IT BLOG(KR)

안녕하세요.

오늘은 cisco ise persona에 대해서 좀 더 상세히 알아보겠습니다.

저번 글에서 cisco ise persona는 4가지가 있다고 설명 하였습니다. 

Policy Services Node(PSN) - Makes policy decisions, RADIUS/TACACS+ Servers 

Policy Administration Node(PAN) - Single Plane of glass for ISE admin, Replication hg for all database config changes

Monitoring and Troubleshooting Node (MnT) - Reporting and logging node, syslog collector from ISE nodes

pxGrid Contoller - Facilitates sharing of conext 

** PAN **

1. GUI로 기능들을 설정 할수 있습니다.

2. PAN은 다른 NODE를 SYN 합니다. 

3. PAN HA - 최대 2개 Node만 지원합니다. 그리거 Active/Standby 기능만 지원 합니다. 

4. GUI 설정/수정/삭제 등을 하면 PAN은 설정값을 PSN으로 Push합니다. 

** PSN **

1. 인증,권한 등을 처리 합니다.

2. PSN HA, 최대 50개 까지 가능합니다. Active/Active로 동작 합니다. 

3. PSN은 Network Access, Posture, Guest access, Client provisioning * Profiling 서비스를 제공합니다. 

4. Radius/Tacacs기능을 수행합니다.

5. COA, Posturing and Profileling Service를 기능을 수행합니다. 

6. Bulit-in CA기능도 수행합니다.

7. Authentication request 받고 인증된 사용자 또는 단말기인지를 확인 합니다. 

8. PSN은 직접 External identity store 통신합니다. 

** MnT  **

1. Log를 수집하는 역활을 하고 Log 관련 정보를 확인 가능 합니다.

2. Log는 cisco ISE 자체 storage에 저장 됩니다. 

3. Troubleshoot에 필요한 Tools도 제공합니다.

4. MnT HA Node는 최대 2개입니다. - Active/Standby만 지원

5. Active/Standby node 모두다 Log를 저장합니다. 

6. Report를 생성 할 수 있습니다. 

7. MnT는 PAn, PSN, RADIUS & TACACS 등에 로그들 수집합니다. 

**pxGrid **

1. 외부 Third pard vendor랑 연동 할때 사용 합니다. 

아래 사진에 보시면 Operations이 MnT에 해당 됩니다. 

1. Administration -> system -> Deployment 클릭 합니다. 

2. ise01를 클릭 합니다. 

위에 사진처럼 현재 어떤 Persona가 Enable되어져 있고 동작중인지 확인 가능 합니다. 

위에 사진에 pxGrid를 Enable하면, 현재 cisco ISE standalone으로 동작중이고 아래처럼 4가지 Persona기능을 하고 있습니다.

만약에 HA로 구성하면 어떤 ISE Node가 어떤 Persona기능을 할지 선택 가능 합니다.

지금 까지 [2025][CISCO ISE#17] - Personas 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 Cisco ISE Deployment Terminology에 대해서 알아보겠습니다.

기본적으로 아래 용어를 많이 사용 합니다.

Service: 서비스는 네트워크 액세스, 프로파일러, 상태, 보안 그룹 액세스, 모니터링 및 문제 해결 등과 같이 페르소나가 제공하는 특정 기능입니다.

Node: 노드는 Cisco ISE 소프트웨어를 실행하는 개별 인스턴스입니다. Cisco ISE는 어플라이언스로 사용할 수 있을 뿐만 아니라 VMware에서 실행할 수 있는 소프트웨어로도 사용할 수 있습니다. Cisco ISE 소프트웨어를 실행하는 각 인스턴스(어플라이언스 또는 VMware)를 노드라고 합니다.

Persona: 노드의 Persona는 노드가 제공하는 서비스를 결정합니다. Cisco ISE 노드는 관리, 정책 서비스, 모니터링, pxGrid 등의 Persona 는 관리 포털을 통해 사용할 수 있는 메뉴 옵션은 Cisco ISE 노드가 맡은 역할과 Persona에 따라 다릅니다.

Deployment Model: Standalone 또는 High Availability 등으로 구성 가능 합니다. 

여기에서 Persona에 대해서 더 알아보도록 하겠습니다. 

Policy Services Node(PSN) - Makes policy decisions, RADIUS/TACACS+ Servers 

Policy Administration Node(PAN) - Single Plane of glass for ISE admin, Replication hg for all database config changes

Monitoring and Troubleshooting Node (MnT) - Reporting and logging node, syslog collector from ISE nodes

pxGrid Contoller - Facilitates sharing of conext 

Standard-alone일때 동작 방식은 아래와 같습니다. 

High Availablity 

PAN - Active/Standby 역활만 가능 합니다. Active/Active 지원하지 않습니다.

PSN - Active/Active 역활만 가능 합니다.

MnT - Active/Standby 역활만 가능 합니다.  Active/Active 지원하지 않습니다.

pxGrid - Active/Active 역활만 가능 합니다. 

Reference: 자세한 내용은 Cisco 홈페이지를 확인 부탁드립니다.  

https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/admin_guide/b_ISE_admin_3_0/b_ISE_admin_30_deployment.html

cisco ISE design guide 

https://www.cisco.com/c/en/us/td/docs/security/ise/performance_and_scalability/b_ise_perf_and_scale.html

지금까지 [2025][CISCO ISE#16] - Deployment Terminology 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 Cisco ISE를 Dashboard에 대해서 알아보겠습니다. 

1. Cisco ISE를 로그인하고 아래 햄버거 버튼을 클릭 합니다. 

아래 사진처럼 메인 메뉴를 보실수 있습니다. 

Context Visibility - Information for endpoints, Users and Nework Access Devices

Operation: Tolls for Radius, Tacacs logs and session and provide troubleshoot tools.

Policy: Tools for managing network security in the areas of authentication, authorization, profiling, posture, and client provisioning

Administration: tools for maning Cisco ISE nodes, licneses, Certification, Network Devicess, Users, Endpoints and Guest services

Work Ceters: additional futures will be provided 

Cisco ISE Main 화면에 접속 하시면 아래처럼 Total Endpoints, Active Endpoints 등이 표시 됩니다.

이 부분은 삭제 할수 없고 현재 Devices관련 Total, Active Rejected, 등 정보를 확인 할 수 있습니다. 

아래 사진들은 Dashboard에 추가 삭제가 가능 합니다. 

Add Dashlet를 클릭 합니다. 

아래 같은 정보들을 삭제 또는 추가 할 수 있습니다. 

아래 사진을 보시면 어떤 내용을 표시 되는지 확인 가능 합니다. 상세 설명은 생략 하겠습니다. 

GUI에서 ISE정보도 확인 가능 합니다.

지금까지 [2025][CISCO ISE#15] - Dashboard 글을 읽어주셔서 감사합니다. 

안녕하세요. 

Cisco ISE 테스트를 위해서 WLC를 설치 하고 기본 설정을 해보겠습니다.

Diagram

WLC g1 - Data interface

WLC g3 - MGMT interface - vrf mgmt

스위치에서 기본 설정을 합니다.

WLC 기본 설정을 합니다. 

수동으로 WLC를 설정 합니다.

Ping Test

아주 간단한 설정만 하기 추후에 필요한 부분은 수동으로 설정 하도록 하겠습니다.

설정이 완료 되면 다시 로그인을 합니다.

지금까지 [2025][CISCO ISE#14] - WLC configuration   글을 읽어주셔서 감사합니다. 

안녕하세요. 

cisco ISE에 설정값등을 백업하고 복구 하기 위해서 windows server에 file 서버를 구축해 보겠습니다.

1. Add Roles and Features를 선택 합니다. 

2. Next버튼을 클릭 합니다. 

3. Next버튼을 클릭 합니다.

4. Next버튼을 클릭 합니다.

5. 아래처럼 선택하고 next버튼을 클릭 합니다. 

6. Next버튼을 클릭 합니다. 

7. Install버튼을 클릭 합니다.

8. 설치가 완료 되면 Close버튼을 클릭 합니다. 

9. FTP설정하기

IIS Manager 클릭 하기

10. 폴더를 생성하고 아래처럼 선택 합니다.

11. 아래처럼 설정하고 Next버튼을 클릭 합니다.

12. 아래처럼 설정하고 Finish버튼을 클릭 합니다. 

ISE_BACKUP 폴더에 텍스트 파일을 하나 만들고 PC에서 아래처럼 테스트 합니다.

위에 처럼 test.txt 파일이 정상적으로 보입니다. 

FTP서버가 잘 동작중에 있습니다.

안녕하세요.

오늘은 cisco ISE 실습을 위해서 Windows Server에서 Certification Server (CA)를 만들어 보겠습니다.

0. Add Roles and Features

1. Next를 클릭 합니다.

2. Next를 클릭 합니다.

3. Next버튼을 클릭 합니다.

4. Next버튼을 클릭 합니다.

5. Next버튼을 클릭 합니다.

6. Next버튼을 클릭 합니다. 

7. 아래 부분을 모두 체크 하고 Next버튼을 클릭 합니다. 

8. Next버튼을 클릭 합니다.

9. 디폴트값으로 두고 Next버튼을 클릭 합니다.

10. Install 버튼을 클릭 합니다. 

11. CA서버를 설정 하기 위해서 아래 처럼 클릭 합니다.

12. Next버튼을 클릭 합니다.

13. 아래처럼 박스 3개를 선택 합니다.

14. Next를 선택 합니다.

15. Next를 선택 합니다. 

16. Next를 선택 합니다.

17. Next를 선택 합니다.

18. Next를 선택 합니다.

19. Next를 선택 합니다.

20. Next를 선택 합니다.

21. Configure를 선택 합니다.

22. close버튼을 클릭 합니다.

23. Yes를 클릭 합니다.

24. Next를 클릭 합니다.

25. 아래처럼 체크 박스에 체크를 합니다.

administrator 계정에 IIS 그룹에 속하지 않기 때문에 에러 메시지가 뜹니다.

아래 링크 클릭 합니다. 

add to a group를 선택 합니다. 

Administrator 계정에 IIS_IUSERS 그룹 추가하기

그리고 계정을 다시 입력하면 제대로 적용 됩니다.

26. Next버튼을 클릭 합니다.

27. Next버튼을 클릭 합니다.

28. Next버튼을 클릭 합니다.

29. Next버튼을 클릭 합니다.

30. Next버튼을 클릭 합니다. 

31. administrator 계정으로 로그인 합니다. 그리고 Next버튼을 클릭 합니다. 

32. Next버튼을 클릭 합니다.

33. Next버튼을 클릭 합니다.

34. Configure 버튼을 클릭 합니다.

35. Close버튼을 클릭 합니다. 

36. 제대로 동작하는지 확인하기

http://192.168.10.93/certsrv

입력하고 로그인 합니다. 

위에 처럼 접속 되면 CA서버가 제대로 동작중입니다. 

안녕하세요.

cisco ISE 테스트를 위해서 이번에는 서버에 NTP server를 설정해보겠습니다.

Diagram

1. run

gpedit.msc 입력

2. 아래 경로로가서 Enable Windows NTP Server를 클릭 합니다. 

3. Global Configuration Setting를 클릭 합니다.

4. Service를 클릭 합니다.

정상적으로 서비스가 동작중에 있습니다.

윈도우서버에서 시간을 확인후 만약에 수정이 필요하면 아래처럼 수정합니다.

그럼 테스트를 해보겠습니다.

1. SW01 더블 클릭 합니다. 

2. 기본 설정을 합니다

3. NTP Server ip주소를 설정 합니다. 

4. NTP 서버랑 시간이 Syn 되었는지 확인하는 방법

지금까지 [2025][CISCO ISE#11] - NTP Server Configuration 글을 읽어주셔서 감사합니다. 

안녕하세요.

Cisco ISE 테스트를 위해서 이번에는 서버에서 DHCP 설정해보겠습니다.

Diagram

0. manage -> add roles and features

1. Next를 클릭 합니다.

2. Next를 클릭 합니다. 

3.Next를 클릭 합니다. 

4. Next를 클릭 합니다.

5. Next를 클릭 합니다. 

6. Next를 클릭 합니다. 

7. Install 버튼을 클릭 합니다. 

설치가 완료 될때까지 기다립니다. 

8. 아래 버튼을 클릭 합니다.

9. Next 버튼을 클릭 합니다. 

10. commit버튼을 클릭 합니다. 

11. close버튼을 클릭합니다. 

12. DHCP 설정

13. Next를 클릭 합니다.

Next를 클릭 합니다.

Next를 클릭 합니다.

Next를 클릭 합니다.

Gateway 입력하고 Next를 클릭합니다.

8.8.8.8추가 합니다.

1차 DNS 서버 자체

2차 google dns

Next를 클릭 합니다.

Next를 클릭 합니다.

Finish를 클릭 합니다.

지금까지 [2025][CISCO ISE#10] - DHCP configuration 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번장에서는 cisco ISE테스트를 위해서 Server에서 DNS를 설정해보겠습니다.

Diagram

0. Tools -> DNS 클릭 합니다. 

AD를 설치하면 DNS도 설치가 됩니다.

test.local이 아래 사진처럼 보입니다.

1. Revese zone를 생성합니다.

2. Next 클릭 합니다. 

3. Next를 클릭합니다. 

4. Next를 클릭 합니다. 

5. Next를 클릭 합니다. 

6. 192.168.10를 입력하고 Next를 클릭 합니다. 

7. Next를 클릭 합니다. 

8. PTR를 생성 합니다. 

서버 끝자리 IP주소를 입력하고 Browse를 클릭 합니다. 

서버에 hostname를 클릭합니다.

제 서버에 hostname은 first입니다. 

9. ok버튼을 클릭 합니다. 

10. A레코드를 생성합니다.

ise01 - 192.168.10.191

ise02 - 192.168.10.192

11. nslookup으로 테스트

지금까지 [2025][CISCO ISE#9] - DNS configuration 글을 읽어주셔서 감사합니다. 

안녕하세요.

이전 글에 Cisco ISE 테스트를 위해서 Active Directory를 설치 했습니다.

테스트를 위해서 유저랑 그룹을 생성 하겠습니다.

Diagram

0. Tools -> Active Directory Users and Computers를 클릭 합니다. 

1.New -> Organizational Unit

ISE 폴더를 생성 합니다. 

그리고 ISE OU폴더에 Group과 User를 생성합니다. 

2. Group를 생성 합니다.

Employees

위와 같이 3개 그룹을 더 생성 합니다.

Guest Group, Contractors Group, Remote Users Group

총 4개에 그룹이 생성 되었습니다. 

3. 이번에는 User를 생성 합니다. 

Employee01 -> Employee Group

Employee02 -> Employee Group

Contractor01 -> Contractor Group

Contractor02 -> Contractor Group

Guest01 -> Guest Group

Guest02 -> Guest Group

RemoteUser01 -> RemoteUser01 Group

RemoteUser02 -> RemoteUser01 Group

그룹을 할당 합니다.

위에처럼 유저를 생성하고 나머지 유저들도 생성하고 그룹에 할당합니다. 

지금까지 [2025][CISCO ISE#8] - create user and group글을 읽어주셔서 감사합니다.

다음글은 DNS 설정해보겠습니다. 

안녕하세요.

이번에는 cisco ISE 실습을 위해서 Active Directory를 윈도우 서버에 설치해보겠습니다.

Diagram

1. Add Roles and Features 클릭 합니다. 

2. Next를 클릭 합니다. 

3. next를 클릭 합니다. 

4. Next를 클릭 합니다. 

5. Active Directory Domain Services를 클릭 하고 next버튼을 클릭 합니다. 

6. Next를 클릭 합니다. 

7. Restart에 체크하고 Install 버튼을 클릭 합니다. 

8. Close 버튼을 클릭 합니다.

9. Promote this server to a domain controller를 클릭 합니다. 

10. 아래처럼 입력 합니다. 

11. 아래처럼 입력 합니다. 

12. Next버튼을 클릭 합니다. 

13. NetBios는 디폴트 값을 사용 합니다.  Next를 클릭 합니다. 

14. next를 클릭 합니다. 

15. Next를 클릭 합니다. 

16. Install를 클릭 합니다. 

17. 설치가 완료 되면 자동으로 재부팅이 됩니다. 

아래 처럼 설치가 완료 되었습니다. 

테스트를 위한 기본설정은 다음 장에서 하겠습니다. 

지금까지 [2025][CISCO ISE#7] - Active Directory install글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 Cisco ISE를 실습하기 위해서 아래와 같이 EVE-NG를 통해서 구성해 보겠습니다. 

ISE01 - 192.168.10.191  - VMware ESXi안에서 설치
ISE02 - 192.168.10.192  - VMware ESXi안에서 설치

WINSERVER01 - 192.168.10.193 - VMware ESXi안에서 설치

WINSERVER02 - 192.168.10.194 - VMware ESXi안에서 설치

WLC01 - 192.168.10.195 - EVE-NG

WLC02 - 192.168.10.196 - EVE-NG

PC01 - 192.168.10.197 - EVE-NG 802.1x테스트 하기 위해서는 PC가 SW01에 직접 연결되어야 하기 때문에, PC를 EVE-NG안에다가 설치

PC02 - 192.168.10.198 - EVE-NG 안에다가 설치

SW01 - 192.168.10.199 - EVE-NG 안에다가 설치. 

EVE-NG에서 아래처럼 구성 하였습니다.

WLC01만 생성 하곘습니다.

SW01이 INTERNET 구름을 타고 실제 PALOALTO 방화벽에 연결 됩니다.

IP: 192.168.10.0

Subnet: 255.255.255.0

GW: 192.168.10.253 -> PALOALTO LAN IP

지금까지 [2024][CISCO ISE#6] - test diagram 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 cisco ise admin cli에서 변경해 보겠습니다.

cisco ise를 설치 하였는데. GUI 접속시 pasword가 계속 틀리는 경우 이미 CLI모드에서 로그인이 완료 된 상태라면 아래처럼 CLI에서 곧바로 admin 계정에 패스워드를 변경 가능 합니다.

application reset-passwd ise admin 

그리고 https://ise ip주소를 입력하고 admin password를 입력하고 로그인 합니다. 

안녕하세요.

이번에는 저번 글에 이어서 추가적으로 cisco ise basic cli command에 대해서 알아보겠습니다. 

1. backup status 확인 명령어

show backup status

2. backup history 확인 명령어

백업한적이 없어서 관련 내용이 없음

3. cdp 네이버 확인

4. NTP 시간 확인

5. 현재 유저 확인

6. timezone 확인

7. 라우팅 테이블 확인

8. logging 확인

9. 메모리 확인

10. CPU 확인

11. DISK 확인

11. Interface 확인

12. version 확인

13. uptime 확인

지금까지 [2024][CISCO ISE#4] - basic CLI command - 02 글을 읽어주셔서 감사합니다. 

안녕하세요. 

오늘은 cisco ISE basic command에 대해서 알아보겠습니다. cisco GUI는 가끔식 CLI모드에 접속 해서 확인 해야되는 부분이 있습니다.

? 입력하면 사용 가능한 명령어를 호가인 할 수 있습니다. 

1. application 상태 확인

show application status ise

2. cisco ise application service 종료 - ISE를 종료 하기 위해서는 꼭 application service 중지 하고 ISE종료 해야합니다.

application stop ise

3. ise application 서비스 시작 명령어

application start ise

3. 스크린 clear하는 방법

4. 현재 시간 확인 하는 방법

5. CLI mode에서 debug enable

debug all, 또는 원하는 부분은 debug enable가능 합니다. 

6. debug disable

7. ping 8.8.8.8

8. traceroute 8.8.8.8

9. 재부팅

reload

10. 종료

halt

지금까지 [2024][CISCO ISE#3] - basic CLI command - 01 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 Guest 유저를 위한 WLAN를 생성하고 간단하게 설정에 대해서 알아보겠습니다.

General Page

Profile Name: GUEST_SSID - WLC에서 Profle이름 입니다.

SSID: GUEST_SSID 실제 wifi SSID표시 할 SSID 입니다.

WLAN ID: WLC에서 WLAND ID입니다. 이 부분은 VLAN 정보가 아닙니다. 

Status: 이 WLAN를 Disable 또는 Endable 가능 합니다. 

Broadcase SSID: SSID를 숨길지 광고 할지 설정 합니다.

Disable를 선택시 PC에서 수동으로 SSID 입력해서 접속 해야 합니다. 

Radio Policy: 6G, 5G, 2.4G Enable 또는 Disable해서 광고 가능 합니다. 

이번장에서는 암호화 없는 Guest SSID를 생성해보겠습니다. 

None를 선택 합니다. 

P2P Blocking Action: Drop

GUEST-SSID 접속한 유저들끼리 같은 L2도메인이기 때문에 통신이 가능 합니다.

이 부분을 보안 때문에 Drop 합니다. 

per WLAN으로 Client 접속수를 제한을 가능 합니다.

Per AP per WLAN: AP당 WLAN최대 client 접속수

Per AP Radio Per WLAN: 200

즉 2.4G 랑 5G 각각 200명에 Client 허용 가능 합니다. 

Load Balancing : 여러 AP들이 있을때 Client를 분배해서 AP에 접속하게 합니다. 

Band Select: 5G가 속도가 더 좋기 때문에, PC가 2.4G/5G다 지원하면 5G로 접속 할수 있게 합니다. 

2. Configuration -> Tags & Profiles -> Policy 

Add버튼을 클릭 합니다.

Name: 이름을 정의 합니다.

Stuats: Policy enable 또는 Disable 합니다.

**** WLAN Switching Policy ****

Central Switching - Enabled 모드이면 AP Data traffic이 CAPWAP tunnel를 통해서 WLC로 전송 되면 Data Traffic를 WLC가 처리 합니다. 

Disabled 모드 이면 AP가 직접 Data를 처리 합니다.

Central Authentication - Enabled 모드이면 WLC가 직접 처리 합니다. 

Central DHCP -Enabled 모드이면 WLC가 DHCP기능을 수행 합니다. 

Policy에 VLAN를 입력 합니다. VLAN이 없으면 WLC에서 VLAN를 생성 합니다. 

Policy랑 WLAN이 Mapping이 되면 GUEST-SSID로 User가 붙으면 VLAN 110으로 인식 합니다. 

Idel Timeout를 28800으로 변경합니다. idel Timeout되면 SSID disconnect되는 증상을 방지 합니다. 

그리고 Apply to Device를 클릭 합니다. 

3. Policy Tag 를 생성합니다.

Configuration -> Tags & Orifukes -> Tag -> Policy

 Add 버튼을 클릭 합니다. 

아래처럼 설정하고 적용 버튼을 클릭 합니다. 

4. AP에 새로운 Policy Tag를 적용 합니다.

5. PC에서 SSID를 확인 합니다. 

아래처럼 GUEST_SSID가 암호화 없이 접속 가능 하게 표시 됩니다. 

6. DHCP 서버가 없어서 IP주소를 못 받아옵니다.

SW에서 DHCP 서버 기능을 설정 합니다.

IP주소를 Clinet에게 할당 하였습니다. 

WLC에서 GUI Clinet를 확인 합니다.

[C9800CL][#9]- WLAN Guest  지금까지 글을 읽어주셔서 감사합니다.

안녕하세요.

오늘은  C9800에 Data Interface 2개를 Port Channel로 구성하는 방법에 대해서 알아보겠습니다.

WLC01: Gi3 - MGMT IP vrf MGMT

G1 and G2 -  Portchannel 01로 묶고 Trunk 포트로 모든 VLAN를 허용 하게 설정 하겠습니다.

1. WLC GUI에 접속합니다.

Gi1/Gi2를 아래와 같이 설정합니다.

2. Port-channel를 설정합니다. 

Interface Status 확인

테스트를 위해서 WLC 아래와 같이 설정 합니다.

VLAN 110

VLAN 120
VLAN 130

SVI 110 - 192.168.110.254

SVI 120 - 192.168.120.254

SVI 130 - 192.168.130.254

VLAN 110를 설정합니다. 그리고 아래 사진처럼 VLAN 120, VLAN 130도 설정 합니다. 

2. SVI를 설정 합니다.

아래 사진처럼 SVI 120과 SVI 130도 설정 합니다. 

Cisco switch에서 

VLAN 110,120,130설정하고 SVI 110,120,130를 설정합니다.

SVI 110: 192.168.110.253

SVI 120: 192.168.120.253

SVI 130: 192.168.130.253

VLAN 설정

SVI 설정

ping test

지금까지 [C9800CL][#8]- Data Interface Redundancy - Port Channel  글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 인가된 AP만 WLC에 등록 가능 하게 설정해보겠습니다.

사용할 방법은 AP MAC주소를 WLC에 등록해서 허가된 AP MAC만 WLC에 등록 할 수 있습니다.

AP IP: DHCP Server로 부터 IP주소를 받아감. 192.168.200.X/24

AP GW: 192.168.200.181

WLC: 192.168.100.182 DHCP option43를 이용함. 

1.  Configuration  -> Security -> AAA 클릭 합니다. 

2. AAA Advanced -> AP Policy 에서 Authorized AP aginast MAC를 Enable하고 Apply를 클릭 합니다. 

*** 만약에 Default값으로 아래 처럼 설정 안되어져 있으면 추가로 설정 합니다. ***

3. 현재 아래처럼 AP한대가 WLC에 등록 되어져 있습니다. 

4. AP를 재부팅 합니다.

5. 약 5분후 - Monitoring -> Wireless -> AP statistics를 클릭해서 AP가 상태를 확인 합니다.

AP가 WLC에게 CAPWAP join request  메시지를 전송하지만 reponse패킷을 받지 못합니다. 

그리고 CAPWAP state: DTLS Teardown이 되고, 다시 CAPWAP join request를 보냅니다. 이 과정을 반복합니다. 

6. Monitoring -> Wireless -. AP Statistics에서 Join Statics를 클릭해서 보시면

아래 사진처럼 AP AUth Failure를 확인 할수 있습니다. 

아래 AP MAC주소가 WLC 인가된 AP MAC 주소 리스트에 포함되지 않기 떄문에 AP 등록이 실패 하였습니다.

7. AP MAC주소를 등록 합니다.

Configuration ->  Security -> AAA -> AAA Advanced -> Device Authentication -> MAC Address -> Add 버튼을 클릭 합니다. 

CLI 에서 AP MAC주소 확인 방법

아래처럼 입력 합니다. 

그리고 특정 시간을 기다립니다.

이번에는 아래처럼 Join Reponse 패킷을 WLC로부터 받았습니다. 

아래 사진처럼 AP가 WLC에 등록 되었습니다. 

시간이 지나도 AP는 계속 UP상태 입니다. 그 이유는 이미 WLC등록되어기 때문에, 다시 AP Authentication를 확인 하지 않습니다. 

AP를 재부팅 합니다. 

재부팅후에는 다시 AP authentication를 시도해야합니다. 하지만 WLC에서 AP MAC주소를 제거 했기 떄문에, 아래처럼 인증 실패로 표시 됩니다. 

지금까지 [C9800CL][#7]- AP authentication - AP Mac Filter 글을 읽어주셔서 감사합니다. 

안녕하세요. 

이번에는 AP hostname를 이용해서 WLC에 policy tag, site tag, rf tag를 할당 하는 방법에 대해서 알아보겠습니다.

예제) WLC는 AWS 또는 Azure에서 동작중에 있습니다. 

Office는 아래와 같이 3군데가 있습니다.

1. Singpoare office - AP hostname pattern - SG-AP0X

2. Korea office - AP hostname pattern - KR-AP0X

3. Japan office - AP hostname pattern - JP-AP0X

AP hostname이 SG-AP0X로 시작하면, policy tag, site tag, rf tag 모두다 SG tag가 AP에 할당 됩니다.

AP hostname이 KR-AP0X로 시작하면, policy tag, site tag, rf tag 모두다 KR tag가 AP에 할당 됩니다.

WLC에서 Hostnmae Filter를 이용해서 위와 같이 정책을 사용 할수 있습니다.

1. 테스트를 위해서 WLAN를 생성 합니다.

WLAN 설정 방법 예제)

2. VLAN를 생성합니다.

테스트를 위해서 VLAN은 아래와 같습니다.

VLAN10 - SG-WLAN

VLAN20 - KR-WLAN

VLAN30 - JP-WLAN

설정 방법 예

3. Policy profile를 설정 합니다.

위와 똑같이 KR-POLICY-PROFILE, JP-POLICY-PROFILE를 생성 합니다.

4. POLICY TAG를 설정 합니다.

똑같이 KR-POLICY-TAG, JP-POLICY-TAG를 생성 합니다.

5. SITE-TAG를 설정 합니다.

SG-SITE-TAG와 JP-SITE-TAG를 생성 합니다.

6. RF-TAG를 설정 합니다.

KR-RF-TAG랑 JP-RF-TAG를 생성 합니다.

이번에는 실제로 테스트 하기 위해서 Filter를 사용 해서 각 TAG들을 나라별로 적용해보겠습니다.

Singapore AP Filter

Korea AP Filter 와 Japan AP Filter를 생성 합니다.

현재 AP 한대가 WLC에 등록 되어져 있습니다.

현재 모두다 default tag를 할당 받았습니다.

Test01 - Hostname를 SG-AP01로 변경 하고 TAG를 확인해보겠습니다.

하지만 Tag가 변경되지 않습니다. AP를 재부팅해서 새로운 TAG를 적용되게 합니다.

위에 사진처럼 SG-AP01이기 떄문에 SG policy tag site tag rf tag를 받아왔습니다.

이번에는 AP 이름을 KR-AP01로 변경하고 capwap reset해보겠습니다.

지금까지 [C9800CL][#6]-AP hostname를 이용해서 Tag 할당하기 글을 읽어주셔서 감사합니다.

안녕하세요.

오늘은 AP를 DHCP option43를 이용해서 WLC에 등록 하겠습니다.

AP IP: 192.168.200.200

AP GW: 192.168.200.181

WLC: 192.168.100.182

현재 AP가 SW에 연결되어져 있습니다. cisco SW를 DHCP서버로 동작시켜서 IP/GW/WLC 주소를 할당 하도록 하겠습니다.

DHCP option43를 사용 하기 위해서는 16진수 값을 알아야 합니다. 

가장 쉬운 방법이 google에서 dhcp option43 calculaution를 검색하면 여러가지 사이트가 나옵니다.

https://wifiwizardofoz.com/dhcp-option-43-calculator/

Your DHCP option 43 value is: f104c0a864b6

This is derived using the following formula:

<Type> + <Length> + <Value> where:

Type: Sub-option code 241, used to define a method for Cisco Lightweight APs, represented in hex (f1)

Length: Number of controller IP addresses to be supplied - multiplied by 4, represented in hex (04)

Value: List of Cisco WLC IP addresses, represented in hex(c0a864b6)

1. 스위치에서 DHCP 서버를 설정합니다

2. AP에서 IP주소를 확인 합니다

3. switch에서 IP주소 Binding를 확인 합니다

4. 아래처럼 capwap 명령어로도 확인 가능 합니다. 

5. 패킷 상황

6. WLC GUI에서 AP 등록 되었는지 확인 합니다.

별도 설정이 없으면, AP가 WLC에 붙으면 Policy Tag, Site Tag, RF Tag, Location이 Default로 설정 됩니다. 

지금까지 [C9800CL][#5]-AP Join Process - DHCP option 43 글을 읽어주셔서 감사합니다. 

안녕하세요. 

오늘은 AP를 직접 IP주소랑 Default Gateway를 설정하고 WLC에 Manuall하게 등록해 보겠습니다. 

테스트 IP주소 입니다. 

AP IP: 192.168.200.200

AP GW: 192.168.200.181

WLC: 192.168.100.182

AP주소를 초기에 설정시 아래와 같이 Username/Passowrd는 Cisco 입니다. 

1. AP에 IP주소랑 Gateway를 설정 합니다. 

IP주소를 입력하면 CAPWAP discovery 패킷을 Broadcase를 사용 해서 전송 하고 있습니다.

하지만 AP랑 WLC가 같은 L2도메인 안에 없기 때문에, WLC 찾을수 없습니다. 

2. AP Hostname를 변경하고 WLC주소를 입력합니다.

아래처럼 WLC가 Discovery Response 패킷을 전송하였습니다. 

그리고 Found Confirued WLC01 이후 DTLS setup 시작 합니다. 

3. 이번에는 WLC GUI에 접속해서 AP를 확인해보겠습니다.

Monitoring ->Wireless ->AP statistics 클릭 합니다. 

아래 사진처럼 AP01이 WLC에 등록이 되었고 Admin Status를 표시면 초록색으로 정상적입니다. 

테스트를 위해서 WLC GUI에서 AP를 Reset 합니다.

AP를 더블클릭 합니다. 

지금까지 [C9800CL][#3]-AP Join Process - Manual Method 글을 읽어주셔서 감사합니다.

다음글은 DHCP option43를 이용해서 AP를 WLC에 등록 하는 글을 다루겠습니다.

안녕하세요.

오늘은 AP가 WLC에 등록할때 AP입장에서 패킷이 어떻게 진행되는지 알아보겠습니다.

시스코 공식 홈페이지에 나와 있는지 문서 입니다.

https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9120axe-access-point/221056-understand-the-ap-join-process-with-the.html

만약에 WLC에 다른 지역에 있는 상황이라면
Note: As per RFC 5415, CAPWAP uses the UDP Ports 5246 (for CAPWAP Control) and 5247 (for CAPWAP Data).

위에 포트는 방화벽에서 허용 되어야 합니다.

Session Establishment Process.

1. Access Point sends a Discovery Request. See the WLC Discovery Methods section for more information on this
2. WLC sends a Discovery Response
3. DTLS session establishment. After this, all messages after this are encrypted and are shown as DTLS application data packets in any packet analysis tool.
4. Access Point sends a Join Request
5. WLC sends a Join Response
6. AP performs an image check. If it has the same image version as the WLC, then it proceeds with the next step. If it does not, then it downloads the image from the WLC and reboots to load the new image. In such case, it repeats the process from step 1.
7. Access Point sends a Configuration Status Request.
8. WLC sends a Configuration Status Response
9. Access Point goes to RUN State
10. During the RUN state, CAPWAP Tunnel Maintenance is pefrormed in two ways:
    1. Keepalives are exchanged to mantain the CAPWAP Data tunnel
    2. AP sends an Echo Request to the WLC, which has to be answered with its respective Echo Response. This is to mantain the CAPWAP Control tunnel.

Wireless LAN Controller Discovery Methods

There are several options to let the Access Points know of the existance of one WLC in the network:

• DHCP Option 43: This option provides the APs the IPv4 address of the WLC to join. This process is convenient for large deployments in which the APs and the WLC are in different sites.
• DNS Discovery: APs queries the domain name CISCO-CAPWAP-CONTROLLER.localdomain. You must configure your DNS server to resolve either the IPv4 or IPv6 address of the WLC tto join. This option is convenient for deployments in which the WLCs are stored in the same site as the APs.
• Layer 3 Broadcast: The APs automatically send a broadcast message to 255.255.255.255. Any WLC within the same subnet as the AP is expected to respond to this discovery request.
• Static configuration: You can use the capwap ap primary-base <wlc-hostname> <wlc-IP-address> command to configure a static entry for a WLC in the AP.
• Mobility Discovery: If the AP was previously joined to a WLC that was part of a mobility group, the AP also saves a record of the WLCs present in that mobility group.

저희는 위에 방식중에 2가지를 테스트 해보겠습니다.

1. Static Configuration - AP에서 IP주소랑 Default Gateway를 설정하고 수동으로 WLC IP주소를 입력해서 WLC에 AP를 등록하겠습니다.

2. DHCP option 43 - DHCP를 이용해서 AP에 IP주소랑 Default Gateway를 할당하고 WLC주소도 같이 할당하여 AP를 WLC에 등록하겠습니다.

테스트는 다음 과정에서 진행 하겠습니다. 

안녕하세요.

이번에는 Active Directory 유저를 자동으로 Cisco duo에 동기화 하는 방법에 대해서 알아보겠습니다.

1. cisco duo cloud에 로그인 합니다.

2. Users -> Config -> Directory Sync 에서 Add external Directory클릭 합니다. 

3.  Active Directory를 선택 합니다. 

4. Add new connection를 선택하고 Continue를 선택 합니다. 

5. Save 버튼을 클릭 합니다. 

6. Cloud랑 동기활수 있게 AD Syncs관련 정보들을 입력합니다. 

7. Test Connection를 클릭 합니다. 

8. Connection이 성공 하였습니다. 

9. Active Directory에서 Group를 생성합니다.

Cisco duo

10. user를 생성하고 cisco duo 그룹에 추가 합니다. 

11. 그리고 AD Sync3에서 Groups를 클릭해서 cisco duo를 선택합니다.

12. 강제로 User들을 Syn 합니다. 

13,   User가 자동으로 생성 되었습니다. 

AD에서 User01를 삭제하고 다시 동기화 하면 계정이 Cisco DUO Cloud에서 계정이 자동으로 사라집니다. 

14. AD에서 user01삭제하기

15. Cisco DUO CLOUD에서 싱크를 합니다. 

16. 유저를 확인합니다. User01이 없습니다. 

*** 다른 AD에서 Sync된 유저들은 영향을 받지 않습니다. ***

테스트 Active Directory3에서 kevin1를 삭제하고 AD3에서 Syn를 합니다. 

1. kevin1 삭제

2. DUO Cloud에서 AD3 강제 SYNC

3. Kevin1은 그대로 있습니다. 이유는 kevin1은 AD3에서 Syn되어서 배워온 계정이 아니기때문 입니다. 

지금까지 테스트를 같이 해보았습니다.

감사합니다.

안녕하세요. 

저번에 windows server 2019에 cisco DUO RDP를 설치 후 2FA테스트 하였습니다.

이번에는 BYPASS기능을 테스트 해보겠습니다. 

cisco duo에 설정값이나 어떤 변수에 의해서 cisco duo를 통해서 인증이 실패하여 windows server 2019에 로그인 못하는 상황입니다.

2FA인증 대신 그냥 로컬 계정으로 이용하여 로그인 해보겠습니다.

우선 로컬 계정으로 이용해서 로그인 할려면 인터넷을 차단해야 합니다.

Cisco DUO RDP프로그램이 인터넷을 통해서 cisco duo cloud에 주기적으로 패킷을 보내서 통신이 가능 하면 로컬 계정을 통해서 로그인이 불가능 합니다.

1. 저는 VMware Esxi를 사용중이기 떄문에 랜카드를 그냥 연결 해지 합니다. 

2. 패스워드를 입력합니다. 

3. 로그인 가능 합니다. 

4. 다시 로그아웃을 하고 랜카드를 연결합니다. 

5. 그리고 로그인 시도하면 DUO 프로그램이 동작하고 push notification 메시지가 휴대폰으로 전송 됩니다. 

6. 로그인이 성공 하였습니다. 

이 기능을 사용 하기위해서는 설치 할때 Bypass기능에 체크가 되어져 있어야지 가능 합니다. 

지금까지 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 Windows Server 로그인 또는 RDP에 접속 했을때 Cisco DUO를 통해서 인증을 받는 방법에 대해서 알아보겠습니다.

Cisco DUO 웹페이지에서 회원 가입을 하시면 30일동안 trial version으로 기능들을 사용 할수 있습니다. 

이 글에서는 회원가입하는 방법에 대해서는 생략 하겠습니다.

1. Cisco DUO cloud 접속합니다.

2.  Applications -> Protect an Application 선택합니다. 

3. 그리고 RDP를 검색합니다.  그리고 Protect버튼을 클릭 합니다. 

4. RDP documentation를 클릭 합니다.

5. First Steps and Duo Authentication for windows logon installer 를 다운로드 받습니다. 

6. 파일을 실행해서 설치 합니다.

7. Cisco DUO에서 RDP Detail에 보시면 아래 정보들이 3가지 입니다. 

API를 COPY하고 프로그램에 붙여넣기 합니다. 

8. 이번에는 integeration Key랑 Secret Key 복사합니다. 

9. 만약에 Cisco DUO가 문제 있을때 랜선을 빼서 offline으로 만들면 Local User로 로그인 가능합니다.

꼭 체크 합니다.  

10. enable를 체크하고 next를 선택합니다. 

11. Next 를 눌러서 설치를 진행하고 설치가 완료 되면 Finish버튼을 클릭 합니다. 

12. 서버를 log-out하고 로그인을 시도 합니다.

하지만 로그인이 실패하였습니다.

이유는 Cisco DUO에 administrator 계정이 없습니다.

설정 방법은 크게 2가지가 있습니다.

1. Active Directory랑 cisco DUO랑 연동해서 자동으로 User들을 cisco DUO cloud에 등록하는 방법

2. 또는 cisco duo에서 수동으로 user를 등록하는 방법.

13. cisco DUO에서 계정을 생성합니다.

오른쪽 위에 Add User를 선택합니다. 

14. 유저 이름에 administrator입력합니다. 

그리고 add phone를 클릭 합니다. 

15. 휴대폰을 입력하고 add phone를 선택합니다. 

16. 계정과 휴대폰 번호가 추가 되었습니다.

이제 테스트 해보겠습니다.

저는 이미 휴대폰에 cisco DUO를 설치 했고 activation 한 상태에서 그냥 administrator를 추가 적으로 등록 했기 떄문에 바로 테스트 가능 합니다.

17. 패스워드를 입력 합니다. 

18. AD인증은 끝났고 이제 DUO 프로그램이 cisco duo cloud에 패킷을 보내서 휴대폰 번호를 확인후 휴대폰으로 push 메시지를 전송 합니다. 

19. Approve버튼을 클릭 합니다. 

20. 로그인이 성공 하였습니다.

지금까지 windows server 2019에 cisco DUO RDP프로그램을 설치해서 2FA 연동해보았습니다.

안녕하세요. 

이번에는 FTD랑 FMC를 설치 후 FMC를 통해서 FTD를 관리해보겠습니다. 

토폴리지는 아래와 같습니다.

FTD01: MGMT IP 10.20.20.1/24 GW 10.20.20.254

FTD02: MGMT IP 10.20.20.2/24 GW 10.20.20.254

FMC01: MGMT IP 10.20.20.3/24 GW 10.20.20.254

FTD01: outside interface g0/0 - 192.168.100.101/24 GW 192.168.100.254

FTD01: Inside Interface g0/1 - 10.100.100.254

Virtual PC: 10.100.100.1/24 GW 10.100.100.254

이번은 블로그에서는 FTD HA는 생략 하겠습니다. 

MGMT SW설정입니다. 현재 사용하시는 EVE-NG 구성도에 따라서 기본적인 설정값은 다를수 있습니다. 

Vlan Check

Interface Status check

Routing Table check

Ping Test to Default Gateway

FTD01 MGMT 설정

default login information

admin/Admin123

로그인후 새로운 패스워드를 입력합니다.

MGMT IP주소를 입력 합니다. 

show network 명령어를 통해서 MGMT IP주소를 확인합니다.

안녕하세요.

FTD MGMT IP: 192.168.100.11이고 PC에서 Ping도 잘 됩니다.

FTD GUI를 접속하면 아래와 같이 에러메시지 뜨면 해결 방법 입니다.

EVE-NG에서 FTD를 아이콘을 더블클릭 후 VNC안에서 명령어를 아래와 같이 입력합니다.

아래 처럼 접속 가능합니다.

만약에 곧바로 부팅후 접속 시도하면 위와 같이 에러 메시지 발생할수 있습니다.

10분정도 기다렸다가 다시 접속을 시도 합니다. 

서버 또는 laptop 성능이 느리면 더 오래 걸릴수도 있습니다.

FTD를 중지 하고 CPU랑 MEM를 늘린후에 다시 부팅후 10분뒤에 접속을 다시 시도해 봅니다.

지금까지 글을 읽어주셔서 감사합니다.

안녕하세요.

오늘은 FTD 기본 설정에 대해서 알아보겠습니다.

EVE-NG에 FTD를 설치 하기위해서는 아래 글을 참고 부탁드립니다.
https://itblog-kr.tistory.com/21

FTD MGMT - Internet Connection  - 192.168.10.231

g0/0 - Internet Connection - 192.168.10.232

g0/1 - LAN - Virtual PC에 연결 합니다. - 10.1.1.254/24

Virtual PC IP - 10.1.1.1/24

1. FTD를 부팅하고 더블클릭 합니다.

admin/Admin123 디폴트 로그인 정보입니다.

Enter를 입력합니다.

Enter를 입력합니다.

Password를 새로 입력합니다.

아래처럼 입력합니다.

IP: 192.168.10.231

Sunetmask; 255.255.255.0

Gw: 192.168.10.253

Manger the devies locally? yes를 입력합니다. 

PC에서 Ping를 시도합니다.

https://192.168.10.231로 방화벽에 접속 합니다.

FTD를 로그인 합니다. 

그렇게 장비 접속이 가능 합니다. 

수동으로 장비를 설정할 예정입니다. 

아래 처럼 디바이스 설정 건너뛰기를 선택하고 확인 버튼을 클릭합니다. 

90일 평가 시작를 체크 하고 확인 버튼을 클릭합니다. 

안녕하세요.

오늘은 C9300 스위치에 SSH version2 설정하는 방법에 대해서 알아보겠습니다.

IP SSH Version2가 동작중인지 확인합니다

테스트를 위해서 int vlan1에 IP를 10.1.1.1 설정합니다.

그리고 VTY를 설정합니다

PC에 IP를 10.1.1.2 설정하고 케이블을 스위치 VLAN1 포트에 연결합니다.

지금까지 C9300 스위치에 SSH version2를 설정하고 테스트 하는 방법에 대해서 알아보았습니다

지금까지 글을 읽어주셔서 감사합니다.

안녕하세요.

오늘은 C9300 Stack 스위치 IOS Upgrade에 대해서 알아보도록 하겠습니다.

현재 버전을 확인 하기 위해서 show version을 입력 합니다.

시스코 홈페이지를 접속해서 현재 시점에서 C9300-24T에 IOS 추천 버전을 확인 합니다.

https://software.cisco.com/download/home/286313829/type/286308587/release/17.12.4?i=!pp

현재 시스코 추천 IOS는 17.12.04 입니다. 

이미지 파일을 다운로드 합니다. 

USB를 준비 합니다. 

USB에 이미지 파일을 복사 합니다.

그리고 USB를 Master SW에 연결 합니다. 

첫번째 로그를 보시면 USB0이 정상적으로 인식 된걸 확인 할 수 있습니다. 

그리고 file를 확인해 보면 아래와 같이 2개 파일을 확인 가능합니다. 

npe - no payload 이미지 파일입니다.

우리는 payload 이미지 파일을 설치 해보겠습니다 

1. usb0에 이미지 파일을 복사하기 전에 불필요한 파일을 삭제합니다.

2. usb에 있는 이미지 파일을 복사 합니다.

3. 이미지 파일이 정상적으로 복사가 되었는지 무결성 검사를 합니다. 

1e3ab8c2357b33784373b626c190b907

4. install mode는 packages.conf 파일을 사용하기 때문에 설정값이 제대로 맞는지 다시 한번 확인합니다.

5. IOS를 업그레이드 합니다.

이미지 파일이 Standby SW에 복사를 시도 합니다. 그리고 IOS 업그레이드 시작합니다. 

6. 복사가 완료 되고 IOS 버전 업그레이드를 시작 합니다. 그리고 Y를 선택합니다. 

시간이 꽤 걸립니다. 인내심을 가지고 기다립니다. 

7. 부팅이 완료 되면 로그인을 합니다. 그리고 패키지를 확인합니다. 

8. show version으로 버전을 확인합니다. 

9.불필요한 파일들을 삭제합니다. 

10. 그리고 저장 합니다. 

정상적으로 17.12.04 IOS 업그레이드가 완료 되었습니다.

지금까지 글을 읽어주셔서 감사합니다.