법에 대해서 알아보겠습니다.

1. 현재 사용중인 cisco ise version를 확인 합니다.

2. cisco homepage 접속해서 Upgrade 버전을 확인 합니다.

아래 사지너럼 3.3 ise upgradebundle를 다운로드 받습니다. 

3. 그리고 FTP Repository에 다운로드한 파일을 업로드 합니다.

4. Configuration Backup, Operation Backup, Certificate Backup를 합니다. 

이제 cisco ISE upgrade할 준비가 완료 되었습니다.

1. Administration -> System -> Upgrade 

그리고 Split Upgrade 선택하고 Start Upgrade버튼을 클릭 합니다..

2. Upgrade 버튼을 클릭 합니다. 

Proceed 버튼을 클릭 합니다.

3. 아래 Check박스 선택하고 Continue버튼을 클릭 합니다.

4. 아래처럼 선택하고 Download 버튼을 클릭 합니다. 

5. FTP Repostory를 선택하고 Upgrade 파일을 선택하고 Confirm 버튼을 클릭 합니다. 

6. 그러면 cisco ise upgrade파일을 FTP repostory폴더로 부터 다운로드 합니다. 

7. 다운로드가 완료 되면 마지막으로 Upgrade버튼을 클릭 합니다. 

지금까지 [2025][CISCO ISE#33] - Upgrade Version 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 Cisco ISE certification export하는 방법에 대해서 알아보겠습니다.

Cisco ISE configuration backup 실행해도 Certificate은 Backup되지 않습니다.

수동으로 백업 해야합니다.

cisco ISE certificate은 다양하게 사용 됩니다. Web GUI, Web Portals, EAP, Pxgrid 등등. 

그래서 꼭 Certificate를 백업 해야 합니다. 설정값을 백업하고 Certificate를 백업하지 않으면 Cisco ISE 장비가 망가져서 RMA 또는 새로운 Cisco ISE설치 했을때 난감한 상황을 맞이 할 수 있습니다.

1. Self Signed Certificate

2. 3rd party signed Certificate 

Self Signed Certificate경우 -  Import Public Key of certificate under trusted certificates

3rd Party Signed Certificate경우 - Import Root and all other intermediate certificates of the certificate

1. 아래 페이지에 접속 합니다.

administrator - system - certificates - sytem certificates

ISE01-TEST-CERT를 Check하고 Export버튼을 클릭 합니다. 

아래처럼 설정 합니다.

아래처럼 파일이 다운로드 되었습니다. 

압축된 폴더를 클릭 하면, 아래처럼 Public Key랑 Private Key가 있습니다.

2번째는 Trusted Certifiate 항목에 있는 인증서를 백업 합니다.

1. Trsuted Crtificates 클릭

2. 저번에 windows CA서버랑 인증서 발급 했던  SERVER-CA-ROOT를 체크 하고 백업합니다. 

이렇게 Certificate 백업하면 됩니다. 

인증서 Import는 cisco ISE에 있는 Import버튼을 눌러서 인증서를 Import하면 됩니다. 이 부분은 생략 하겠습니다.

이번에는 CLI모드에서 인증서를 백업 해보겠습니다.

7번 Export Internal CA store

이렇게 인증서 백업이 완료 되었습니다.

FTP 서버에 폴더에서 확인 합니다.

CLI에서 [8]Import Internal CA Store 눌러서 복구도 가능 합니다. 

이부분은 생략 하갰습니다.

지금까지 [2025][CISCO ISE#32] - Export/Import Certificate에 대해서 알아보았습니다. 

안녕하세요.

오늘은 cisco ise configuration restore에 대해서 알아보겠습니다.

1. 아래처럼 접속 합니다. 

Administration -> System -> Backup & Restore 

FTP Repository를 선택하고 Configuration 메뉴를 선택합니다.

2. administration -> Identity management -> Users

백업을 실행하기 전에 Local User 하나를 생성합니다.

username: KDDITEST

그리고 맨 아래에 Submit버튼을 클릭 합니다. 

그리고 복구 버튼을 클릭 합니다. 

아래처럼 패스워드를 입력하고 Restore버튼을 클릭 합니다. 

** Restore ADE-OS **

ADE-OS stands for Application Deployment Engine Operating System. This is the operating system on which ISE runs, which is based on Red Hat Enterprise Linux (RHEL). When restoring ADE-OS you would be restoring OS level configuration. This would include all of the operating system configuration data that is configured when setting up the ISE node. Things like hostname, IP addresses, NTP, enabling SSH, default gateway, and name servers.

Restoring the ADE-OS configuration would be used if you want an exact duplicate of the ISE server the backup was taken from. However, this can cause issues if these servers exist on the same network at the same time for obvious reasons. If you want to stand up a new ISE server with the same configuration but with a different IP and hostname, it is not recommended to restore the ADE-OS configuration.

자동으로 로그아웃되고 GUI에서 더 이상 복구 진행 상황을 확인이 불가능 합니다.

Putty로 cisco ise에 접속 합니다.

위와 같이 CLI에서 확인 가능 합니다. 100%까지 기다립니다.

100% 완료 되면 아래처럼 표시 됩니다.

복구가 완료 되었습니다.

cisco ISE GUI접속해서 복구 하기전에 생성 했던 User가 사라졌는지 확인 합니다.

지금까지 [2025][CISCO ISE#31] - configuration restore 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 cisco ise schedule backup에 대해서 알아보겠습니다. 

1. 아래 경로에 접속 합니다. 

Administrator -> system -> backup& Restore

아래처럼 configuration backup schedule 또는 operation backup schedule를 선택 할 수 있습니다.

2. 아래처럼 입력 합니다. 그리고 Save버튼을 클릭 합니다. 

위에 처럼 입력하면 Save버튼을 클릭 했을때 Error메시지가 출력 됩니다.

Start Date는 무조건 현재 날짜보다 미래여야 합니다.

Operation date Backup도 위와 처럼 설정 가능 합니다.

지금까지 [2025][CISCO ISE#30] - schedule backup 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 cisco ise operation backup에 대해서 알아보겠습니다.

configuration backup - 설정관련 백업

operation backup - Data log 그리고 troubleshoot 관련 log를 백업 합니다.

1.cisco ise를 접속 합니다.

administration -> system -> Backup & Restore

2. 아래처럼 입력 합니다. 그리고 Backup버튼을 클릭 합니다. 

Backup이 완료 될때까지 기다립니다.

cisco ISE CLI에서도 확인 가능 합니다.

operation backup status부분을 확인 합니다. 

완료 되면 아래처럼 표시 됩니다

GUI에서 확인 합니다.

FTP파일서버에서 아래처럼 확인 가능 합니다.

지금까지 [2025][CISCO ISE#29] - operation backup 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 cisco ise configuration backup과 restore를 실습해보겠습니다.

configuration backup는 설정값에 대해서 백업 합니다. 

operation backup - log랑 troubleshooting data를 백업 합니다. 

1. cisco ise 접속 후 administration > system > backup and Restore를 클릭 합니다.

2. 아래처럼 입력 합니다.

Repository에서 FTP를 선택 합니다. 

설정 방법은 이전글을 확인 합니다.

https://itblog-kr.tistory.com/152

Windows FTP구축 방법

https://itblog-kr.tistory.com/139

패스워드는 복구 할때 사용 합니다. 꼭 password를 기억하고 있어야 합니다.

Password를 모르면 복구가 불가능 합니다. 

백업이 완료 될때까지 기다립니다.

Putty에서 cisco ise접속 합니다.

CLI에서도 아래처럼 확인 가능 합니다. 

Backup History도 확인 가능 합니다.

GUI에서 확인한 결과 입니다. 

실제 FTP서버에서 폴더를 확인해 보면 아래처럼 백업 파일이 생성 되었습니다.

지금까지 [2025][CISCO ISE#28] - configuration backup 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 cisco ise backup and Restore에 대해서 알아보겠습니다.

1. Standard-alone ISE node에서 Backup 및 Restore 가능

2. If ISE is HA mode, only Primary node만 Backup 및 Restore 가능

3. Backup/Resotre은 CLI또는 GUI에서도 가능 

4. Backup/Resotre은 Repository가 필요 합니다. 

5. Schedule Backup 가능 - Daily, weekly or monthly 

6. 만약에 Internal CA를 사용하면, CLI에서 Certificates과 Key등을 export해야 합니다. 

7. ISE GUL에서 Baclup하면 CA (Certificate Authority)는 백업이 되지 않음

8. 복구 절차는 cisco ise deploment type에 따라 다를수 있음

9. Monitoring Backup은 백업 가능

10. 복구하면 cisco ISE는 자동으로 재시작 됩니다. 

11. 2가지 백업 TYPE - Configuration backup, Operational Backup

*** Configuration Backup ***  -- configuration data only.  - backup related in configuration 

*** Operational Backup ** - Monitoring and trhoubleshooting data. - backup related in log data and troubleshooting information 

Administration - System - Backup & Restore

지금까지 [2025][CISCO ISE#27] - Backup and Restore 글을 읽어주셔서 감사합니다.

다음 글에서는 Configuration backup & Resotre를 실습해 보겠습니다.

안녕하세요.

오늘은 Cisco IOS Download 받을때 Cisco가 권장하는 IOS 버전에 대해서 알아보겠습니다.

1. 아래 시스코 사이트에 접속 합니다. 

https://software.cisco.com/download/home

2. 현재 구매한 장비 모델을 입력 합니다.

3. cisco XE software 버튼을 클릭 합니다. 

4. *에 으미가 현재 시점에서 시스코가 권장하는 IOS 버전 입니다. 

지금까지 Cisco IOS recommendation  글을 읽어주셔서 감사합니다. 

안녕하세요. 

Juniper SRX320를 설치 할 일이 있는데, Firmware recommendation version에 대해서 알아보겠습니다.

시스코는 IOS download 공식 홈페이지에 접속 하면 아래처럼 *를 확인 가능 합니다.

현재 시점에서 시스코가 권장하는 IOS버전입니다. 

Juniper는 Firwmare Download 페이지에서 시스코 처럼 표시가 되지 않습니다.

Juniper는 KB - Knowledge Base에서 확인 가능 합니다.

검색을 srx320으로 합니다.

아래처럼 권장 Firmware를 확인 가능 합니다. 

Juniper 공식 홈페이지는 아래와 같습니다. 

https://supportportal.juniper.net/s/article/Junos-Software-Versions-Suggested-Releases-to-Consider-and-Evaluate?language=en_US

지금까지 [2024][Juniper SRX #18] Firmware recommendation 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 EVE-NG에 PaloAlto Firewall를 설치해보겠습니다.

1. 공식사이트 링크는 아래와 같습니다. 

2. PaloAlto 방화벽 폴더 이름 이미지 파일 이름 및 확장자 정보입니다. 

Qemu folder name EVE                                Vendor                                                 Qemu image. qcow2 name

아래 사진처럼 폴더이름은 paloalto- 으로 시작해야 하고 파일 이름은 virtioa이고 확장자는 qcow2입니다. 

3. 아래 사진처럼 paloalto 폴더를 준비 합니다. 위에 표에 있는 이미지 말고 다른 이미지 버전도 지원하고 참고 부탁드립니다.

4. paloalto-11.0.0 폴더를 클릭해서 파일이름과 확장자를 확인합니다.

5. winscp를 이용해서 EVE-NG에 접속 합니다.

6. 폴더 위치. 

/opt/unetlab/addons/qemu/

여기를 클릭후 위에 팔로알토 폴더를 이동 합니다

7. putty를 이용해서 EVE-NG 접속 합니다.

8. EVE-NG GUI 접속 합니다.

9.  아래처럼 3개 버전을 Node를 생성하고 MGMT Interface에 연결 합니다.

Default login 

admin/admin

10. 아래처럼 MGMT IP를 설정 합니다.

PA01 - 192.168.10.161/24   - 9.0.4 version   

PA02 - 192.168.10.162/24   - 10.1.0 version

PA03 - 192.168.10.163/24   - 11.0.0 version

PC에서 ping를 시도 합니다.

ping 192.168.10.161

위와 같이 다른  version에 paloalto도 MGMT 설정 합니다.

11. 아래 처럼 GUI로 접속 합니다. 

정상적으로 동작 합니다. 다른 버전들도 이렇게 확인 가능 합니다.

지금까지 [2024][EVE-NG #19] PaloAlto 설치하기 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 기본 기능은 IP Scan에 대해서 알아보겠습니다.

EX) 192.168.10.0/24 서브넷을 입력하고 scan를 버튼을 누르면 Ping으로 응답하는 기기들은 모두 찾아서 표시해 줍니다.

1. Subnets를 클릭후 All suctions를 클릭 합니다. 

2. 기본적으로 2개에 sections이 있습니다. 

IPv6는 사용하지 않습니다. 그래서 삭제를 하겠습니다. 

Delete section를 클릭 합니다.

Edit Section를 클릭 합니다. 

이름을 customer에서 원하는 이름으로 수정 합니다.

저는 LAB으로 설정 하겠습니다. 

LAB를 클릭 합니다. 

My Folder를 클릭 합니다. 

아래처럼 Nest subnet를 클릭 합니다.

아러채럼 설정하고 Add버튼을 클릭 합니다.

LOCAL_SUBNET02를 클릭 합니다.

Scan 버튼을 클릭 합니다.

Scan에 종류는 다양합니다. 

아래처럼 Ping scan를 선택하고 scan버튼을 클릭합니다.

단말기기에서 ICMP패킷이 방화벽때문에 막혀있으면 PHPIPAM이 찾을수가 없습니다. 

이때는 ARP또는 MAC으로 SCAN하면 됩니다. 

아래처럼 사용하고 있는 IP주소를 찾았습니다. 
Description 또는 hostname을 추가 가능 합니다. 

저는 그냥 add discovers hosts버튼을 클릭 합니다. 

아래처럼 등록이 완료 되었습니다

IP주소 오른쪽에 이 버튼을 클릭하면 수정 가능 합니다.

지금까지 [phpIPAM][#8]- scan IP 글을 읽어 주셔서 감사합니다. 

안녕하세요..

이번에는 Juniper SRX Upgrade Path에 대해서 알아보도록 하겠습니다.

Juniper SRX Firmware Upgrade Path 입니다.

Upgrade table 

To make it easy to lookup for each Junos release for SRX from which earlier releases it is supported to directly upgrade to it, please see the below table.

Before performing the upgrade, please make sure to check the Notes section below for possible caveats and limitations which may apply.
 

Target Junos releaseDirect upgrade supported from

https://supportportal.juniper.net/s/article/Junos-upgrade-paths-for-SRX-platforms?language=en_US

Examples of upgrade paths

To upgrade your SRX device from Junos 21.4R3 to 24.2R1
Path: 21.4R3 --> 22.4R3 --> 24.2R1

To upgrade your SRX device from Junos 21.4R3 to 23.4R2-S3
Path: 21.4R3 --> 22.4R3 --> 23.4R2-S3

To upgrade your SRX device from Junos 19.4R3 to 22.2R1
Path: 19.4R3 --> 20.4R3 --> 21.4R2 --> 22.2R1 (*2,3)

To upgrade your SRX device from Junos 18.2R3 to 20.4R1
Path: 18.2R3 --> 18.4R3 --> 19.4R3 --> 20.4R1

To upgrade your SRX device from Junos 17.4R3 to 19.4R3-S2
Path: 17.4R3 --> 18.2R3 --> 18.4R3 --> 19.4R3-S2

To upgrade your SRX device from Junos 15.1X49-D170 to 20.4R1
Path: 15.1X49-D170 --> 19.4R3 --> 20.4R1

지금까지 [2024][Juniper SRX #17] Firmware Upgrade path 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 cisco ISE patch update에 대해서 알아보겠습니다.

Patch는 bug fixed, Security fixed 등이 포함되어져 있습니다.

patch 1,2,3,4,5,6 있다고 가정하면 꼭 순서데로 설치 할 필요는 없습니다. 

patch 6를 설치하면 그전에 버그 fixed 버전이 다 포함되어져 있습니다. 

현재 cisco ise 설치 버전은 3.2 입니다. Patch 버전을 확인 합니다.

만약에 Cisco ISE HA로 구성되어져 있다면 아래의 방식으로 Patch가 업데이트 됩니다.

1. Primary Administration Node

2. Secondary Administration Node

3. Primary Monitoring Node

4. Secondary Monitoring Node

5. Policy Service Nodes 

1. 현재 cisco ise patch 정보를 확인 합니다.

CLI에서도 확인 가능 합니다.

cisoc ise patch가 install되면 patch정보가 아래에 표시 됩니다. 

2. 최신 Patch는 7입니다. 다운로드 받습니다. 

3. GUI에서 Patch를 업데이트 하는 방법

다운로드 받은 patch를 선택하고 install버튼을 클릭 합니다. 

4. CLI에서 Patch를 업데이트 하는 방법

Download 받은 Patch를 Windows FTP를 이용해서 업로드 합니다.

도스창에서 FTP를 이용해서 업로드 해도 되고 따로 FTP Clinet 프로그램을 설치 해서 업로드 가능 합니다.

5. CLI에서 FTP-Repo 확인 합니다

6. CLI모드에서 Patch를 업데이트 해보겠습니다.

업데이트가 완료 될때까지 기다립니다.

지금까지 [2025][CISCO ISE#26] - Patch Update 글을 읽어주셔서 감사합니다.