IT BLOG(KR)

안녕하세요.

오늘은 C9800 이중화 디자인에서 설명하겠습니다.

1, 9800WLC 디자인 부분. 

2. 9800 WLC를 VMware 또는 다른 하이퍼바이저에 설정할 경우. 

3.  V

WLC 9800 설정하는 방법.

https://www.youtube.com/watch?v=2bheYoFQMgo

지금까지 [C9800CL][#20]- 이중화 디자인  글을 읽어주셔서 감사합니다. 

안녕하세요.

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst_slr/b-169-9000-series-SLR-cg/b-169-9000-series-SLR-cg_chapter_00.html

enable

license smart reservation request [all | local]

Example:
Device# license smart reservation request local
Enter this request code in the Cisco Smart Software Manager portal:
CP-ZC9300-24U:FCW2125L046-AK9A6sMTr-47

Device> enable
Device# show license reservation
Overall status:
  Active: PID:C9300-24U,SN:FCW2125L046
    License reservation: ENABLED
      Reservation status: RESERVATION IN PROGRESS on Jun 12 15:36:04 2018 UTC
      Export-Controlled Functionality: Not Allowed
      Request code: CP-ZC9300-24U:FCW2125L046-AK9A6sMTr-47

위에처럼 Download as File버튼을 클릭 합니다.

USB에 파일을 저장하고 9200CX 스위치에 연결 합니다.

라이센스 파일을 flash에 저장 합니다

라이센스 설치

아래처럼 라이센스가 정상적으로 설치 되었습니다. 

라이센스가 정상적으로 설치 되었는지 다시 한번 확인 합니다.

지금까지 [9200CX]-offline smart license install 글을 읽어주셔서 감사합니다. 

안녕하세요. 

오늘은 C9200CX 패스워드 리커버리에 대해서 알아보겠습니다. 

콘솔케이블을 연결하고 아래처럼 버튼을 누르고 있습니다. 그리고 재부팅 합니다. 

SWITCH_IGNORE_STARTUP_CFG=1
boot flash:packages.conf

그리고 다시 아래 버튼을 클릭 한다음에, 스위치를 재부팅 합니다.

SWITCH_IGNORE_STARTUP_CFG=0
boot flash:packages.conf

ㄴ

지금까지 [C9200CX]-Password Recovery - 패스워드 리커버리 글을 읽어주셔서 감사합니다.

안녕하세요.

오늘은 무선 일반 인증 방식 종류에 대해서 알아보겠습니다.

분류 기준 예시 방식 보안 수준 사용 환경

주요 무선 인증 방식 설명

1. Open (개방형) 인증

• ✅ SSID 연결 시 암호 없이 접속
• ❌ 데이터 전송 암호화 없음 (보안 취약)
• 💡 공공 장소에서 흔히 사용됨 (카페, 공항 등)
• ✳️ 종종 캡티브 포털과 함께 사용됨

2. WPA2-PSK (Pre-Shared Key)

• ✅ 접속 시 공통 암호 입력
• 🔐 AES 기반 암호화 (보안 양호)
• 🙋‍♂️ 모든 사용자가 같은 암호를 사용
• ⚠️ 암호 유출 시 전체 보안 무력화
• 사용 예: 가정용 공유기, 소규모 사무실

3. WPA3-SAE (Simultaneous Authentication of Equals)

• ✅ WPA2-PSK보다 향상된 보안
• ❌ 구형 기기 호환 어려움 (WPA3 지원 필요)
• 🔐 개별 연결마다 고유 암호키 생성 → 오프라인 브루트포스 공격 방지
• 사용 예: 최신 공유기, 보안 우선 환경

4. MAC 인증 (MAC Authentication Bypass, MAB)

• ✅ RADIUS 서버 또는 WLC에서 기기 MAC 주소로 인증
• ❌ 보안성 낮음 (MAC 주소 위조 가능)
• 💡 무선 프린터, IoT, 등록된 장치 등에 사용

5. 캡티브 포털 인증 (Web Portal Auth)

• ✅ 접속 시 웹페이지 리디렉션 후 로그인 (ID/PW 입력)
• ❌ 무선 자체는 암호화되지 않음 (Open + 웹 인증)
• 💡 호텔, 공공 와이파이, 카페 등에서 흔히 사용
• ✳️ 종종 광고 페이지 또는 일회성 비밀번호 제공

** 보안 수준 비교 **

인증 방식 암호화 인증 주체 보안성 비고

환경 추천 인증 방식

안녕하세요.

오늘은  무선 802,1x 종류에 대해서 알아보겠습니다. 

1. EAP-TLS (Transport Layer Security)

• 인증 방식: 클라이언트와 서버 모두 디지털 인증서 사용
• 보안성: ★★★★★ (가장 강력)
• 사용 예: 보안이 중요한 기업, 정부, 금융기관
• 장점:
  • 상호 인증 (서버 + 클라이언트)
  • 패스워드 노출 위험 없음
• 단점:
  • 인증서 기반이므로 CA 서버, 인증서 배포 관리 필요
• 요구 사항:
  • 클라이언트 인증서, 서버 인증서, RADIUS

2. PEAP (Protected EAP) + MSCHAPv2

• 인증 방식: 서버는 인증서 사용, 클라이언트는 ID/PW 입력
• 보안성: ★★★★☆
• 사용 예: 사무실 환경, 인증서 관리가 어려운 기업
• 장점:
  • 클라이언트 인증서 필요 없음
  • 윈도우 내장 지원
• 단점:
  • 비밀번호 기반 (패스워드 추측 공격 가능)
• 요구 사항:
  • 서버 인증서, 사용자 계정 (AD 또는 RADIUS DB)

3. EAP-TTLS (Tunneled TLS)

• 인증 방식: 서버 인증서 + 클라이언트는 다양한 방식 (PAP, CHAP, MSCHAPv2 등)
• 보안성: ★★★★☆
• 사용 예: 인증 유연성이 필요한 환경
• 장점:
  • 다양한 내부 인증 방식 지원
  • 클라이언트 인증서 불필요
• 단점:
  • 일부 OS에서 기본 미지원 (추가 클라이언트 필요)

4. EAP-FAST (Flexible Authentication via Secure Tunneling) – Cisco 전용

• 인증 방식: PAC (Protected Access Credential) 기반 터널링
• 보안성: ★★★★☆
• 사용 예: Cisco 기반 대규모 환경
• 장점:
  • 인증서 없이도 빠르고 안전한 인증 가능
  • 빠른 재인증
• 단점:
  • Cisco 환경에 최적화, 비표준 시스템 호환성 

5. LEAP (Lightweight EAP) – 구버전, 사용 비권장

• Cisco가 만든 초기 방식
• 보안상 취약점 존재 → 현재는 사용 권장 안 함

방식                     클라이언트 인증서        서버 인증서          사용자 정보 기반       보안 수준                   비고

Cisco 9800 WLC에서 무선 802.1X 설정 시 고려사항

• WLAN Policy Profile에서 WPA2/WPA3 Enterprise 활성화
• AAA 서버 설정(RADIUS) 연동 필요 (예: Cisco ISE, Windows NPS)
• RADIUS 서버에서는 사용자 계정 or 인증서 기반 인증 방식 설정
• 클라이언트에서 EAP 설정도 일치해야 연결 가능

안녕하세요.

오늘은 5G 채널간섭에 대해서 알아보겠습니다.

1. Wi-Fi에서의 5GHz (5G Wi-Fi)

무선 LAN의 주파수 대역 중 하나로, 2.4GHz보다 빠르고 간섭이 적은 주파수 대역입니다.

비교 

--------

항목                                                            2.4GHz                                                                    5GHz

Wi-Fi의 5GHz 대역에서 사용 가능한 채널 중, 서로 간섭이 없는 채널을 의미합니다. 이 개념은 2.4GHz에서의 1, 6, 11 비중첩 채널과 유사하지만, 5GHz 대역은 더 많은 비중첩 채널을 제공하여 훨씬 유리합니다.

5G WIFI 

• 대역폭 범위: 5.150 GHz ~ 5.825 GHz
• 일반적으로 사용되는 채널 번호: 36 ~ 165
• 채널 간격: 20MHz, 그러나 40MHz, 80MHz, 160MHz 대역폭 확장도 가능
• 많은 국가에서 DFS (Dynamic Frequency Selection) 채널을 사용할 경우, 레이더 감지 시 채널 변경 필요

5GHz의 비중첩(Non-overlapping) 채널

20MHz 대역폭 기준 (가장 일반적)

채널 번호 DFS 여부 설명

총 24개 이상의 비중첩 20MHz 채널이 존재 가능 (DFS 포함 시)

DFS를 제외하면 총 9개가 비중첩 입니다. 

채널 대역폭 비중첩 채널 수 예시 (DFS 제외)

4. DFS (Dynamic Frequency Selection)란?

• 레이더와 주파수 중첩이 발생할 수 있는 채널을 사용할 경우, AP가 레이더 신호 감지 시 해당 채널을 자동으로 비활성화하고 다른 채널로 이동
• 채널 스캔 및 대기 시간이 발생하므로 실시간 서비스(VoIP, 스트리밍 등)에 잠깐 영향 가능
• 대부분의 고성능 AP에서 DFS 채널도 사용 가능하지만, 안정성을 위해 일부 환경에서는 DFS 채널 비활성화 권장

5. 실제 사용 시 권장 비중첩 채널 구성 (20MHz 기준)

• 채널 36, 40, 44, 48
• 채널 149, 153, 157, 161

이들 채널은 DFS 영향이 없고 간섭도 적어서, 일반적인 기업 및 가정 환경에서 비DFS 비중첩 채널로 안정적 사용 가능

항목 요약 설명

실전에서 항복 사항들

항목 권장값 또는 설명

비중첩 채널 조합

대역폭 조합 예시

안녕하세요.

오늘은 cisco WLC wifi 2.4G 채널 간섭에 대해서 알아보겠습니다.

2.4GHz 채널 간섭은 Wi-Fi 성능 저하의 주요 원인 중 하나입니다. 이 주파수 대역은 공유되는 대역폭이 적고, 많은 장비들이 사용하는 특성 때문에 **채널 간섭(Interference)**이 자주 발생합니다.

• 2.4GHz 대역은 2400MHz ~ 2483.5MHz 사이를 사용
• Wi-Fi에서는 총 14개 채널이 정의되어 있지만, 한국을 포함한 대부분의 국가에서는 1~13번 채널만 사용
• 채널 간격은 5MHz, 하지만 하나의 채널 폭은 20~22MHz

따라서 채널들이 서로 겹칩니다 (overlap)

2. 채널 간섭(Overlapping Channel Interference)

예제)

• 채널 1을 사용하는 AP와 채널 2를 사용하는 AP는 물리적으로 주파수가 겹침
• 서로의 신호가 간섭하여 속도 저하, 패킷 손실, 연결 끊김 등이 발생 가능

비중첩 채널 (Non-overlapping channels)

2.4GHz에서 간섭을 줄이기 위해 다음 3개 채널만 사용하는 것이 일반적입니다:

• 채널 1
• 채널 6
• 채널 11

이 3개 채널은 서로 간섭이 거의 없으며, Enterprise 환경에서는 반드시 이 3채널만 사용하는 것이 권장됩니다.

3. 간섭의 주요 원인

원인 설명

해결 방법

1) 채널 수동 설정

• 자동 채널 지정(Auto Channel)을 끄고, 1, 6, 11 중 수동 지정 권장

2) 2.4GHz 비활성화 (필요 시)

• 가능하면 5GHz 위주로 사용
• 일부 AP에서 2.4GHz는 비활성화하고, 고밀도 환경에서는 5GHz만 사용

3) 채널 간격(Channel Width) 조절

• 2.4GHz에서는 반드시 20MHz 고정 사용 (40MHz는 간섭 심화)

4) RF 환경 분석

• Ekahau, NetSpot, Acrylic Wi-Fi 등 RF 분석 도구를 사용하여 간섭 분석 및 최적화 가능

결론

• 2.4GHz 대역은 혼잡하고 채널 겹침이 많아 기본적으로 간섭에 취약
• 가능한 경우 **5GHz 또는 6GHz(Wi-Fi 6E)**를 사용하는 것이 최선
• 2.4GHz를 꼭 사용해야 한다면 채널 1, 6, 11만 선택하고, 수동 관리가 매우 중요

안녕하세요.

Cisco AP별 권장 Client수는 아래와 같습니다.

AP 모델 최대 클라이언트 수 (전체 AP) 권장 최대 클라이언트 수 (전체 AP)

하지만

 일반적인 권장 사항

• 일반 사무실 환경: 1 AP당 15~25명의 클라이언트 연결을 권장합니다.
• 고밀도 환경 (예: 대형 회의실, 강의실): 1 AP당 최대 50명까지 연결할 수 있으나, 성능 저하를 방지하기 위해 30명 이하로 유지하는 것이 좋습니다. 
• 음성 통화 중심 환경 (VoIP): 1 AP당 7~8명의 동시 음성 통화를 권장합니다.

무선 같은 경우 Client가 얼마나 많은 Traffic를 발생하고 어떤 트래픽을 발생 할지 알수 없기때문에, 일반적으로 중요한 트래픽 같은경우는 QoS를 설정하시길 바랍니다.

안녕하세요.

오늘은 Firmware Software Policy에 대해서 알아보겠습니다. 

예를 들어서 현재 기준으로 Catalyst 9300-24P-A Switch가 있고 6월 13일 2025년으로 시스코에서 권장하는 Firmware는 아래와 같습니다.

아래처럼 2가지 버전을 권장하고 있습니다.

17.12.5
17.9.6a

Cisco Firmware는 크게 2가지로 나뉘어집니다.

Standard-Support Release - 12개월 지원

Extended-Support Release - 48개월 지원 

하지만 Firmware 파일 이름만 보고 Extended Support Release인지 정확히 확인 할 수 있는 방법은 없습니다.

확인 방법

1. Cisco 공식 Recommended Release 문서 확인 

2. Relase Noted 확인

3. Cisco EoL & Support Matrix 검색

펌웨어 파일 이름만 보고 ESR여부 판단 할 수 없는 이유는 아래와 같습니다. 

cat9k_iosxe.17.12.05.SPA.bin

이 파일명은 다음 정보만 담고 있습니다:

• cat9k: 플랫폼 (Catalyst 9000)
• iosxe: 운영체제
• 17.12.05: 버전
• SPA: 일반 릴리스 (Special Production Assembly)

SPA가 ESR를 의미하지 않습니다.

ESR 여부는 파일명과 무관하고, Cisco의 정책에 따라 지정됩니다.

가장 좋은 방법은 smartnet이 있는 공유 Tac Case를 열어서 물어보는게 가장 좋습니다. 

방법 ESR 여부 확인 가능 여부

Release Noted에 아래처럼 

"Cisco IOS XE Amsterdam 17.12.1 is an Extended Maintenance release."

또는

"This release is an Extended Support Release (ESR) that will be supported for 48 months."

이 문구가 있으면 해당 버전은 ESR 또는 EMR임을 공식적으로 명시한 것입니다.

또는 Cisco Softare Lifecycle Policy 

아래처럼 48 months이면 Extended Support

아래처럼 12 months이면 Standard Support

Release Type Maintenance Duration

단계 설명 지원 범위

48개월 이후에는

• ESR 버전의 48개월 지원 기간이 종료되면, 해당 소프트웨어 버전에 대해 **TAC(기술 지원)**는 제공되지 않습니다.
• 이 시점부터는 Cisco도 해당 소프트웨어에 대해 보안 패치나 버그 수정도 제공하지 않습니다.

즉:

• 기술적 문의 (TAC 케이스 오픈) 불가
• 보안 취약점 대응 불가
• 다운그레이드/업그레이드 가이드 등도 제한적 제공

정리

항목 내용

안녕하세요.

오늘은 고객사가 ASA-5545-X를 ASA 기능으로만 사용중이고 EOL 떄문에 방화벽 Tech Refresh를 진행중입니다.

하지만 고객사 요구사항은 아래와 같습니다. 

1. 이 방화벽은 Remote Acess VPN용으로만 사용중입니다. 약 350명 정도

2. 현재 고객사 비지니스가 너무 중요하기 때문에, Risk를 가지고 것을 원하지 않습니다.

3. 더 좋은 방화벽이 벤더가 있더라고 다른 벤더 방화벽 교체를 원하지 않습니다.

4. FPR은 FTD 차세대 방화벽인데, 차세대 방화벽 기능 사용 하고 싶지 않습니다. 이유는 이미 인터넷 방화벽이 팔로알토이기 때문에, 단순히 Remote Access VPN용으로만 사용하고 유저를 인증하고 싶습니다. 

   Certificate는 Godaddy에서 인증받고 보안강화를 위해서 2FA Okta SSO를 사용 합니다.

5. 똑같은 ASA 버전을 사용 하고 싶습니다. 

6. 똑같은 설정값을 복사 붙여넣기 해서 위험을 최대한 줄이길 원합니다. 

ASA vs FTD 차이

Cisco Secure Firewall 3100 시리즈는 **ASA(Adaptive Security Appliance)**와 FTD(Firepower Threat Defense) 소프트웨어를 모두 지원합니다. FPR3105-ASA-K9는 ASA 소프트웨어를 실행하는 모델로, 전통적인 방화벽 기능에 중점을 둡니다. 반면, FTD 소프트웨어를 실행하는 모델은 고급 위협 방어 기능과 통합된 보안 관리를 제공합니다. 따라서, FPR3105-ASA-K9는 ASA 소프트웨어 기반의 보안 솔루션을 제공합니다.cisco.com+6sec.cloudapps.cisco.com+6compsource.com+6

요약하면, FPR3105-ASA-K9는 Cisco ASA 소프트웨어를 실행하는 장비로, 고성능 방화벽 기능을 제공하며, Cisco Secure Firewall 3100 시리즈의 일부입니다.

장비를 구매 할때 아래처럼 FPR3105-ASA-K9으로 구매를 하면 별도로 FTD를 ASA로 변환하지 않아도 됩니다. 이미 ASA버전으로 이미지가 설치 되어서 배달됩니다.

예, FPR3105-ASA-K9는 Cisco의 ASA(Adaptive Security Appliance) 소프트웨어를 실행하는 장비입니다.

FPR3105-ASA-K9 개요

• 모델명: FPR3105-ASA-K9
• 제품군: Cisco Secure Firewall 3100 시리즈
• 운영 체제: Cisco ASA 소프트웨어
• 형태: 1U 랙 장착형 보안 어플라이언스
• 주요 사양:
  • 방화벽 처리량: 최대 10 Gbps
  • 동시 연결 수: 최대 150만
  • VPN 처리량: 최대 5.5 Gbps
  • 포트 구성: 8x1G RJ45, 8x1/10G SFP+
  • 스토리지: 900GB SSD
  • 운영 온도: 0~40°C
  • 소프트웨어: Cisco ASA 소프트웨어 

이 모델은 Cisco ASA 소프트웨어를 실행하며, Cisco Secure Firewall 3100 시리즈의 일부로서 고성능 방화벽 기능을 제공합니다.

만약에 FTD버전에 방화벽을 원하시면 아래처럼 구매 합니다.

FPR3105-NGFW-K9는 Cisco Firepower Threat Defense (FTD) 소프트웨어를 실행하는 차세대 방화벽(NGFW) 장비입니다.

회사에서 FPR3105-ASA-K9 개봉해서 콘솔포트에 연결한 사진 입니다.

자세한 부팅 과정은 생략.

아래처럼 자동으로 firepower로그인 되면서 아래처럼 Cisco ASA로 부팅을 시도 합니다. 

그리고 아래처럼 cisco asa로 부팅된것을 확인 가능 합니다. 

ciscoasa> 

지금까지 [FTD#6]-FPR FTD ASA Version Order - FPR3105-ASA-K9 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 윈도우서버에서 로그인시 cisco DUO랑 2FA 연동하고 추후에 다시 로그인 시도시 아래처럼 에러 메시지가 발생하였습니다.

VMware ESXi에서 NTP를 설정 합니다.

CLI모드에서 수동으로 설정 하는 방법

# NTP 클라이언트 활성화
esxcli network firewall ruleset set -e true -r ntpClient

# NTP 서버 추가 (예: 0.sg.pool.ntp.org)
esxcli system ntp set -s 203.123.48.1

# NTP 서비스 시작
esxcli system ntp set -e true
esxcli system ntp start

# 시작 시 자동 실행 설정
chkconfig ntpd on

그리고 다시 로그인을 시도 합니다.

그래도 로그인이 않되면 그냥 LAN를 Disable합니다. 

그러면 Cisco DUO 2FA없이 로그인을 시도 합니다.

아래처럼 로그인 되었습니다.

cisco duo error message 관련 공식 문서

https://help.duo.com/s/article/3600?language=en_US

나의 말:

ChatGPT의 말:

Cisco Firepower 3100 시리즈(FPR3105)는 **FTD(Firepower Threat Defense)**와 ASA(Adaptive Security Appliance) 소프트웨어를 모두 지원하는 멀티모드 플랫폼입니다. 따라서 FTD에서 ASA로의 전환은 비교적 간단하며, 다음 절차를 따르면 됩니다.Cisco

---

🔄 FPR3105에서 FTD → ASA로 전환하는 방법

1. ASA 이미지 다운로드

• Cisco 계정에 로그인 후, Cisco 소프트웨어 다운로드 페이지로 이동합니다.
• FPR3105 모델에 해당하는 ASA 소프트웨어 이미지를 다운로드합니다.
  • 예: asa9-18-4-15-smp-k8.bin
• 다운로드하려면 Cisco 계정에 대한 적절한 권한이 필요합니다.

2. 장비의 FTD 모드 확인

• 장비가 FTD 모드에서 실행 중인지 확인합니다.
• FTD 모드에서는 FXOS(Firepower eXtensible Operating System)와 ASA 소프트웨어가 분리되어 관리됩니다.PeteNetLive

3. FXOS 모드로 전환

• 장비를 재부팅한 후, 부팅 중에 BREAK 키를 눌러 FXOS 모드로 진입합니다.
• FXOS 모드에서 system 명령어를 사용하여 시스템 상태를 확인합니다.PeteNetLive

4. ASA 이미지 업로드

• USB 드라이브 또는 TFTP 서버를 사용하여 ASA 이미지를 장비에 업로드합니다.
• USB를 사용하는 경우, USB 드라이브에 ASA 이미지 파일을 복사한 후 장비에 연결합니다.

5. ASA 이미지로 부팅 설정

• FXOS 모드에서 다음 명령어를 사용하여 ASA 이미지를 부팅하도록 설정합니다:
• bash
  복사편집
  boot system usb0:/asa9-18-4-15-smp-k8.bin

위 명령어에서 usb0:/asa9-18-4-15-smp-k8.bin은 실제 파일 경로로 변경해야 합니다.

6. ASA로 부팅 및 초기 설정

• 설정이 완료되면 장비를 재부팅하여 ASA 모드로 부팅합니다.
• 부팅이 완료되면 ASA CLI에 접근할 수 있습니다.
• 초기 설정을 진행합니다.

---

⚠️ 주의사항

• 라이선스 확인: FTD에서 ASA로 전환하면 기존 FTD 라이선스는 적용되지 않습니다. ASA 전용 라이선스가 필요합니다.
• 구성 데이터: FTD에서 ASA로 전환하면 기존 FTD 구성은 유지되지 않습니다. ASA에서 새롭게 구성을 진행해야 합니다.
• 모델 지원 여부: 일부 모델은 ASA 모드에서만 동작하며, FTD 모드로의 전환이 불가능할 수 있습니다.

---

FPR3105 모델은 FPR3105-ASA-K9와 같은 ASA 전용 모델이 있으며, 이러한 모델은 초기부터 ASA 모드로 제공됩니다. 그러나 FPR3105-NGFW-K9와 같은 모델은 FTD 모드로 제공되며, 위 절차를 통해 ASA 모드로 전환할 수 있습니다.xsnet.com.au+2Equtechnology.com+2xsnet.com.au+2xsnet.com.au+4signalgroup.com.au+4xsnet.com.au+4

추가적인 도움이 필요하시거나 구체적인 설정에 대한 문의가 있으시면 언제든지 말씀해 주세요.

출처

나의 말:

ChatGPT의 말:

안녕하세요.

Cisco ASA Remote Access VPN를 이용시 https를 이용하기 때문에 Certificate를 사용합니다. 

공인 기관에 인증되지 않은 인증서는 경고 메시지가 발생합니다.

이 문제를 해결 하기 위해서는 아래처럼 2가지 방법이 있습니다.

1. self-signed certificate를 접속하고자 하는 PC에 설치 합니다.

2. 인증 가능한 공인 기관에  SSL Certificate를 구매하고 도메인에 연결 합니다. 

    이미 인증된 기간에서 SSL Certificate를 구매했기 때문에 더 이상 경고 메시지가 발생 하지 않습니다.

이번에는 2번째 방법에 대해서 알아보겠습니다.

1. cisco ASA에서 key를 생성 합니다.

2. Key를 확인 하는 방법

3. CSR를 생성 합니다.

위에 CSR값을 복사 합니다. 

4. My Products 클릭 합니다. 

6.아래처럼 standard SSL 옆에 set up를 클릭 합니다. 

7. 아래 you can enter CSR코드 버튼을 클릭 합니다. 

8. cisco ASA에서 생성한 CSR를 생성 합니다.

아래처럼 CSR 코드를 붙여 넣으면 자동으로 코드안에 도메인이 아래처럼

ASA.XXX.today 보입니다. 

저희는 ASA.XXX.today 도메인에 SSL Certificate를 생성하는 작합니다. 

10. 작업이 완료 될때까지 기다립니다.

11. cPanel 선택하고 다운로드 버튼을 클릭 합니다. 

12. 압축 파일을 풀고 보면 아래처럼 4개 파일이 있습니다. 

13. install 버튼을 클릭합니다

아래사진은 깜빡하고 사진 캡처 없이 install했습니다.

14. 그리고 인증서 업로드 버튼을 클릭하고 아래 파일을 선택하고 okay버튼을 누르면 인증서가 설치 완료 됩니다. 

15. 인증서를 Remote Access VPN에 선택합니다.

16. Remote Access VPN를 테스트 합니다. 

위에처럼 Remote Access VPN를 접속 할때 certificate warming message가 사라졌습니다. 

Remote Access VPN 공인 IP주소를 브라우저에 입력합니다.

아래처럼 GUI로 접속해서 인증서 경고 메시지가 발생하지 않습니다. 

인증서를 상세하게 보면 아래와 같습니다.

asa.XXX.today는 Godaddy에 verified 되었습니다. 

안녕하세요.

cisoc ASA remote access VPN를 사용시 공인 IP주소를 외우는것은 쉽지 않습니다. 

그래서 이번에는 Godaddy를 통해서 도메인을 구매하고 도메인에 cisco ASA outside interface 공인 IP주소를 연결해보겠습니다.

Godaddy에서 아래 도메인을 구매하였습니다.

xxx.today

테스트용이기때문에 가장 저렴한 도메인을 구매 하였습니다. 

아래처럼 A레코드에 ASA를 추가하고 아래처럼 공인 IP주소를 맵핑해 보겠습니다. 

1. Godaddy에 로그인 한후에 My product를 클릭 합니다. 

그리고 아래처럼 도메인에 Manage를 클릭 합니다. 

2. Add New Record를 클릭 합니다. 

3. 아래처럼 입력하고 Save 버튼을 클릭 합니다. 

4. 아래처럼 nslookup에서 도메인이 IP주소에 연결 되었는지 확인 되었고, 아래처럼 PING를 하면 동작 합니다. 

지금까지 [ASA #10] - Godaddy Domain for remote access VPN 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 2.4GHz 채널에 대해서 알아보겠습니다.

2.4GHZ는 20MHz Wide로 14채널을 가지고 있습니다. 여기에서 채널 간섭이 없는 채널은 1.6.11 입니다.

AP 12설치하고 2.4GHz 사용한다고 가정하면 아래처럼 시그럴 파워랑 위치를 잘 선정해야 합니다.

아니면 채널 간섭때문에 속도가 제대로 나오지 않습니다. 

WIFI버전별 속도

PC나 단말기 Wireless 단말기는 2T2R이다. T -> 전송 R -> 받음. 
노트북 무선랜이 최고 속도를 내기위해서는  8x8를 지원해야한다. 아래 그림을 참조 부탁드립니다. 

안녕하세요.

오늘은 Cisco ASA Remote Access VPN에서 사용할 인증서 Self Signed Certificate를 생성하고 이 인증서는 Remote Access VPN용으로 사용해 보겠습니다.

1. 시간을 설정합니다.

2. Hostname이랑 Domain-name를 설정합니다. 

3. key 생성 - 
key name: VPN-RSA-KEY

trustpoint 설정

name: SELF_RA_VPN

RA VPN 인증서 outside 설정

테스트를 합니다. 

CA인증기관으로 부터 인증 받은 인증서가 아니기때문에, 아래처럼 Certificate Warning Message가 발생합니다. 

인증서를 PC에 설치 합니다.

인증서를 외부로 저장 합니다. 

인증서를 클릭해서 설치 합니다.

Install Certificate버튼을 클릭 합니다. 

Local Machine - Next버튼을 클릭 합니다. 

아래처럼 설정합니다.

인증서는 Trusted Root Certification Authorities 폴더에 저장 해야 합니다. 

아래처럼 인증서 에러없이 RA VPN 접속 가능 합니다. 

안녕하세요.

오늘은 ASA Certificate를 공부 하기 전에 SSL에 대해서 알아보겠습니다.

ASA Remote Access VPN를 사용 할때 Certificate이 필요합니다. 

CA를 통해서 인증되지 않는  인증서는 아래와 같이 Warning Message가 발생합니다.

CA인증기관으로부터 인증서를 인증 받으서 CISCO ASA에 등록 하면, 유저가 VPN에 접속 할때 인증서 경고 메시지가 발생지 않습니다.

CA인증기관은 여러기관이 있지만, 대표적으로 아래와 같습니다. 

[각 브랜드 별 웹사이트]

Comodo(Sectigo) - https://www.comodo.com/ (+ PositiveSSL, EssentialSSL, InstantSSL ...)
Thawte by DigiCert - https://www.thawte.com/
GeoTrust by DigiCert - https://www.geotrust.com/ (+ RapidSSL)
Verisign - https://www.verisign.com/ 
GoDaddy - https://godaddy.com/
GlobalSign - https://www.globalsign.com/ (+ AlphaSSL)
DigiCert - https://www.digicert.com/

용도 

CA(Certificate Authority) 

CA인증기관은 서버 또는 네트워크 장비등으로 부터 CSR를 받으면 CA인증기관이 CSR를 승인하여 신뢰할 수 있는 사이트인지 아닌지 구분해주는 인증서 발급해주는 기관입니다.

 ROOT CA 

- 무조건 신뢰할 수 있는 기관이 몇군데 존재하는데 그 CA 기관들을 최상위 인증 기관이라고 합니다. Root CA는 본인들만의 

고유한 비밀 키를 가지고 있습니다. 그리고 관련해서 동개키를 전세계에 배도합니다.

그리고 이 ROOT CA 인증서는 암묵적으로 신뢰 할수 있는 기관으로 간주 합니다.

키 종류

공개키 PUBLIC KEY - 공개키는 공개해도 되는 키 입니다. 이 공개키로 암호화를 수행 할 수 있습니다. (개인키 Private Key 함깨 사용)

개인키 PRIVATE KEY - 공개키로 암호화된 파일을 복호화 할때 사용하는 키가 바로 개인키 Private Key입니다. 

이 개인키 Private Key는 외부로 노출 되면 안됩니다. (공개키 PUBLIC KEY랑 함깨 사용)

대칭키 : 암호화와 복호화에 같은 키를 사용하는 방식을 대칭키 입니다

비대칭키: 암호화할 때와 복호화 할때 사용하는 키가 서로 다른갓을 비댕칭키라고 합니다.

Kevin의 공개키로 암호화된 데이터는 Kevin의 개인키로만 복호화 가능 합니다.

Kevin의 개인키로 암호화된 데이터는 Kevin의 공개키로만 복호화 가능 합니다. 

SSL 인증은 도메인 기반으로 인증 됩니다. 

kevin.rest라는 도메인이 있다고 가정합니다. SSL 인증은 이 kevin.rest라는 도메인으로 인증이 됩니다. 

IP주소가 변경 되어도 도메인주소가 같으면 상관 없습니다.

이번에는 도메인에 대해서 알아보겠습니다.

https://www.kevin.rest

https - Protocol

www - host

kevin - name

rest - TLD (Top-level Domain)

Root Domain - kevin.rest  의미 합니다.

Sub Domain - A레코드를 추가한 상태를 의미 합니다.

www.kevin.rest 

ftp.kevin.rest
mail.kevin.rest

위와 같이 A레코드를 추가한 도메인을 서브 도메인이라고 합니다.

SSL 도메인 기반으로 동작하기 떄문에 만약에 아래처럼 도메인이 있다고 가정합니다.

kevin.rest

kevin.com

2개에 SSL 인증서가 필요합니다. 

아래처럼 2개에 서브 도메인이 있다고 가정합니다.

asa.kevin.rest

pa.kevin.rest

2개에 SSL인증서가 필요합니다. 

CSR - Certificate Signing Request

SSL인증서를 신청자의 신원의 정보가 담겨져 있습니다. 아래와 정보를 이용해서 CA인증기관에 승인을 받아 인증서를 발급 받습니다. 

1. 신청자의 국가

2. 지역

3. 회사명

4. 도메인 정보

5. 공개키

SSL 인코딩 인증서 확장자 종류

1. DER (Distinguished Encoding Representation) 바이너리 포맷입니다.

2. PEM (Privacy Enhanced Mail) - Base 64 인코딩된 ASCII Test File입니다. 

    메모장으로 열고 수정이 가능 합니다. 

    개인키, 서버인증서, 루드 인증서, 체인 인증서 및 SSL 발급 요청시 생성하는 CSR 등등에 정보들이 포함 되어져 있습니다. 

   ----- BEGIN CERTIFICATE --------

   xxx

   ----- END CERTIFICATE -------- 

표시 됩니다.

SSL 인증서 확장자

1. csr - Certificate Signing Request의 약자이며 대부분 PEM포맷입니다.  SSL발급 신청을 위해서 본 파일 내용을 인증기관인 CA에 제풀할때 사용하는 파일 입니다. 

2. crt - 대부분 PEM포맷이며, 주로 유닉스, 리눅스 기반에 사용되는 인증서 파일 입니다. 

3. cer - 대부분 PEM포맷이며, 주로 windows 기반에서 사용되는 인증서 파일 입니다. 

SSL 인증서 등급 DV, OV, EV나뒵니다.

등급에 따라 암호화 기술에 차이가 있다고 생각 할 수 있지만 보안 기술은 모두 동일합니다. 

DV 인증서 - 도메인 소유/관리 정보를 검증하기 위한 DCV domain control Validated 인증만 진행 합니다

OV 인증서 - DCV인증뿐 아니라, 기업이 실제로 존재하는지 확인하기 위해 회사 정보가 기재되어 있는 서류와 발급 신청자의 전화 인증 절차를 거칩니다. 

EV 인증서 - 기존 OV인증서에 더해, 기업 인사 당담자와의 유선 연락을 통해 신청자의 재직 여뷰를 확인하는 인증서입니다. 

가격

DV -> OV -> EV

안녕하세요.

오늘은 Cisco ASA에서 NTP Server 설정과 NTP Zone를 설정해 보겠습니다.

1. 싱가폴 NTP Server List 확인 

google 에서 Singapore NTP server 검색

IP주소 확인

2. ASA에서 NTP Server 설정

3. NTP Syn 되었는지 확인

곧바로 동기화가 안되고 약 10분 기다립니다.

4. 시간 확인

5. Zone를 설정합니다.

6. 시간 확인

정상적으로 싱가폴 시간이랑 동기화 되었습니다.

지금까지 [ASA #07] - NTP and NTP zone configuration 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 [2025][C8200][#3] Reset Smart license 대해서 알아보겠습니다. 

17.3.2  이상부터는 smart licensing using policy 사용합니다. 장비가 발주가 될때 이미 SV/VA가 등록이 되어서 장비가 전달 됩니다. 

SV =  KOREA
VA = JAPAN

근데 만약에 고객사에 요청으로 인하여 VA를 USA로 변경해야 한다면, cisco license team에 요청해서 라이센스를 VA =USA 변경 가능 합니다.

하지만 장비를 부팅하고 show license status 하면 아래처럼 표시 됩니다.

이 상태에서 CSSM에서 아래 환경에서 TOKEN를 발급해서 장비에 등록을 해도 정상적으로 동작하지 않습니다. 

SA: KOREA

VA: USA

이상태에서 장비에 기존에 있는 SA/VA정보를 초기화 해야 합니다.

장비가 부팅이 완료 되면 아래처럼 show license status 확인합니다

초기화 되었습니다. 

이상태에서 장비를 CSSM에 등록 하면 정상적으로 동작 합니다.

아래처럼 정상적으로 CSSM에 등록 되었습니다. 

CSSM에서 Event Log를 보면 정상적으로 등록 되었습니다. 

안녕하세요.

오늘은 C9800 WLC DHCP에 대해서 알아보겠습니다.

토폴로지 

DC에 9800WLC가 있습니다.

1. SSID: TEST01

2. TEST01 VLAN110

3. WLC안에서 DHCP기능을 실행 합니다. 

Office에서 유저가 TEST01 - AP에 접속 합니다. 

유저 노트북에서 DC에 있는 백본 스위치에서 IP주소를 받습니다. 

1. WLC VLAN110 설정

Configuration ->Tags & Profiles -> WLANs

2. Click Add버튼

3. 아래처럼 설정 합니다. 

Profile Name: TEST01

Status: Enable 

Broadcase SSID: Enable

6GHz: Disabled

Security -> Layter2 -> None를 설정해서 SSID 패스워드 없이 접속 가능 하게 합니다.

테스트 용도이기 때문에 이렇게 설정합니다. 

그리고 Save버튼을 클릭 합니다. 

4. VLAN 설정

Configuration -> Layer2 -> VLAN

Add버튼을 클릭 합니다. 

4. Policy 설정

아래처럼 설정합니다. 

아래처럼 VLAN를 설정하고 나머지를 디폴트 값으로 두고 SAVE버튼을 클릭 합니다. 

5. TAG설정 - POLICY

Name: TEST01-POLICY-TAG

WLAN: TEST01

PLOICY: TEST01_POLICY

6. TAG 설정 - SITE

Name: TEST_SITE_TAG 

아래처럼 설정 합니다. 

6. AP에 TAG 설정

7. 설정값을 적용하면 AP가 재부팅이 됩니다. 

8. WLC에서 자체 DHCP기능 설정

10. Lookback interface 생성

11. WLAN에서 DHCP Relay Look IP로 설정

WLAN VLAN 110이 DHCP relay로 직접 WLC DHCP 기능으로 IP할당 가능.

10. WLC interface IP주소

10. Client 에서 TEST01를 접속하고 IP주소를 확 합니다. 

11. WLC에서 DHCP Binding 확인

지금까지 [C9800CL][#14]- DHCP - WLC Internal DHCP - option 5 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 C9800 WLC DHCP에 대해서 알아보겠습니다.

토폴로지 

DC에 9800WLC가 있습니다.

1. SSID: TEST01

2. TEST01 VLAN110

3. WLC WLAN에서 DHCP Reply를 설정 합니다. 

4. WINDOWS 서버 IP주소 192.168.10.224

Office에서 유저가 TEST01 - AP에 접속 합니다. 

유저 노트북에서 DC에 있는 백본 스위치에서 IP주소를 받습니다. 

1. WLC VLAN110 설정

Configuration ->Tags & Profiles -> WLANs

2. Click Add버튼

3. 아래처럼 설정 합니다. 

Profile Name: TEST01

Status: Enable 

Broadcase SSID: Enable

6GHz: Disabled

Security -> Layter2 -> None를 설정해서 SSID 패스워드 없이 접속 가능 하게 합니다.

테스트 용도이기 때문에 이렇게 설정합니다. 

그리고 Save버튼을 클릭 합니다. 

4. VLAN 설정

Configuration -> Layer2 -> VLAN

Add버튼을 클릭 합니다. 

4. Policy 설정

아래처럼 설정합니다. 

아래처럼 VLAN를 설정하고 나머지를 디폴트 값으로 두고 SAVE버튼을 클릭 합니다. 

5. TAG설정 - POLICY

Name: TEST01-POLICY-TAG

WLAN: TEST01

PLOICY: TEST01_POLICY

6. TAG 설정 - SITE

Name: TEST_SITE_TAG 

아래처럼 설정 합니다. 

6. AP에 TAG 설정

7. 설정값을 적용하면 AP가 재부팅이 됩니다. 

8. WLC WLAN에서 DHCP Rely설정

9. 서버 IP주소 확인

윈도우서버에서 DHCP 서버 설정

10. Client 에서 TEST01를 접속하고 IP주소를 확 합니다. 

11. 서에서 DHCP Binding 확인

지금까지 [C9800CL][#13]- DHCP - option4 - WLAN DHCP Relay  글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 C9800 WLC DHCP에 대해서 알아보겠습니다.

토폴로지 

DC에 9800WLC가 있습니다.

1. SSID: TEST01

2. TEST01 VLAN110

3. DC 백본 스위치에서 INT VLAN110 - DHCP Rely설정

4. WINDOWS 서버 IP주소 192.168.10.224

Office에서 유저가 TEST01 - AP에 접속 합니다. 

유저 노트북에서 DC에 있는 백본 스위치에서 IP주소를 받습니다. 

1. WLC VLAN110 설정

Configuration ->Tags & Profiles -> WLANs

2. Click Add버튼

3. 아래처럼 설정 합니다. 

Profile Name: TEST01

Status: Enable 

Broadcase SSID: Enable

6GHz: Disabled

Security -> Layter2 -> None를 설정해서 SSID 패스워드 없이 접속 가능 하게 합니다.

테스트 용도이기 때문에 이렇게 설정합니다. 

그리고 Save버튼을 클릭 합니다. 

4. VLAN 설정

Configuration -> Layer2 -> VLAN

Add버튼을 클릭 합니다. 

4. Policy 설정

아래처럼 설정합니다. 

아래처럼 VLAN를 설정하고 나머지를 디폴트 값으로 두고 SAVE버튼을 클릭 합니다. 

5. TAG설정 - POLICY

Name: TEST01-POLICY-TAG

WLAN: TEST01

PLOICY: TEST01_POLICY

6. TAG 설정 - SITE

Name: TEST_SITE_TAG 

아래처럼 설정 합니다. 

6. AP에 TAG 설정

7. 설정값을 적용하면 AP가 재부팅이 됩니다. 

8. WLC VLAN110에 대해서 DHCP Rely설정

9. 서버 IP주소 확인

윈도우서버에서 DHCP 서버 설정

10. 백본 스위치에서 DHCP Relay 설정

11. Client 에서 TEST01를 접속하고 IP주소를 확 합니다. 

11. 서에서 DHCP Binding 확인

지금까지 [C9800CL][#12]- DHCP - option3 - SW dhcp Relay 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 C9800 WLC DHCP에 대해서 알아보겠습니다.

토폴로지 

DC에 9800WLC가 있습니다.

1. SSID: TEST01

2. TEST01 VLAN110

3. WLC SVI에서 DHCP Relay를 설정 합니다. 

4. WINDOWS 서버 IP주소 192.168.10.224

Office에서 유저가 TEST01 - AP에 접속 합니다. 

유저 노트북에서 DC에 있는 백본 스위치에서 IP주소를 받습니다. 

1. WLC VLAN110 설정

Configuration ->Tags & Profiles -> WLANs

2. Click Add버튼

3. 아래처럼 설정 합니다. 

Profile Name: TEST01

Status: Enable 

Broadcase SSID: Enable

6GHz: Disabled

Security -> Layter2 -> None를 설정해서 SSID 패스워드 없이 접속 가능 하게 합니다.

테스트 용도이기 때문에 이렇게 설정합니다. 

그리고 Save버튼을 클릭 합니다. 

4. VLAN 설정

Configuration -> Layer2 -> VLAN

Add버튼을 클릭 합니다. 

4. Policy 설정

아래처럼 설정합니다. 

아래처럼 VLAN를 설정하고 나머지를 디폴트 값으로 두고 SAVE버튼을 클릭 합니다. 

5. TAG설정 - POLICY

Name: TEST01-POLICY-TAG

WLAN: TEST01

PLOICY: TEST01_POLICY

6. TAG 설정 - SITE

Name: TEST_SITE_TAG 

아래처럼 설정 합니다. 

6. AP에 TAG 설정

7. 설정값을 적용하면 AP가 재부팅이 됩니다. 

8. WLC VLAN110에 대해서 DHCP Rely설정

9. 서버 IP주소 확인

윈도우서버에서 DHCP 서버 설정

10. Client 에서 TEST01를 접속하고 IP주소를 확 합니다. 

11. 서에서 DHCP Binding 확인

지금까지 [C9800CL][#11]- DHCP Relay (SVI) -  Option2  글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 C9800 WLC DHCP에 대해서 알아보겠습니다.

토폴로지 

DC에 9800WLC가 있습니다.

1. SSID: TEST01

2. TEST01 VLAN110

3. DC 백본 스위치에서 DHCP 기능을 활성화 합니다. 

Office에서 유저가 TEST01 - AP에 접속 합니다. 

유저 노트북에서 DC에 있는 백본 스위치에서 IP주소를 받습니다. 

1. WLC VLAN110 설정

Configuration ->Tags & Profiles -> WLANs

2. Click Add버튼

3. 아래처럼 설정 합니다. 

Profile Name: TEST01

Status: Enable 

Broadcase SSID: Enable

6GHz: Disabled

Security -> Layter2 -> None를 설정해서 SSID 패스워드 없이 접속 가능 하게 합니다.

테스트 용도이기 때문에 이렇게 설정합니다. 

그리고 Save버튼을 클릭 합니다. 

4. VLAN 설정

Configuration -> Layer2 -> VLAN

Add버튼을 클릭 합니다. 

4. Policy 설정

아래처럼 설정합니다. 

아래처럼 VLAN를 설정하고 나머지를 디폴트 값으로 두고 SAVE버튼을 클릭 합니다. 

5. TAG설정 - POLICY

Name: TEST01-POLICY-TAG

WLAN: TEST01

PLOICY: TEST01_POLICY

6. TAG 설정 - SITE

Name: TEST_SITE_TAG 

아래처럼 설정 합니다. 

6. AP에 TAG 설정

7. 설정값을 적용하면 AP가 재부팅이 됩니다. 

8. DC SWITCH에서 DHCP 설정

9. DHCP Binding 확인

10. Client 에서 TEST01를 접속하고 IP주소를 확 합니다. 

11. DC BackBone Swtich에서 DHCP Binding 확인

지금까지 [C9800CL][#10]- DHCP Bridging - Option1 - BackBone SW DHCP  글을 읽어주셔서 감사합니다. 

안녕하세요. 

오늘은 C8200라우터는 smart licensing using policy 모드를 사용 합니다. 

IOS XE버전별로 License 동작하는 방식이 다릅니다.

Step Summary 

conf t

license boot level network-essentials

interface GigabitEthernet 0/0/0

ip add [IP address] [subnet] or ip add dhcp

no shutdown

exit

ip name-server 8.8.8.8

ip domain lookup source-interface GigabitEthernet 0/0/0

ip http client source-interface GigabitEthernet 0/0/0

license smart transport smart

license smart url default

ip route 0.0.0.0 0.0.0.0 [nexthop] if dhcp no need ip route command 

end

show run 

show ip int brie

show ip route 

확인 후 저장 그리고 재부팅

write memory

reload

1. show version를 통해서 IOS XE버전을 확인 합니다.

2. 기본 설정을 합니다. 

3. 인터페이스 상태 확인 라우팅 상태 확인

그리고 외부 통신 확인

4. 저장후 재부팅

5. Cisco CSSM에서 Idtoken를 생성 합니다. 

cisco CSSM에서 Idtoken를 복사합니다.

ODVkNDkyYmUtNzc4MS00OWZiLWEzMzMtZTY2YmZhYTQxNjA5LTE3NDEzMzc2%0AMDYzNzN8L0pjaVh0K09pT3J1XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

정상적으로 등록 되면 위에처럼 표시 됩니다. 

6. License를 확인 합니다. 

아래처럼 SA/VA에 고객사 정보가 확인 되면 정상적으로 등록 된것입니다. 

또는 아래 명령어도 주로 사용 됩니다.

지금까지 [2025][C8200][#2] Register License to CSSM - smart licensing using policy 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 C8200L Router IOS XE를 업그레이드를 해보겠습니다.

1. 현재 장비에서 show version를 통해서 version를 확인 합니다. 

2. cisco 홈페이지에서 현재 시점에서 8200 router ios xe 추천 버전을 확인 합니다.

3. 파일을 다운로드 받고 파일을 USB에 복사합니다. 

4. MD5 Checksum를 확인 합니다. 추후에 파일을 라우터에 복사하고 MD5 Checksum를 이용해서 파일이 잘 복사 되었는지 확인합니다. 만약에 파일이 깨진 상태에서 Upgrdae 업그레이드 하면 Upgrade가 Failed하고 Rommon mode로 빠질수 있습니다. 꼭 업그레이드 또는 다운그레이드 전에 파일 복사 후 MD5 체크섬을 확인 합니다. 

C8200 라우터 Firmware Install 방식은 2가지가 있습니다.

1. ios xe file를 파일로 복사하고 boot config를 통해서 부팅 시키는 방법

2. install mode로 펌웨어를 설치하는 방법

현재 라우터 install mode인지 레거시 모드인지 확인하는 방법

아래처럼 표시 되면 install mode입니다. 

또는 Bin 파일이 없고, Package 파일만 보이면 install mode입니다. 

그럼 Firmware Upgrade를 합니다.

1. USB를 C8200 Router에 연결 합니다.

아래처럼 로그가 발생하면 정상적으로 usb가 인식 되었습니다. 

2. 파일 복사하기

파일 확인하기

아래 c8000be-universalk9.17.09.05e.SPA.bin 복사 되었습니다. 

3. MD5 Checksum 확인

789f0f212ccd155b8aef19ce93c8476e

파일이 잘 복사 되었습니다.

4. 이제 새로운 ios xe를 설치 합니다.

SUMMARY STEPS

1. enable
2. install add file location: filename
3. show install summary
4. install activate [auto-abort-timer <time>]
5. install abort
6. install commit
7. install rollback to committed
8. install remove {file filesystem: filename | inactive}
9. show install summary
10. exit

재부팅이 완료 될때까지 기다립니다. 

5. Version 확인

6. 기존에 Package가 Flash:에 존재 합니다. 필요없는 파일은 삭제합니다. 

show version

다시 한번 재부팅해서 제대로 부팅되는지 확인합니다.

정상적으로 부팅이 잘 됩니다. 

지금까지 [2025][C8200] Router IOS XE upgrade 글을 읽어주셔서 감사합니다. 

안녕하세요. 

오늘은 Cisco License Type에 대해서 알아보겠습니다.

Traditional - PAK

Smart License Mode - 

Smart License use Policy Mode -

IOS 버전에 따라서 지원하는 모드가 다릅니다. 

Smart Licensing Requirements by Release

The support for Smart Licensing started with Cisco IOS XE 16.10.1. In the Cisco IOS XE 17.3.2 and 17.4.1, support to a simplified method for Smart Licensing with the use of Policies mode only License was started.

Cisco 공식 홈페이지 정보 입니다.

https://www.cisco.com/c/en/us/support/docs/cx/common-licensing-issues/how-to/other/cx217847-configure-smart-licensing-on-ios-xe-plat.html

reference cisco site

https://www.cisco.com/c/en/us/td/docs/routers/sl_using_policy/b-sl-using-policy/info_about.html

안녕하세요.

현재 Firepower 제품군은 unified software image 지원 합니다. 

FTD - Firepower Threat Defense - Next-genration Firewall 이미지를 사용 합니다.

만약에 FTD에 Cisco ASA code로 변환해서 사용을 하면 Next-Generation Firewall에서 제공하는 기능들을 사용 못합니다. 

그리고 Cisco ASA code는 현재는 제공하지만 점차 제공하지 않을 예정이기 때문에 Cisco 에서도 FTD를 이미지를 권장합니다. 

Cisco ASA Code는 아래처럼 두가지 모드가 있습니다.

1. Platform 모드

2. Appliance 모드

Platform 모드는 시스템을 하나의 통합 플랫폼으로 보고, 하드웨어와 관리 기능을 분리하여 구성합니다.

주요 특징:

• **제어 플레인(Control Plane)**과 **데이터 플레인(Data Plane)**이 분리되어 있습니다. ASA 소프트웨어는 Firepower 플랫폼 내의 하나의 구성요소로 실행됩니다.
• **FXOS(Firepower eXtensible Operating System)**가 기본 운영체제로 동작하며, 하드웨어 관리에 사용됩니다.
• 논리적 장치(Logical Device) 구성: Firepower Chassis Manager(FCM)나 FXOS CLI를 통해 ASA, FTD 등의 장치를 생성합니다.
• 다중 인스턴스(multi-instance) 지원: 하나의 장비에서 여러 논리적 방화벽을 운영할 수 있어 멀티 테넌시가 가능합니다.
• 주로 Firepower 4100 시리즈 또는 9300 시리즈에서 사용됩니다.

관리 방법:

• FXOS와 ASA CLI 또는 ASDM을 함께 사용하여 관리합니다.
• FXOS에서 인터페이스, 모듈, 하드웨어 수준의 설정을 담당합니다.

Appliance 모드

Appliance 모드는 Firepower 장비를 전통적인 ASA 장비처럼 독립형 방화벽 어플라이언스로 사용합니다.

주요 특징:

• 단일 이미지 부팅: ASA 소프트웨어가 직접 장비에서 실행되며, FXOS는 사용되지 않습니다.
• 구성이 간단하며, 기존 ASA 사용자에게 친숙한 방식입니다.
• 논리적 장치 개념 없이 단일 ASA 인스턴스만 실행됩니다.
• 주로 Firepower 2100 시리즈 또는 하위 모델에서 사용됩니다.

관리 방법:

• ASA CLI, ASDM, 또는 Cisco Security Manager 등을 사용하여 직접 관리합니다.
• FMC(Firepower Management Center)와는 주로 FTD 모드에서 통합됩니다.

항목 Platform 모드 Appliance 모드

이번에 고객사 장비가 FPR3105인데 Cisco ASA Code를 사용해서 기존에 사용중인 ASA 5545-X 교체하고자 합니다. 

FPR3105는 Appliance Mode를 지원하나요?

Cisco Firepower 3105(FPR3105)는 Appliance Mode를 지원합니다.
이 모드는 장치를 독립 실행형 ASA 어플라이언스로 작동하게 하며, Firepower eXtensible Operating System(FXOS) 계층 없이 전통적인 방화벽 기능을 제공합니다.

Appliance Mode에서는, FPR3105가 ASA 이미지를 직접 실행하므로, ASA 기능만 필요한 환경에서 배포 및 관리가 간소화됩니다.

이 모드는 특히 익숙한 ASA 인터페이스를 선호하고, Firepower Threat Defense(FTD)가 제공하는 고급 기능이 필요하지 않은 사용자에게 적합합니다.

단, Appliance Mode로 운영할 경우, 고급 위협 방어 및 침입 방지(IPS)와 같은 Firepower 서비스는 사용할 수 없습니다.
따라서 네트워크 보안 전략에 이러한 고급 기능이 포함되어 있다면, FPR3105를 FTD 이미지로 배포하는 것을 고려해야 합니다.

요약하자면, FPR3105는 유연한 장비로, ASA 또는 FTD 소프트웨어 중 원하는 모드로 구성할 수 있으며, 보안 요구사항과 운영 환경에 맞게 선택할 수 있습니다.

그럼 이번에는 ASA 버전 몇부터 Platform모드를 지원하고 Appliance모드를 지원하는지 알아보겠습니다.

예, Cisco Firepower 2100 시리즈에서 Appliance 모드는 ASA 9.13 이상 버전부터 지원됩니다. 이전 버전인 9.12 이하에서는 Platform 모드만 지원되며, Appliance 모드로의 전환을 위해서는 FXOS를 통한 재이미징이 필요합니다.ManualsLib+9Cisco Community+9ccnpsecuritywannabe.blogspot.com+9

ASA 9.13 이상으로 업그레이드하면 Appliance 모드가 기본 모드로 설정되며, show fxos mode 명령어를 통해 현재 모드를 확인할 수 있습니다. 이 모드에서는 ASA CLI나 ASDM을 통해 모든 설정을 구성할 수 있으며, FXOS CLI는 고급 트러블슈팅 명령어에만 사용됩니다.ManualsLib+3Manuals++3pseudoco.cisco.com+3

따라서, Firepower 2100을 Appliance 모드로 운영하려면 ASA 9.13 이상으로 업그레이드해야 하며, 이전 버전에서는 FXOS를 통해 Platform 모드로만 구성할 수 있습니다.

안녕하세요.

오늘은 cisco ASA에 Remote Access VPN User를 확인해보겠습니다.

show vpn-sessiondb anyconnect 

아래 명령어를 통해서 라이센스 남은 갯수도 확인 가능 합니다.

anyconnect Permium 라이센스가 2개 이고, 현재 PC에서 접속 해서 한개를 사용하고 있고, Usage에 50% 표시 되었습니다.

지금까지 [ASA #06] - Remote Access VPN current user check 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 cisco asa remote access VPN license를 확인하는 방법에 대해서 알아보겠습니다.

아래처럼 shwo version을 입력하면 아래처럼 기본적으로 2개까지 제공되며, 추가적으로 사용시 License를 구매해야 합니다. 

AnyConnect Premium Peers          : 2    

ASAv# show vpn-sessiondb license-summary 

ASAv는 Anyconnect Capacity는 250개 까지 가능하고 License 기본제공 2개 까지만 가능 합니다. 

아래 정보를 보시면 현재 라이센스 사용수, 최대치 사용수까지 확인 가능 합니다. 

하드웨어적으로 최대 지원되는 Anyconnect 유저수

지금까지 [ASA #05] - Remote Access VPN License 글을 읽어주셔서 감사합니다.