안녕하세요.

 

오늘은 Cisco ASA Remote Acess VPN에 대해서 알아보겠습니다.

CLI 기준입니다.

 

1.  Secure Client를 다운로드 받습니다. pkg 확장자입니다. 

 

https://software.cisco.com/download/home/286330811/type/282364313/release/5.1.7.80

 

 

2. 다운로드 파일을 TFTP 폴더에 복사 합니다.

 

3. 이 파일을 cisco ASA에 업로드 합니다. 

ASAv# copy tftp flash                     

Address or name of remote host []? 192.168.10.102

Source filename []? cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg

Destination filename [cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg]? 

Accessing tftp://192.168.10.102/cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg...!!!

ASAv# dir flash:

Directory of disk0:/

7      -rwx  0            11:39:22 May 21 2017  use_ttyS0
11     drwx  4096         03:12:34 Feb 02 2025  smart-log
8      drwx  4096         03:10:50 Feb 02 2025  log
12     drwx  4096         03:12:40 Feb 02 2025  coredumpinfo
84     -rwx  204561552    07:24:47 Feb 02 2025  asdm-openjre-7221.bin
85     -rwx  154655608    08:11:13 Feb 02 2025  cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg

8571076608 bytes total (8190124032 bytes free)

ASAv# 

 

 

4. Cisco Remote Access VPN 설정값입니다. 


4-1 Secure Client를 통해서 User가 ASA VPN에 연결 되면 IP주소는 192.168.200.100~ 192.168.200.200 사이에 IP주소를 할당 받습니다.

4-2 SPLIT_TUNNEL 10.1.1.0/24 대역 통신 할때는 VPN에 접속 합니다. 

4-3 SSL_USER 계정은 VPN용으로만 사용 가능 합니다. 

 

아래 처럼 그냥 COPY and PASTE하면 cisco ASA Remote Access VPN이 동작 합니다. 

webvpn
anyconnect image flash:/cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg
enable outside
anyconnect enable
http redirect OUTSIDE 80
ip local pool VPN_POOL 192.168.200.100-192.168.200.200 mask 255.255.255.0
access-list SPLIT_TUNNEL standard permit 10.1.1.0 255.255.255.0
access-list SPLIT_TUNNEL standard permit 10.10.10.0 255.255.255.0

group-policy ANYCONNECT_POLICY internal
group-policy ANYCONNECT_POLICY attributes
vpn-tunnel-protocol ssl-client ssl-clientless 
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUNNEL
dns-server value 8.8.8.8
webvpn
anyconnect keep-installer installed
anyconnect ask none default anyconnect
anyconnect dpd-interval client 30
exit

tunnel-group MY_TUNNEL type remote-access 
tunnel-group MY_TUNNEL general-attributes 
default-group-policy ANYCONNECT_POLICY
address-pool VPN_POOL
exit

tunnel-group MY_TUNNEL webvpn-attributes 
group-alias SSL_USERS enable

webvpn
tunnel-group-list enable 

username SSL_USER password XXXXXXX

username SSL_USER attributes
service-type remote-access 

 

5. https://192.168.10.78 접속 합니다

ASAv# show nameif
Interface                Name                     Security
GigabitEthernet0/0       outside                    0
GigabitEthernet0/1       inside                   100
Management0/0            MGMT                       0
ASAv# show int
ASAv# show interface ip brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.78   YES manual up                    up  
GigabitEthernet0/1         10.1.1.254      YES manual up                    up  
GigabitEthernet0/2         unassigned      YES unset  administratively down down
GigabitEthernet0/3         unassigned      YES unset  administratively down down
GigabitEthernet0/4         unassigned      YES unset  administratively down down
GigabitEthernet0/5         unassigned      YES unset  administratively down down
GigabitEthernet0/6         unassigned      YES unset  administratively down down
Management0/0              192.168.100.250 YES manual up                    up  
ASAv# 

 

 

 

6. Download가 완료되면 설치 합니다. 설치 과정은 생략 하겠습니다. 

 

7. 설치가 완료되면  Cisco Secure Client를 실행해서 접속 합니다.

 

 

Connect Anyway를 클릭 합니다. 

 

만약에 아래처럼 실행 오류가 나면 아래처럼 추가적으로 설정이 필요합니다. 

 

ASDM 에 접속해서 아래처럼 접속합니다.

Remote-Access VPN -> Network Client Access -> Secure Client Profile -> Add

 

 

 

아래처럼 LocalUserOnly -> AllowRemoteUser로 수정 합니다.

 

다시 접속을 시도 합니다.

 

정상적으로 접속 되었습니다. 

 

Remote Access User가 VPN통해서 내부에 있는 자원에 통신 할려고 방화벽 정책이 필요 합니다. 

 

G0/0 outside - ACL name - outsideacl

G0/1 inside - ACL name - insideacl

G0/2 DMZ - ACL name -dmzacl

ASAv# show interface ip  brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.78   YES manual up                    up  
GigabitEthernet0/1         10.1.1.254      YES manual up                    up  
GigabitEthernet0/2         10.10.10.254    YES manual up                    up  
GigabitEthernet0/3         unassigned      YES unset  administratively down down
GigabitEthernet0/4         unassigned      YES unset  administratively down down
GigabitEthernet0/5         unassigned      YES unset  administratively down down
GigabitEthernet0/6         unassigned      YES unset  administratively down down
Management0/0              192.168.100.250 YES manual up                    up  
ASAv# 


SW 설정

interface GigabitEthernet0/1
 no switchport
 ip address 10.10.10.10 255.255.255.0
 negotiation auto
ip route 0.0.0.0 0.0.0.0 10.10.10.254

 

방화벽 정책 설정

ASAv(config)# access-list outsideacl extended permit ip 192.168.200.0 255.255.255.0 10.10.10.0 255.255.255.0
ASAv(config)# access-group outsideacl in interface outside

 

Secure Client 접속후 Ping 10.10.10.10 하면 아래처럼 성공 합니다. 

 

ASAv# show access-list 
access-list cached ACL log flows: total 1, denied 1 (deny-flow-max 4096)
            alert-interval 300
access-list SPLIT_TUNNEL; 2 elements; name hash: 0x63aa8f22
access-list SPLIT_TUNNEL line 1 standard permit 10.1.1.0 255.255.255.0 (hitcnt=0) 0x96d75e6a 
access-list SPLIT_TUNNEL line 2 standard permit 10.10.10.0 255.255.255.0 (hitcnt=0) 0x23138585 
access-list outsideacl; 1 elements; name hash: 0x945119d1
access-list outsideacl line 1 extended permit ip 192.168.200.0 255.255.255.0 10.10.10.0 255.255.255.0 (hitcnt=1) 0xb46d0730 
ASAv# 

 

만약에 Remote Access VPN USER들은 outbound access-list 없이 그냥 BYpass하고 싶으면 아래 명령어를 입력합니다.

ASA1(config)# sysopt connection permit-vpn

 

지금까지 [ASA #04] - Remote Access VPN 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #03] - ASDM Install  (0) 2025.02.02
[ASA #02] - TFTP Install  (0) 2025.02.02
[ASA #01] - Basic Config  (0) 2025.02.02

안녕하세요.

 

오늘은 ASA에 ASDM file를 업로드 하고 PC에 ASDM 프로그램을 설치해보겠습니다.

 

1. 현재 asa에서 version를 확인 합니다.

ASAv# show version 

Cisco Adaptive Security Appliance Software Version 9.8(1) 
Firepower Extensible Operating System Version 2.2(1.47)
Device Manager Version 7.8(1)

Compiled on Wed 10-May-17 15:38 PDT by builders
System image file is "boot:/asa981-smp-k8.bin"
Config file at boot was "startup-config"

ASAv up 53 mins 52 secs

Hardware:   ASAv, 2048 MB RAM, CPU Xeon E5 series 2394 MHz,
Model Id:   ASAv10
Internal ATA Compact Flash, 8192MB
Slot 1: ATA Compact Flash, 8192MB
BIOS Flash Firmware Hub @ 0x0, 0KB

 

9.8 버전을 사용중에 있습니다.

 

2. ASDM 사용하기 위해서는 ASA에 ASDM file이 Flash메모리에 저장되어야 합니다.

 

3. TFTP 설치 합니다. 이전 글에서 설치 하였습니다. 이번글에서는 설치 과정은 생략 합니다.

https://itblog-kr.tistory.com/185

 

[ASA #02] - TFTP Install

안녕하세요.  ASDM를 설치 하기 위해서는 ASDM 파일에 cisco ASA flash 저장 되어져 있어야 합니다.  TFTP통해서 asdm파일을 cisco asa에 업로드 해보겠습니다. 이번에는 TFTP 설치에 대해서 알아보겠습니

itblog-kr.tistory.com

 

4. C드라이브에 TFTP폴더를 만들고 ASDM 파일을 복사합니다.

5. TFTP를 실행합니다. 

그리고 폴더 위치랑 IP주소를 수정 합니다. 

 

6. 아래처럼 tftp서버 IP랑 asdm 파일 이름을 입력해서 asdm를 cisco asa 업로드 합니다. 

ASAv# copy tftp: flash:              

Address or name of remote host []? 192.168.10.102

Source filename []? asdm-openjre-7221.bin

Destination filename [asdm-openjre-7221.bin]? 

Accessing tftp://192.168.10.102/asdm-openjre-7221.bin...!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/asdm-openjre-7221.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-openjre-7221.bin...

204561552 bytes copied in 628.840 secs (325734 bytes/sec)
ASAv# 

 

 

7. dir flash:를 통해서 asdm 이미지 파일을 확인 합니다.

ASAv# dir flash:

Directory of disk0:/

7      -rwx  0            11:39:22 May 21 2017  use_ttyS0
11     drwx  4096         03:12:34 Feb 02 2025  smart-log
8      drwx  4096         03:10:50 Feb 02 2025  log
12     drwx  4096         03:12:40 Feb 02 2025  coredumpinfo
84     -rwx  204561552    07:24:47 Feb 02 2025  asdm-openjre-7221.bin

 

8. ASDM를 사용하기 위해서 아래처럼 설정 합니다.

ASAv# conf t
ASAv(config)# asdm image disk0:/asdm-openjre-7221.bin
ASAv(config)# http server enable 
ASAv(config)# http 0.0.0.0 0.0.0.0 inside
ASAv(config)# username kevin password XXXXXXX privilege 15
ASAv(config)# 

 

9. inside interface는 Gi0/1이고 IP주소는 10.1.1.254입니다. 

ASAv# show int ip brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.78   YES manual up                    up  
GigabitEthernet0/1         10.1.1.254      YES manual up                    up  
GigabitEthernet0/2         unassigned      YES unset  administratively down down
GigabitEthernet0/3         unassigned      YES unset  administratively down down
GigabitEthernet0/4         unassigned      YES unset  administratively down down
GigabitEthernet0/5         unassigned      YES unset  administratively down down
GigabitEthernet0/6         unassigned      YES unset  administratively down down
Management0/0              192.168.100.250 YES manual up                    up  
ASAv# 

ASAv# show nameif
Interface                Name                     Security
GigabitEthernet0/0       outside                    0
GigabitEthernet0/1       inside                   100
Management0/0            MGMT                       0
ASAv# 

 

아래처럼 접속을 시도 합니다. 그리고 Install ASDM Launcher를 클릭 합니다. 

 

로그인을 합니다. 

 

로그인이 성공하면 아래처럼 파일이 다운로드 됩니다.

 

10. 실행해서 설치 합니다. Next를 클릭 합니다. 

 

11. Next를 클릭 합니다.

 

12. Install클릭 합니다.

 

설치가 진행 됩니다.

 

 

13. ASDM이 설치가 완료 되었습니다. 바탕화면에 ASDM 아이콘이 생성 되었습니다.

 

14. 실행 했을때 아래처럼 에러 메시지가 발생하면 추가적으로 수정이 필요합니다.

 

경로값이를 아래처럼 수정 합니다.

C:\Windows\System32\wscript.exe invisible.vbs run.bat

 

접속을 시도 합니다. 

 

100% 완료 될때까지 기다립니다. 

 

접속이 완료 되었습니다. 

 

 

지금까지 [ASA #03] - ASDM Install 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #04] - Remote Access VPN  (0) 2025.02.02
[ASA #02] - TFTP Install  (0) 2025.02.02
[ASA #01] - Basic Config  (0) 2025.02.02

안녕하세요. 

 

ASDM를 설치 하기 위해서는 ASDM 파일에 cisco ASA flash 저장 되어져 있어야 합니다. 

 

TFTP통해서 asdm파일을 cisco asa에 업로드 해보겠습니다.

 

이번에는 TFTP 설치에 대해서 알아보겠습니다.

가장 많이 쓰는 Free TFTP 프로그램은 

 

 

 

아래 링크를 통해서 다운로드 받습니다. 

https://pjo2.github.io/tftpd64/

 

TFTPD64 : an opensource IPv6 ready TFTP server/service for windows : TFTP server

Tftpd64 The industry standardTFTP server Tftpd64 is a free, lightweight, opensource IPv6 ready application which includes DHCP, TFTP, DNS, SNTP and Syslog servers as well as a TFTP client. The TFTP client and server are fully compatible with TFTP option su

pjo2.github.io

 

2. Download Page를 클릭 합니다. 

3. TFTPD64-4.64-setup.exe 파일을 클릭 합니다. 

 

4. 파일을 클릭 해서 실행 합니다. 

 

5. I agree를 클릭 합니다. 

 

6. Next버튼을 클릭 합니다.  

 

7. Install 버튼을 클릭 합니다.

 

8. Close버튼을 클릭 합니다. 

 

지금까지 [ASA #02] - TFTP Install 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #04] - Remote Access VPN  (0) 2025.02.02
[ASA #03] - ASDM Install  (0) 2025.02.02
[ASA #01] - Basic Config  (0) 2025.02.02

안녕하세요.


이번에 고객사에서 사용중인 ASA Firewall를 FTD로 Migration를 해야하는데 CISCO ASA 방화벽을 너무 오랜간만에 다시 다루게 되어서 ASA Anyconnect - Remote Access VPN에 대해서 공부해 보겠습니다.

 

EVE-NG에서 아래처럼 구성도를 만들었습니다.

 

EVE-NG ASA 설치 과정은 아래 글을 확인 부탁드립니다.

https://itblog-kr.tistory.com/19#google_vignette

 

[2024][EVE-NG #9] ASAv 방화벽 설치하기

안녕하세요.  오늘은 [2024][EVE-NG #9] ASAv 방화벽 설치하기입니다.  1. 공식적인 사이트 링크는 아래와 같습니다. https://www.eve-ng.net/index.php/documentation/howtos/howto-add-cisco-asav/ Cisco ASAv -Versions this gui

itblog-kr.tistory.com

 

 

1. EVE-NG에서 토폴로지를 아래와 같이 만듭니다.

2. 기본설정을 합니다.

E0/0 - zone - outside - ip 192.168.10.77/24

E0/1 - zone - inside - ip 10.1.1.1/24

 

GW: 192.168.10.253 

 

ciscoasa# conf t
ciscoasa#  hostname asa
ASA#
ASA(config)# int e0
ASA(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA(config-if)# ip add 192.168.10.77 255.255.255.0
ASA(config-if)# no sh
ASA(config)# int e1 
ASA(config-if)# nameif inside
ASA(config-if)# ip add 10.1.1.254 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# 

ASA(config)# route outside 0.0.0.0 0.0.0.0 192.168.10.253
ASA(config)# 

 

Nameif 확인

ASAv# show nameif
Interface                Name                     Security
GigabitEthernet0/0       outside                    0
GigabitEthernet0/1       inside                   100
ASAv# 

 

Interface 확인

ASAv# show interface ip brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.78   YES manual up                    up  
GigabitEthernet0/1         10.1.1.254      YES manual up                    up  
GigabitEthernet0/2         unassigned      YES unset  administratively down down
GigabitEthernet0/3         unassigned      YES unset  administratively down down
GigabitEthernet0/4         unassigned      YES unset  administratively down down
GigabitEthernet0/5         unassigned      YES unset  administratively down down
GigabitEthernet0/6         unassigned      YES unset  administratively down down
Management0/0              unassigned      YES unset  administratively down up  
ASAv# 

 

Default Gateway 확인

ASAv# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 192.168.10.253 to network 0.0.0.0

S*       0.0.0.0 0.0.0.0 [1/0] via 192.168.10.253, outside
C        10.1.1.0 255.255.255.0 is directly connected, inside
L        10.1.1.254 255.255.255.255 is directly connected, inside
C        192.168.10.0 255.255.255.0 is directly connected, outside
L        192.168.10.78 255.255.255.255 is directly connected, outside

 

2. PC에서 Ping 192.168.10.77 

 

지금 까지 [ASA #01] - Basic Config 대해서 알아보았습니다. 

 

다음글은 ASDM를 설치해서  cisco ASA 접속해보겠습니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #04] - Remote Access VPN  (0) 2025.02.02
[ASA #03] - ASDM Install  (0) 2025.02.02
[ASA #02] - TFTP Install  (0) 2025.02.02

안녕하세요. 

 

오늘은 wifi 패스워드를 cmd창에서 확인 하는 방법에 대해서 알아보겠습니다.

 

1. CMD를 실행합니다.

2. 아래처럼 SSID 확인 가능 합니다. 

C:\Users\USER>netsh wlan show profile

Wi-Fi 인터페이스의 프로필:

그룹 정책 프로필(읽기 전용)
---------------------------------
    <없음>

사용자 프로필
-------------
    모든 사용자 프로필 : Pham Mang
    모든 사용자 프로필 : 31994
    모든 사용자 프로필 : testtest
    모든 사용자 프로필 : TP-Link_Extender
    모든 사용자 프로필 : AirportWiFi(Free FAST)
    모든 사용자 프로필 : AirportWiFi(2.4G SLOW)
    모든 사용자 프로필 : SO070VOIP2EC9
    모든 사용자 프로필 : SO070VOIP2EC9_EXT
    모든 사용자 프로필 : #WiFi@Changi


C:\Users\USER>

 

저는 31994라는 SSID를 사용 중에 있습니다. 

 

2.

C:\Users\USER>netsh wlan show profile name="31994" key=clear

Wi-Fi 인터페이스의 31994 프로필:
=======================================================================

적용됨: 모든 사용자 프로필

프로필 정보
-------------------
    버전                : 1
    유형                   : 무선 LAN
    이름                   : 31994
    제어 옵션        :
        연결 모드    : 자동 연결
        네트워크 브로드캐스트: 이 네트워크가 브로드캐스트 중인 경우에만 연결
        자동 전환         : 다른 네트워크로 전환 안 함
        MAC 임의 지정  : 사용 안 함

연결 설정
---------------------
    SSID 개수        : 1
    SSID 이름              : "31994"
    네트워크 종류           : 인프라
    Radio 유형             : [ 모든 무선 유형 ]
    공급업체 확장          : 없음

보안 설정
-----------------
    인증         : WPA2-개인
    암호                 : CCMP
    인증         : WPA2-개인
    암호                 : GCMP
    보안 키           : 있음
    키 콘텐츠            : YYXXXXX  --------------------> 패스워드를 확인 가능 합니다. 

비용 설정
-------------
    비용                   : 제한 없음
    정체됨              : 아니요
    데이터 제한에 근접: 아니요
    데이터 제한 초과        : 아니요
    로밍                : 아니요
    비용 출처            : 기본값


C:\Users\USER>

 

지금까지 [IT TECH TIP-#2] - 접속된 WIFI 패스워드 확인 - cmd 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'IT TECH TIP' 카테고리의 다른 글

Fortinet 파트너 등록 정보  (0) 2025.04.18
[C9300] - 장비 공부  (0) 2025.04.18
[C4506-E] - 장비 공부  (2) 2025.04.18
[IT TECH TIP-#1] - 접속된 WIFI 패스워드 확인 - 윈도우11  (0) 2025.02.01
와이어바알리(wirebarlery), 한국에서 해외로 저렴하게 송금하기(수수료 무료)  (0) 2020.11.28

안녕하세요. 

 

오늘은 현재 접속된 WIFI 패스워드를 확인 하는 방법에 대해서 알아보겠습니다.

오랜전에 WIFI를 접속 후 현재 패스워드를 까먹엇을때 유용하게 사용 가능 합니다.

 

1. WIFI 아이콘에서 오른쪽 마우스를 클릭후 네트워크 및 인터넷 설정을 클릭 합니다. 

 

2. Wi-Fi를 클릭 합니다. 

 

3. 속성을 클릭 합니다. 

 

4. 고급 Wi-Fi 네트워크 속성을 클릭 합니다. 

 

6. 보안 탭을 클릭후 문자 표시를 선택하면 WIFI 패스워드를 확인 가능 합니다. 

 

지금까지 [IT TECH TIP-#1] - 접속된 WIFI 패스워드 확인 - 윈도우11 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'IT TECH TIP' 카테고리의 다른 글

Fortinet 파트너 등록 정보  (0) 2025.04.18
[C9300] - 장비 공부  (0) 2025.04.18
[C4506-E] - 장비 공부  (2) 2025.04.18
[IT TECH TIP-#2] - 접속된 WIFI 패스워드 확인 - cmd  (0) 2025.02.01
와이어바알리(wirebarlery), 한국에서 해외로 저렴하게 송금하기(수수료 무료)  (0) 2020.11.28

안녕하세요. 

 

오늘은 Global Protect Protal list를 Batch File를 이용해서 설치 하는 방법에 대해서 알아보겠습니다.

 

아래 처럼 User가 GP를 실행했을때 List가 총 4개가 나오게 Batch 파일을 만들어보겠습니다.

192.168.1.2

192.168.1.3

192.168.2.2

192.168.2.3

 

윈도우10에서 테스트 하였습니다.

 

1. 윈도우 10에서 메모장을 열고 아래 설정값을 복사합니다.

Windows Registry Editor Version 5.00

; @ECHO OFF
; CLS
; REGEDIT.EXE /S "%~f0"
; EXIT

[HKEY_CURRENT_USER\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings\192.168.1.2]
[HKEY_CURRENT_USER\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings\192.168.1.3]
[HKEY_CURRENT_USER\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings\192.168.2.2]
[HKEY_CURRENT_USER\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings\192.168.2.3]

 

2. 그리고 GP_BATCH 이름 정하고 확장자를 .bat로 저장합니다

 

3. 테스트를 위해서 기존에 있는 GP Portal List를 삭제합니다. 

 

윈도우 + R

 

Portal list를 삭제합니다.

 

그리고 다시 Registry값을 보면 아래처럼 삭제 되었습니다.


4. Batch 파일을 통해서 GP Portal List를 추가하기 위해서 Batch File를 administrator 권환으로 실행 합니다. 

 

그리고 Registor값을 확인해보면 Portal List가 추가되었습니다.

** 위에 Na NA폴더는 삭제 합니다. ** 삭제하지 않으면 제대로 동작하지 않습니다. 

 

하지만 GP List에 보면 아래처럼 Portal List가 없습니다. 

 

** GP를 재실행 합니다. **

** GP를 재실행 할수 있는 권환이 옵션이 없으면 PC를 재부팅 합니다. **

 

5. 재부팅이 완료 되면 아래 사진처럼 4개에 globlal protect Portal List가 보입니다.

 

만약에 User가 100이라고 가정해보겠습니다.

 

AD Join이 된 PC라면, GPO를 통해서 유저가 AD계정으로 로그인 할때 위에 Batch file를 자동 실행하게 해서 Global Protect portal list를 추가 할수 있습니다. 하지만 유저가 PC를 재부팅해야지 추가된 portal list가 보입니다.

 

AD 사용 하지 않는 User라면 Email를 통해서 Batch File를 전달해서 유저들이 Batch를 클릭해서 설정하게 하고 재부팅 하게 합니다. 

 

지금까지 [PaloAlto FW-#19] - GlobalProtect Portal list install - Batch File 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#18] - Service Route  (0) 2025.02.01
[PaloAlto FW-#17] - mib browser - BGP UP/DOWN  (1) 2025.02.01
[PaloAlto FW-#16] - SNMP  (1) 2025.01.18
[PaloAlto FW-#15] - log forward to kiwi syslog  (0) 2025.01.18
[PaloAlto FW-#14] - Kiwi Syslog install  (0) 2025.01.18

안녕하세요.

 

오늘은 PaloAlto Service Route에 대해서 알아보겠습니다.

 

PaloAlto는 Service관련 Traffic에 대해서는 어떤 인테페이스를 Source로 해서 통신 할 것인지 정의 할수 있습니다.

 

Default로는 MGMT를 사용 합니다. 일반 Data InterFace를 사용 하기 위해서는 수정이 필요 합니다. 

 

1. Device -> Setup -> Services -> Servoces Features에서 Service Route Configuration를 클릭 합니다. 

 

2. 아래처럼 디폴트값은 MGMT 입니다. 

 

실제 장비 사진을 보시면 위에 MGMT - OUT OF BAND를 통해서 Service 과련 Traffic를 Source IP로 선택해서 통신 합니다.

 

Customeize를 선택하면 팔로알토에서 제공하는 Pre-defined 된 Service들에 해서 Source Interface와 IP를 선택 가능 합니다. 

 

제약 사항.

** Backup Interface를 선택 할수 없습니다. **

 

만약에 Pre-Defined에 없는 Service들은  Destination를 통해서 설정 가능 합니다. 

아래처럼 설정하면 Pre-Defined에 없는 Service Traffic은 Destination에 Match되면 이 소스로 IP로 해서 통신 합니다. 

 

** 중요 **

이 Destination은 특정 IP에 대해서는 이 Source Interface랑 IP를 사용해라가 아닙니다.

 

예를 들어

Active Directory 01 IP 1.1.1.1

Active Directory 02 IP 2.2.2.2

 

에서 PaloAlto에서 1.1.1.1 Source IP를 192.168.10.1

2.2.2.2에 대해서는 Source IP를 192.168.20.1 선택 하고 싶습니다. 그래서 Destination에 위와 같이 설정해도 원했던것처럼 동작하지 않습니다.

 

Destination 1.1.1.1 source interface e1/1 ip 192.168.10.1

Destination 2.2.2.2 source interface e1/2 ip 192.168.20.1

 

Priority 

1. Pre-Defined이 첫번째로 적용 됩니다.

2. Destination은 Pre-Defined에 없는 Service들을 적용 할때 사용 됩니다.  용도가 다릅니다.

 

공식 팔로알토 문서

https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-web-interface-help/device/device-setup-services/destination-service-route

 

Destination Service Route

 

docs.paloaltonetworks.com

 

You can use a destination service route to add a customized redirection of a service that is not supported on the Customize list of services.  A destination service route is a way to set up routing to override the forwarding information base (FIB) route table. Any settings in the Destination service routes override the route table entries. They could be related or unrelated to any service.

 

지금까지 [PaloAlto FW-#18] - Service Route 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#19] - GlobalProtect Portal list install - Batch File  (0) 2025.02.01
[PaloAlto FW-#17] - mib browser - BGP UP/DOWN  (1) 2025.02.01
[PaloAlto FW-#16] - SNMP  (1) 2025.01.18
[PaloAlto FW-#15] - log forward to kiwi syslog  (0) 2025.01.18
[PaloAlto FW-#14] - Kiwi Syslog install  (0) 2025.01.18

안녕하세요.

 

오늘은 mib browser에 대해서 알아보겠습니다. 

 

mib browser를 이용하면 쉽게 oid값을 찾아 낼수 있습니다. 

 

google에서 mib browser를 검색하면 무료로 사용 할수 있는 mib browser가 많이 있습니다. 

 

1. 저는 ireasoning.com에서 제공하는 mib browser를 설치 하겠습니다.

 

https://www.ireasoning.com/mibbrowser.shtml

 

 

MIB browser

SNMP MIB Browser for engineers to manage SNMP enabled network devices and applications.

www.ireasoning.com

 

2. Download Now버튼을 클릭 합니다. 

 

3. 아래처럼 사용중인 OS에 맞게 다운로드 합니다. 

 

4. setup를 클릭 해서 설치 합니다. 설치 과정은 생략 하겠습니다. 

 

5. 위에 사진에서 mib browser를 클릭 합니다

 

6. Paloalto에서 mib 파일을 다운로드 받습니다.

https://docs.paloaltonetworks.com/resources/snmp-mib-files

 

Enterprise SNMP MIB Files

Your Palo Alto Networks firewall supports standard networking SNMP management information base (MIB) modules as well as proprietary Enterprise MIB modules, such as those listed below. You can configure an SNMP manager to get statistics from the firewall. F

docs.paloaltonetworks.com

 

7. 사용중인 버전을 클릭해서 다운로드 받습니다.

 

8. 압축을 풉니다. 

 

 

9. Mib Broswer를 통해서 위에 값을 불러 옵니다.

 

10. 아래 폴더에 접속합니다. 

 

11. BGP 관련 OID값을 찾아보겠습니다.

BGP가 UP되었을때 OID

 

BGP가 DOWN되었을때 OID

 

실제 이 OID값을 가지고 리눅스에서 팔로알토에 snmp 쿼리 해보겠습니다.

 

12. SNMP관련 Tool이 설치 된 리눅스에 접속 합니다.

 

 .1.3.6.1.4.1.25461.2.1.3.2.0.1531   --- BGP UP

 .1.3.6.1.4.1.25461.2.1.3.2.0.1532   -- BGP DOWN

 

kevin@kevin-virtual-machine:~$ sudo snmpwalk -v 2c -c ciscocisco 192.168.10.253  .1.3.6.1.4.1.25461.2.1.3.2.0.1531
[sudo] password for kevin:
iso.3.6.1.4.1.25461.2.1.3.2.0.1531 = No Such Object available on this agent at this OID


kevin@kevin-virtual-machine:~$ sudo snmpwalk -v 2c -c ciscocisco 192.168.10.253  .1.3.6.1.4.1.25461.2.1.3.2.0.1532
iso.3.6.1.4.1.25461.2.1.3.2.0.1532 = No Such Object available on this agent at this OID
kevin@kevin-virtual-machine:~$

 

팔로알토 장비가 PA220인데 이 BGP OID를 지원을 하지 않는거 같다. 

 

추후에 다른 PA장비에서 테스트를 진행해보겠습니다. 

 

지금까지 [PaloAlto FW-#17] - mib browser - BGP UP/DOWN 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#19] - GlobalProtect Portal list install - Batch File  (0) 2025.02.01
[PaloAlto FW-#18] - Service Route  (0) 2025.02.01
[PaloAlto FW-#16] - SNMP  (1) 2025.01.18
[PaloAlto FW-#15] - log forward to kiwi syslog  (0) 2025.01.18
[PaloAlto FW-#14] - Kiwi Syslog install  (0) 2025.01.18

안녕하세요.

 

오늘은 Fortigate ECMP에 대해서 알아보겠습니다.

 

1. ECMP - Equal Cost Multiple Path - 매카니즘에 대허서 Routing Table 경로가 같으면 Traffic를 Load-Balance 합니다. 

2. ECMP는 Policy Routing 이후에 ECMP 정책이 적용 됩니다.

3. ECMP가 적용되기 위해서는 Same Destination, Cost가 같아야 합니다. 

4. 포티넷은 총 255에 ECMP Table를 지원 합니다.

5. ECMP Load-Balance 종류

    5-1 Source-ip-based - it is defualt selection - A source ip는 WAN01선택, B Source IP는 WAN02선택 이렇게 소스 IP별로 로드밸런싱 합니다. 

    5-2 weight-based - session percentage 적용해서 WAN01 - 75% , WAN02는 -25% 선택 가능-  WAN01 - 100M, WAN02, 25M

 

   5-3 usage-based - WAN01에 ingress and egress thresholds를 설정하고 이 임계치가 넘어가면 WAN02로 전환

  모든트래픽이 WAN01으로 흐르고 있는 상황에서 5% 넘으면 다음세션부터는 WAN02가 처리. 

 

   5-4 source-dest-ip-based - 소스IP, 목적지IP를 조합해서 로드밸런싱 합니다. 

 

 

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#21]- DDNS - Dual WAN  (1) 2024.12.28
[Fortigate-#20]- DDNS - Single WAN  (0) 2024.12.28
[Fortigate-#19]- IP SLA  (0) 2024.12.28
[Fortigate-#18]- Explicit Proxy with UTM function  (0) 2024.12.23
[Fortigate-#17]- Explicit Proxy  (0) 2024.12.23

안녕하세요. 

 

오늘은 paloalto에서 SNMP v2를 설정하고 리눅스에서 snmp값을 검색해보겠습니다. 

 

1. Device -> Server Profiles -> SNMP Trap

그리고 Add버튼을 클릭 합니다. 

 

2. 아래처럼 설정 합니다. 

 

3. Device -> Setup -> Operations -> SNMP Setup

 

SNMP Setup을 클릭 합니다. 

 

4. 아래처럼 설정 합니다. 

 

5. 리눅스를 SSH접속 합니다.

 

아래처럼 입력하면 Linux에서 Paloalto SNMP값을 불러 올수 있습니다. 

kevin@kevin-virtual-machine:~$ sudo snmpwalk -v 2c -c ciscocisco 192.168.10.253
iso.3.6.1.2.1.1.1.0 = STRING: "Palo Alto Networks PA-220 series firewall"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.25461.2.3.38
iso.3.6.1.2.1.1.3.0 = Timeticks: (27183886) 3 days, 3:30:38.86
iso.3.6.1.2.1.1.4.0 = STRING: "Not Set"
iso.3.6.1.2.1.1.5.0 = STRING: "PA-220"
iso.3.6.1.2.1.1.6.0 = STRING: "Local"
iso.3.6.1.2.1.1.7.0 = INTEGER: 127
iso.3.6.1.2.1.1.8.0 = Timeticks: (2) 0:00:00.02
iso.3.6.1.2.1.2.1.0 = INTEGER: 27

 

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#18] - Service Route  (0) 2025.02.01
[PaloAlto FW-#17] - mib browser - BGP UP/DOWN  (1) 2025.02.01
[PaloAlto FW-#15] - log forward to kiwi syslog  (0) 2025.01.18
[PaloAlto FW-#14] - Kiwi Syslog install  (0) 2025.01.18
[PaloAlto FW-#13] - SNMP site-to-site vpn snmp  (0) 2025.01.17

안녕하세요.

 

오늘은 PALOALTO에서 BGP가 다운되었을때 Log를 KIWI syslog에 포워딩 해보겠습니다.

 

Paloalto syslog forwarding Source - > E1/1 192.168.10.253

KIWI syslog Server IP: 192.168.10.103

 

1. Device -> Setup -> Services -> Services Features

 

2. Devices -> Log Settings -> system 에서 Add버튼을 클릭 합니다. 

 

3. 저희는 BGP 관련 Status 상태 정보만 확인하고 Syslog에게 전달하기 위해서 Filter Builder를 클릭 합니다. 

 

4. 아래 처럼 입력 합니다. 

(eventid eq routed-BGP-peer-enter-established) or (eventid eq routed-BGP-peer-left-established)

 

뜻 BGP peer가 생성 되었을때 또는 BGP peer가 해제 되었을때는 SYSLOG에 LOG를 전달 합니다.

 

View Filtered Logs를 클릭해서 실제 로그가 제대로 검색 되는지 확인 합니다. 

 

5. 정상적으로 로그가 검색 되었습니다.

아래처럼 okay버튼을 클릭 합니다.

 

6. SYSLOG 서버 IP를 입력 합니다.

 

7. Click Syslog Profile

 

8. 아래처럼 입력 합니다. 

 

9. OK버튼을 클릭 합니다. 

 

10. Commit를 클릭 합니다.

 

 

TIP - Monitor -> Logs -> System에서 아래처럼 검색 가능 합니다. 

 

 

윈도우 PC에서 Syslog를 설정 합니다.

 

이제 실제로 테스트 해보겠습니다.

 

Paloalto에서 Down되어진 BGP를 UP를 시킵니다. 그리고 Commit를 실행 합니다. 

 

BGP에 UP이 되면 KIWI syslog에 LOG가 쌓이는지 확인 합니다.

 

첫번째 로그는 BGP가 UP되었을때

두번째 로그는 BGP가 DOWN되었을때 

 

정상적으로 동작 합니다. 

 

이런 방식으로 특정 LOG에 대해서 syslog에 전달해서 관리 가능 합니다. 

 

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#17] - mib browser - BGP UP/DOWN  (1) 2025.02.01
[PaloAlto FW-#16] - SNMP  (1) 2025.01.18
[PaloAlto FW-#14] - Kiwi Syslog install  (0) 2025.01.18
[PaloAlto FW-#13] - SNMP site-to-site vpn snmp  (0) 2025.01.17
[PaloAlto FW-#12]- Global Protect(Remote User) with 2FA cisco duo redundancy  (0) 2024.12.10

안녕하세요. 

 

오늘은 PALOALTO에서 log를 kiwi syslog에 전달하기 위해서 윈도우 PC에 kiwi syslog를 설치해보겠습니다.

 

PALOALTO syslog interface 192.168.10.254

Windows PC: 192.168.10.103

 

1. 공싱 홈페이지에 접속 합니다. 

https://www.solarwinds.com/free-tools/kiwi-free-syslog-server

 

FREE Kiwi Syslog Server Free Edition | SolarWinds

Whether you want to stay ahead with new tech, speed up modernization, support modular services, cut costs, or stay competitive, we’ve built industry-leading software to maximize hybrid IT, spark innovation, and tackle your toughest IT challenges.

www.solarwinds.com

 

 

위에처럼 Download Free Tool를 클릭 합니다.

 

2. 정보를 입력 하고 아래 Download 버튼을 클릭 합니다. 

 

3. 다운로드 폴더를 클릭 합니다. 

 

4. 아래 설치 파일을 클릭 합니다. 

 

5. 아래 Yes 버튼을 클릭 합니다. 

 

6. 아래 I agree 버튼을 클릭 합니다. 

 

7. Next버튼을 클릭 합니다.

 

8. 아래 Next버튼을 클릭 합니다. 

 

9. Next버튼을 클릭 합니다. 

 

10. Install 버튼을 클릭 합니다. 

 

11. 설치가 완료 될때까지 기다립니다. 

 

12. Finish 버튼을 클릭 합니다. 

13. 무료 버전은 아래처럼 Source 최대 5개까지 가능 합니다.

 

지금까지 [PaloAlto FW-#14] - Kiwi Syslog install 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#16] - SNMP  (1) 2025.01.18
[PaloAlto FW-#15] - log forward to kiwi syslog  (0) 2025.01.18
[PaloAlto FW-#13] - SNMP site-to-site vpn snmp  (0) 2025.01.17
[PaloAlto FW-#12]- Global Protect(Remote User) with 2FA cisco duo redundancy  (0) 2024.12.10
[PaloAlto FW-#11]- Global Protect(Remote User) with 2FA cisco duo  (1) 2024.12.10

안녕하세요. 

 

현재 Zabbix를 통해서 PaloAlto site-to-site vpn 모니터링 하기 위해서 여러가지 검색을 했지만. 

팔로알토는 site-to-site vpn snmp를 제공 하지 않는다고 공식적으로 팔로알토 페이지에서 확인 하였습니다.

 

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgnCAC

 

Monitoring VPN tunnel down events with SNMP

Monitoring VPN tunnel down events with SNMP 59156 Created On 09/25/18 19:54 PM - Last Modified 06/09/23 07:35 AM Symptom Symptoms Is there a way to generate SNMP traps or generate some type of notification if a VPN tunnel goes down?   Diagnosis A tunne

knowledgebase.paloaltonetworks.com

 

SYSLOG를 통해서 S2S VPN이 다운 되었다고 LOG를 확인 가능 합니다. 

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#15] - log forward to kiwi syslog  (0) 2025.01.18
[PaloAlto FW-#14] - Kiwi Syslog install  (0) 2025.01.18
[PaloAlto FW-#12]- Global Protect(Remote User) with 2FA cisco duo redundancy  (0) 2024.12.10
[PaloAlto FW-#11]- Global Protect(Remote User) with 2FA cisco duo  (1) 2024.12.10
[PaloAlto FW-#10]- Global Protect(Remote User) with Active Director redundancy  (0) 2024.12.10

 

PALOALTO랑 2FA를 설정할때 제약 사항. 

 

PALOALTO MGMT PORT또는 DATA PORT로 LDAP또는 RADIUS Packet를 전달 한다.

하지만 아래 사진 처럼 SOURCE INTERFACE를 한개만 설정 할수 있다. 

 

아래 같은 상황을 설정해 봅니다. 

 

내부에 서버가 있습니다.

 

ISP01 - 192.168.1.2 통해서 GP연결하는 유저는 Production server에 접속 함.

ISP01 - 192.168.1.3 통해서 GP연결하는 유저는 Test server에 접속 함. 

 

PRODUCTION SERVER - 192.168.150.100 - Active Directory and Cisco DUO

TEST SERVER - 192.168.151.100 - Active Directory and Cisco DUO

 

 

Production GP USER - Portal Authentication - AD

1. GP User - 192.168.1.2 접속

2. PA E1/3 LDAP Traffic 전달

   192.168.150.254 Source  -> LDAP 192.168.150.100   same L2

3. LDAP Server 인증 체크

4. 인증 리턴 패킷을 다시 192.168.150.100 Source -> 192.168.150.254 Destination 전달

5. PAloalto는 다시 유저에게 전달해서 Portal authentication 완료 됩니다. 

 

Cisco DUO authentication

 

1. RADIUS TRAFFIC 전달

    Source 192.168.150.254 -> Destination 192.168.150.100 

2. Cisco DUO Proxy -> Cisco DUO CLOUD 전달

    Source 192.168.150.100이 API를 통해서 Cisco DUO전달

3. Cisco DUO CLOUD에 User에 포함된 모바일폰 정보를 확인후 Push Notification 전달

 

지금까지는 LDAP and Radius Source Interface IP가 192.168.150.254 <->  192.168.150.100 LDAP and DUO서버랑 같은 L2 도메인 이라서 통신 되는데 문제가 없습니다.

 

*****  하지만 Test Server에 접속 할때는 상황이 다릅니다. ******

 

GP Portal IP - 192.168.1.3

LDAP02 and DUO02 - 192.168.151.100

PALOALTO Source LDAP and RADIUS IP - 192.168.150.254

 

1. GP User가 ISP01 192.168.1.3에 접속 합니다.

2. PA E1/3 192168.150.254를 Source해서 192.168.151.100으로 접속을 시도 합니다. 

하지만 실제 E1/4 192.168.151.254 <-> 192.168.151.100 같은 L2이기때문에, 패킷이 E1/3이 아니라 E1/4 전달 됩니다.

리턴 패킷도 E1/3이 아니라 E1/4로 받아서 AD 인증 cisco DUO 인증 모두 실패 합니다. 

 

라우팅을 변경 하면 해결 됩니다. 

1. PALOALTO에서 192.168.151.100/32를 E1/3를 통해서 Internet PA - E1/2 192.168.168.150으로 전달 합니다

2. INTNET PA입장에서는 192.168.151.1 <-> 192.168.151.100 같은 L2도메인이기때문에,  

    INTERNET PA  E1/3 192.168.151.1를 통해서 192.168.151.100 통신 합니다

3. 192.168.151.100 - AD02 DUO02는 Default Gateway가 192.168.151.1이고 AD02/DUO02는 패킷을 INTERNET PA로 전달 합니다. 

4.  INTERNET PA는 E1/3를 받아서 192.168.1.2 E1/2 전달합니다. 

5. GP PALOALTO는 E1/3 192.168.1.254로 AD2/DUO2패킷을 전달 받습니다.


이렇게 하면 이 문제가 해결 됩니다. 

 

GP PA1에서 단순히 Static Routing를 아래처럼 설정하면 됩니다.

192.168.151.0/24 - E1/4 연결 되었지만 아래처럼 192.168.151.100/32로 E1/3강제로 라우팅을 변경 가능합니다.

 

그 이유는 Longest Match Rule에 의해서 가능 합니다

 

Aysmetric 구조가 아니고 PA AD/DUO source interface로 패킷이 나가서 라우팅만 잘 되고 다시 그 인터페이스로 패킷을 전달 받으면 제대로 동작하는 것을 확인 하였습니다. 

저작자표시 (새창열림)

'CISCO > Cisco DUO' 카테고리의 다른 글

[Cisco DUO][#5]- 윈도우서버에서 로그인시 에러메시지 - Bad request timestamp 0 [40105]  (0) 2025.06.06
[Cisco DUO][#4]- synchronize active directory user to cisco duo cloud  (0) 2024.11.16
[Cisco DUO][#2]- Windows Server Login or RDP 2FA - Bypass function  (0) 2024.11.15
[Cisco DUO][#1]- Windows Server Login or RDP 2FA인증  (1) 2024.11.15

안녕하세요.

 

이번에는 windows 10 PC를 Active Directory에 Join하겠습니다.

 

토폴로지는 아래와 같습니다.

 

추후에 wire 802.1x를 설정하기 위해서는 PC가 Switch에 연결되어야 합니다. 

PC는 아래 구름을 통해서 VMware ESXi안에 있는 Windows Server통신 가능 합니다.

 

PC

IP: 192.168.10.169

Netmask: 255.255.255.0

GW: 192.168.10.253

DNS: 192.168.10.193

DNS: 8.8.8.8

 

AD Server IP: 192.168.10.253

Domain: test.local

 

1. Windows Server에서 windows 10에서 IP주소를 설정 합니다. 

 

2. ping test.local

 

 

3.

컴퓨터 이름을 수정합니다.

USERPC01

Domain: test.local

 

Active Directory 계정을 입력 합니다. 

 

4. OK버튼을 클릭 합니다. 

 

재부팅 합니다. 

 

5. 윈도우 서버에서 User를 생성 합니다.

user01 

 

AD user 계정으로 로그인중입니다. 

 

 

 

지금까지 [2025][CISCO ISE#39] - Windows 10 PC Active Directory Join 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#38] - Admin login with Active Directory  (1) 2025.01.14
[2025][CISCO ISE#37] - Admin Access - Settings Menu  (0) 2025.01.14
[2025][CISCO ISE#36] - Admin Access - Administrators Menu  (0) 2025.01.14
[2025][CISCO ISE#35] - Admin Access - Authorization Menu  (0) 2025.01.14
[2025][CISCO ISE#34] - Admin Access - Authentication Menu  (0) 2025.01.14

안녕하세요.

 

cisco ise 로그인 할때 Local Database를 이용해서 로그인 하였습니다 - Local User on cisco ise

 

이번에는 Active Directory에 User를 통해서 Cisco ISE 로그인 해보겠습니다.

 

Active Directory는 이전 강의에서 설명 하였습니다.

https://itblog-kr.tistory.com/133

 

[2025][CISCO ISE#7] - Active Directory install

안녕하세요. 이번에는 cisco ISE 실습을 위해서 Active Directory를 윈도우 서버에 설치해보겠습니다.Diagram 1. Add Roles and Features 클릭 합니다.  2. Next를 클릭 합니다.  3. next를 클릭 합니다.  4. Next를

itblog-kr.tistory.com

 

1. 윈도우서버에 접속해서 아래처럼 테스트를 위해서 그룹과 계정을 생성합니다.

 

AdminGroup - admin user

SupportGroup - support user

 

2. AD를 연동 합니다. 

 

 

 

 

정상적으로 등록 되었습니다.

 

이번에는 Active Direcotry에 있는 Group를 cisco ise에 불러오겠습니다.

 

아래처럼 AdminGroup과 SupportGroup를 선택하고 OK버튼을 클릭 합니다. 

 

3. Admin 로그인 할때 Local User가 아닌 Active Directory 선택합니다.

 

4. Group를 생성합니다.

AdminGroup

SupportGroup

 

위에 처럼 Admin Groups이 생성 되었습니다. 

 

5. Authorization -> Permissions -> RBAC Policy 클릭합니다

 

Action 버튼을 클릭후 Insert New Policy를 선택합니다.

 

 

Rule Name: AdminGroup-Policy

Admin Groups: AdminGroup 

Permissions: Super Admin Menu Access and Super Admin Data Acess

 

User가 AdminGroup에 속하면 권환을 Super Admin Menu랑 Super Admin Data를 부여하라는 뜻입니다.

 

 

Rule Name: SupportGroup-Policy

Admin Groups: SupportGroup

Permissions: HelpDesk Admin Menu and Read Only Admin Data

 

User가 SupportGroup에 속하면 권환을 Helpesk admin menu랑 Read Only Admin Data를 부여하라는 뜻입니다.

 

Save버튼을 클릭 합니다. 

 

 

6 . 이제 테스트를 합니다. 다른 브라우저를 열고 cisco ISE GUI 접속 합니다. 

 

 

로그인 가능하고 모든 메뉴를 볼수 있습니다. 

 

이번에는 support user를 로그인 합니다. 

 

 

Support유저는 제한된 메뉴만 볼수 있습니다. HelpDesk 유저이기 때문에

 

이번에는 테스트를 위해서 Admin 계정에서 AdminGroup를 제거 합니다.

 

그리고 다시 admin 계정으로 로그인 합니다

 

admin이 admingroup에 속하지 않기때문에, 로그인에 실패 하였습니다.

 

AD가 문제가 생겨서 로그인 못하면 옵션에서 Internal로 변경하고 기존에 있는 admin local user로 로그인 가능 합니다.

 

아래처럼 로그인 가능 합니다. 

 

다음 테스트를 위해서 Admin 계정에 다시 AdminGroup를 추가 합니다.

 

지금까지 [2025][CISCO ISE#38] - Admin login with Active Directory 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#39] - Windows 10 PC Active Directory Join  (0) 2025.01.14
[2025][CISCO ISE#37] - Admin Access - Settings Menu  (0) 2025.01.14
[2025][CISCO ISE#36] - Admin Access - Administrators Menu  (0) 2025.01.14
[2025][CISCO ISE#35] - Admin Access - Authorization Menu  (0) 2025.01.14
[2025][CISCO ISE#34] - Admin Access - Authentication Menu  (0) 2025.01.14

안녕하세요.

 

오늘은 Admin Access에서 Setting Menu에 대해서 알아보겠습니다.

 

1. Administration -> System -> Admin Access -> Settings  -> Access

 

배너 설정도 가능 합니다. 

GUI 동시 접속자수 설정 가능

CLI 동시 접속자수 설정 가능

 

IP access - 기본설정으로 모든 IP는 cisco ISE접속 가능

아래처럼 특정 IP만 cisco ise GUI/CLI 접속 가능 하게 설정 가능 

MnT Access 도 IP Access랑 똑같습니다. 

 

 

 

** Session Timeout **

Session이 Idel 일때 특정 시간이 되면 자동으로 Logout가능 하게 합니다.

 

현재 CISCO ISE접속한 유저들을 표시 합니다. 

 

 

지금까지 [2025][CISCO ISE#37] - Admin Access - Settings Menu 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#39] - Windows 10 PC Active Directory Join  (0) 2025.01.14
[2025][CISCO ISE#38] - Admin login with Active Directory  (1) 2025.01.14
[2025][CISCO ISE#36] - Admin Access - Administrators Menu  (0) 2025.01.14
[2025][CISCO ISE#35] - Admin Access - Authorization Menu  (0) 2025.01.14
[2025][CISCO ISE#34] - Admin Access - Authentication Menu  (0) 2025.01.14

안녕하세요. 

 

오늘은 Admin Access에서 Administrators Menu에 대해서 알아보겠습니다. 

 

1. Administration - System - Administrators - Admin Users

 

아래처럼 Administrators 계정을 관리 할 수 있습니다.

생성/삭제/수정 가능 합니다. 

 

유저들은 groups에 포함 되어야 합니다. 유저가 group에 포함되는 순간 group관련 정책들이 적용 됩니다. 

 

유저 생성

 

지금까지 [2025][CISCO ISE#36] - Admin Access - Administrators Menu 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#38] - Admin login with Active Directory  (1) 2025.01.14
[2025][CISCO ISE#37] - Admin Access - Settings Menu  (0) 2025.01.14
[2025][CISCO ISE#35] - Admin Access - Authorization Menu  (0) 2025.01.14
[2025][CISCO ISE#34] - Admin Access - Authentication Menu  (0) 2025.01.14
[2025][CISCO ISE#33] - Upgrade Version  (0) 2025.01.13

안녕하세요

 

오늘은 Admin Access에서 Authorization에 대해서 알아보겠습니다.

 

Administation -> System -> Admin Access -> Authorzation 

 

** Menu Access **

Navigational Visibility on ISE

어떤 메뉴를 유저(그룹)에 대해서 어떤 메뉴를 보여줄수 설정 가능 합니다. 

 

EX) 아랯럼 특정 메뉴를 Show 또는 Hide로 설정 가능 합니다. 

 

*** Data Access ***

Ability - Read/Access/Modify the identity data on cisco ise. Access관련 권환에 대해서 설정 가능 합니다. 

 

Permmission can be configured only for Admin groups, iser identity group, Endpoint identity group and network device groups.

 

1. Full Access

2. Read Only Access

3. No Access

 

 

 

** RBAC Policy **

 

RBAC stands for Role-based access control. which a user belongs can be configured to use the desired menu and data access policies 

 

지금까지 [2025][CISCO ISE#35] - Admin Access - Authorization Menu 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#37] - Admin Access - Settings Menu  (0) 2025.01.14
[2025][CISCO ISE#36] - Admin Access - Administrators Menu  (0) 2025.01.14
[2025][CISCO ISE#34] - Admin Access - Authentication Menu  (0) 2025.01.14
[2025][CISCO ISE#33] - Upgrade Version  (0) 2025.01.13
[2025][CISCO ISE#32] - Export/Import Certificate  (0) 2025.01.13

안녕하세요.

 

오늘은 Admin Access 에 대해서 알아보겠습니다.

 

1. 아래처럼 Admin Access 를 확인 할 수 있습니다. 

administration -> system -> Admin Access에서 아래처럼 Authentication에 대해서 알아보겠습니다. 

1. Authentication

 

** Authentication Mehtod **

Password Based 또는 Certificate Based 선택 가능 합니다.

 

그리고 Identity Source에서 

Internal - ISE local database 에서 인증

Active Directory - AD를 통해서 User인증 등을 선택 할 수 있습니다. 

 

*** Password Policy ***

 

Password를 생성할때 조건 사항들을 선택 할수 있습니다.

Passowrd 총 길이는 10개 이상 이어야 하고 대문자 숫자 특수 문자는 몇개를 포함하여야 특정 문자는 선택 할수 없고 등등을 정의 할 수 있습니다.

 

 

*** Account Disable Policy ***

계정이 특정 기간 동안 로그인 하지 않으면 그 계정을 Disable하는 기능 입니다.


EX) 10 days 정의하면 사용자가 10일동안 로그인 하지 않으면 이 계정을 Disable 합니다. 

 

 

*** Lock/Suspend Settings ***

로그인을 몇번 시도해서 틀렸을경우 몇분 동안 다시 로그인을 하지 못하게 정의 할 수 있습니다. 

 

위에 기본 설정에서 보시면,  패스워드를 3번 틀리면 15분 동안 다시 로그인 할 수 없게 합니다.

 

이유는 해킹툴로 패스워드를 임의에 수로 계속 로그인 하게 시도 할 수 있습니다. 위에 기능을 설정하면 보안상 좋습니다. 

 

지금까지 [2025][CISCO ISE#33] - Admin Access - Authentication Menu 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#36] - Admin Access - Administrators Menu  (0) 2025.01.14
[2025][CISCO ISE#35] - Admin Access - Authorization Menu  (0) 2025.01.14
[2025][CISCO ISE#33] - Upgrade Version  (0) 2025.01.13
[2025][CISCO ISE#32] - Export/Import Certificate  (0) 2025.01.13
[2025][CISCO ISE#31] - restore  (0) 2025.01.13

안녕하세요.

 

이번에는 cisco ise version upgrade하는 방법에 대해서 알아보겠습니다.

 

1. 현재 사용중인 cisco ise version를 확인 합니다.

 

2. cisco homepage 접속해서 Upgrade 버전을 확인 합니다.

아래 사지너럼 3.3 ise upgradebundle를 다운로드 받습니다. 

 

3. 그리고 FTP Repository에 다운로드한 파일을 업로드 합니다.

4. Configuration Backup, Operation Backup, Certificate Backup를 합니다. 

 

이제 cisco ISE upgrade할 준비가 완료 되었습니다.

1. Administration -> System -> Upgrade 

 

그리고 Split Upgrade 선택하고 Start Upgrade버튼을 클릭 합니다..

 

2. Upgrade 버튼을 클릭 합니다. 

 

 

Proceed 버튼을 클릭 합니다.

 

3. 아래 Check박스 선택하고 Continue버튼을 클릭 합니다.

 

4. 아래처럼 선택하고 Download 버튼을 클릭 합니다. 

 

5. FTP Repostory를 선택하고 Upgrade 파일을 선택하고 Confirm 버튼을 클릭 합니다. 

6. 그러면 cisco ise upgrade파일을 FTP repostory폴더로 부터 다운로드 합니다. 

7. 다운로드가 완료 되면 마지막으로 Upgrade버튼을 클릭 합니다. 

 

지금까지 [2025][CISCO ISE#33] - Upgrade Version 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#35] - Admin Access - Authorization Menu  (0) 2025.01.14
[2025][CISCO ISE#34] - Admin Access - Authentication Menu  (0) 2025.01.14
[2025][CISCO ISE#32] - Export/Import Certificate  (0) 2025.01.13
[2025][CISCO ISE#31] - restore  (0) 2025.01.13
[2025][CISCO ISE#30] - schedule backup  (0) 2025.01.13

안녕하세요.

 

오늘은 Cisco ISE certification export하는 방법에 대해서 알아보겠습니다.

 

Cisco ISE configuration backup 실행해도 Certificate은 Backup되지 않습니다.

수동으로 백업 해야합니다.

 

cisco ISE certificate은 다양하게 사용 됩니다. Web GUI, Web Portals, EAP, Pxgrid 등등. 

그래서 꼭 Certificate를 백업 해야 합니다. 설정값을 백업하고 Certificate를 백업하지 않으면 Cisco ISE 장비가 망가져서 RMA 또는 새로운 Cisco ISE설치 했을때 난감한 상황을 맞이 할 수 있습니다.

 

1. Self Signed Certificate

2. 3rd party signed Certificate 

 

Self Signed Certificate경우 -  Import Public Key of certificate under trusted certificates

3rd Party Signed Certificate경우 - Import Root and all other intermediate certificates of the certificate

 

1. 아래 페이지에 접속 합니다.

administrator - system - certificates - sytem certificates

 

ISE01-TEST-CERT를 Check하고 Export버튼을 클릭 합니다. 

 

아래처럼 설정 합니다.

 

아래처럼 파일이 다운로드 되었습니다. 

 

압축된 폴더를 클릭 하면, 아래처럼 Public Key랑 Private Key가 있습니다.

 

2번째는 Trusted Certifiate 항목에 있는 인증서를 백업 합니다.

 

1. Trsuted Crtificates 클릭

2. 저번에 windows CA서버랑 인증서 발급 했던  SERVER-CA-ROOT를 체크 하고 백업합니다. 

 

 

이렇게 Certificate 백업하면 됩니다. 

 

인증서 Import는 cisco ISE에 있는 Import버튼을 눌러서 인증서를 Import하면 됩니다. 이 부분은 생략 하겠습니다.

 

이번에는 CLI모드에서 인증서를 백업 해보겠습니다.

 

ISE01/admin#application configure ise

Selection configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[19]Establish Trust with controller
[20]Reset Context Visibility
[21]Synchronize Context Visibility With Database
[22]Generate Heap Dump
[23]Generate Thread Dump
[24]Force Backup Cancellation
[25]CleanUp ESR 5921 IOS Crash Info Files
[26]Recreate undotablespace
[27]Reset Upgrade Tables
[28]Recreate Temp tablespace
[29]Clear Sysaux tablespace
[30]Fetch SGA/PGA Memory usage
[31]Generate Self-Signed Admin Certificate
[32]View Certificates in NSSDB or CA_NSSDB
[0]Exit

 

7번 Export Internal CA store

7
Export Repository Name: FTP
Enter encryption-key for export:
15:33:28.552 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - Initializing Inprocess PAP
15:33:29.628 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - In PAP Facade initialize ...
15:33:29.629 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - Retrieving CEPM Location
15:33:29.639 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - Loading [ oracle ] Database Queries
15:33:29.640 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - QueryStore config file [ oracle.xml ]
15:33:29.700 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - Queries are loaded
15:33:29.700 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - Loading Pre-hook Handlers.....
15:33:29.700 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - Handler Definitions config file [ api_configuration.xml ]
15:33:29.720 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - Pre-hook Handlers are loaded
15:33:29.721 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - Handlers are loaded..
15:33:29.721 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - Initializing Connection Pool
15:33:29.723 [main] INFO  cohttp://m.cisco.epm.db.DatabaseConnectionFactory - Pool is going to be initialized with poolName as Default Domain
15:33:29.727 [main] INFO  cohttp://m.cisco.epm.db.DatabaseConnectionFactory - The Implementation Class for Connection Pooling is............... cohttp://m.cisco.epm.db.ApacheConnectionPool
15:33:29.727 [main] INFO  cohttp://m.cisco.epm.db.ConnectionPool - Initing the ConnectionPool with Properties
15:33:29.736 [main] INFO  cohttp://m.cisco.epm.db.DBApacheContextFactory - In DBApacheContextFactory Class
15:33:29.760 [main] INFO  cohttp://m.cisco.epm.db.DBApacheContextFactory - Starting the abandoned pool reaper thread
15:33:29.762 [AbandonedTransactionReaper] INFO  cohttp://m.cisco.epm.db.AbandonedTransactionReaper - In AbandonedTransactionReaper :  MaxActive : 200 CurrentActive : 0 MaxIdle : 200 MinIdle : 0 CurrentIdle : 0
15:33:29.780 [main] INFO  cohttp://m.cisco.epm.pap.api.services.persistance.dao.RepositoryDAO - In DAO listRepositoryDetails method
15:33:29.950 [main] INFO  cohttp://m.cisco.epm.db.DatabaseConnectionFactory - Factory contains this poolName Default Domain
15:33:29.950 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - Initializing Handlers
15:33:31.207 [main] INFO  cohttp://m.cisco.epm.pap.api.services.persistance.dao.EntitlementServerDAO - Checking isEntitlementServer Exist for EntitlementServer Name:  'PDPServer '
15:33:31.222 [main] INFO  cohttp://m.cisco.epm.pap.api.services.persistance.dao.ApplicationDAO - Getting  ApplicationType with name 'Default'  under application group name 'Global'
15:33:31.400 [main] WARN  cohttp://m.cisco.epm.pap.PAPFacade - Node roleType=[PRIMARY,TranportType=[null]
15:33:31.419 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - Inside confirmAndDemoteIfNotPrimary
15:33:31.419 [main] INFO  cohttp://m.cisco.epm.pap.api.services.persistance.dao.DistributionDAO - In DAO getRepository method for HostConfig Type: PAP
15:33:31.430 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - Now checking against secondary pap ISE02
15:33:31.431 [main] INFO  cohttp://m.cisco.epm.util.NodeCheckHelper -  inside getHostConfigRemoteServer
Security Protocol list Start
15:33:31.532 [main] INFO  cohttp://m.cisco.epm.ssl.SSLManagerFactory - DEFAULT SSL Protocol at returnTLSv1.2
15:33:31.533 [main] INFO  cohttp://m.cisco.epm.ssl.SSLManagerFactory - DEFAULT SSL Protocols List at return[TLSv1.2]
15:33:33.637 [main] INFO  cohttp://m.cisco.cpm.nsf.api.PasswordValidator - Integritycheck Openssl digest output from verification with Swims release key: Verified OK
15:33:33.638 [main] INFO  cohttp://m.cisco.cpm.nsf.api.PasswordValidator - Integritycheck Output: Verified signature of integritycheck program with Swims release key

15:34:13.804 [main] INFO  cohttp://m.cisco.cpm.nsf.api.PasswordValidator - Integritycheck Output: Verified signature of integritycheck.sums file with Swims release key
15:34:13.805 [main] INFO  cohttp://m.cisco.cpm.nsf.api.PasswordValidator - Integritycheck PASSED
Inside Session facade init
15:34:13.844 [main] INFO  cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProfileServiceImpl - inside isCloudDeployment function cloud URL http://169.254.169.254/latest/dynamic/instance-identity/document Requested method GET
15:34:13.844 [main] INFO  cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProfileServiceImpl - URI for cloud API call ================ URL: http://169.254.169.254/latest/dynamic/instance-identity/document , Request Method: GET
15:34:13.858 [main] ERROR cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProfileServiceImpl - ==========exception in getURLForHTTPConnection null
15:34:13.858 [main] INFO  cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProfileServiceImpl - inside isCloudDeployment function cloud URL http://169.254.169.254/metadata/instance?api-version=2021-01-01 Requested method GET
15:34:13.858 [main] INFO  cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProfileServiceImpl - URI for cloud API call ================ URL: http://169.254.169.254/metadata/instance?api-version=2021-01-01 , Request Method: GET
15:34:14.877 [main] ERROR cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProfileServiceImpl - ==========exception in getURLForHTTPConnection null
15:34:14.877 [main] INFO  cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProfileServiceImpl - inside isCloudDeployment function cloud URL http://169.254.169.254/opc/v1/instance/ Requested method GET
15:34:14.877 [main] INFO  cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProfileServiceImpl - URI for cloud API call ================ URL: http://169.254.169.254/opc/v1/instance/ , Request Method: GET
15:34:15.901 [main] ERROR cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProfileServiceImpl - ==========exception in getURLForHTTPConnection null
Old Memory Size : 16204356
15:34:15.919 [main] INFO  cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProperties - PlatformProperties whoami: root

15:34:16.129 [main] INFO  cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProperties - PlatformProperties{udiPid='ISE-VM-K9', udiVid='V01', udiSn='EFHGJBGCGFB', memorySizeKb=16204356, numberOfCpuCores=16, vmDiskSpace=}
15:34:16.133 [main] INFO  cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProfileServiceImpl - inside mapVmToProfile function cloud check valuesfalsefalsefalse
15:34:16.589 [main] INFO  cohttp://m.cisco.epm.pdp.PDPFacade - loadSystemProperties
In the init method of PDPFacade
15:34:16.685 [main] INFO  cohttp://m.cisco.epm.pdp.PDPFacade - In the init method of PDPFacade
15:34:16.698 [main] INFO  cohttp://m.cisco.epm.db.DatabaseConnectionFactory - Factory contains this poolName Default Domain
15:34:16.698 [main] INFO  cohttp://m.cisco.epm.pdp.PDPFacade - Started checking of Authetication
15:34:16.778 [main] INFO  cohttp://m.cisco.epm.pdp.AppPoliciesStatus - updating   AppName  PAP Application Group:PAP Application   Status    0
15:34:16.779 [main] INFO  cohttp://m.cisco.epm.pdp.AppPoliciesStatus - updating   AppName  Prime group:Prime portal   Status    0
15:34:16.779 [main] INFO  cohttp://m.cisco.epm.pdp.AppPoliciesStatus - updating   AppName  NAC Group:NAC   Status    0
15:34:16.783 [main] INFO  cohttp://m.cisco.epm.pdp.PDPFacade - Started to load Pip's....
15:34:16.957 [main] INFO  cohttp://m.cisco.epm.pip.db.DataBasePIPMetaData - DataBasePIPMetaData
15:34:16.964 [main] INFO  cohttp://m.cisco.epm.db.DatabaseConnectionFactory - PoolName is  Global:Entitlement Repository
15:34:16.964 [main] INFO  cohttp://m.cisco.epm.db.DatabaseConnectionFactory - Pool is going to be initialized with poolName as Global:Entitlement Repository
15:34:16.965 [main] INFO  cohttp://m.cisco.epm.db.ConnectionPool - Initing the ConnectionPool with Properties
15:34:16.965 [main] INFO  cohttp://m.cisco.epm.db.DBApacheContextFactory - In DBApacheContextFactory Class
15:34:16.966 [main] INFO  cohttp://m.cisco.epm.db.DBApacheContextFactory - Starting the abandoned pool reaper thread
15:34:16.967 [AbandonedTransactionReaper] INFO  cohttp://m.cisco.epm.db.AbandonedTransactionReaper - In AbandonedTransactionReaper :  MaxActive : 200 CurrentActive : 0 MaxIdle : 200 MinIdle : 0 CurrentIdle : 0
15:34:16.973 [main] INFO  cohttp://m.cisco.epm.pip.PipMetaDataFactory - Initialization of PIP's and Attributes is done
15:34:18.914 [main] INFO  cohttp://m.cisco.epm.pdp.PDPFacade - Pip's are loaded and started
15:34:18.915 [main] INFO  cohttp://m.cisco.epm.pdp.PDPFacade - Lodaing data into in memory
15:34:18.933 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - Inside confirmAndDemoteIfNotPrimary
15:34:18.934 [main] INFO  cohttp://m.cisco.epm.pap.api.services.persistance.dao.DistributionDAO - In DAO getRepository method for HostConfig Type: PAP
15:34:18.942 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - Now checking against secondary pap ISE02
15:34:18.942 [main] INFO  cohttp://m.cisco.epm.util.NodeCheckHelper -  inside getHostConfigRemoteServer
15:34:18.943 [main] WARN  cohttp://m.cisco.epm.util.NodeCheckHelper - Unable to retrieve the host config from standby pap java.lang.NullPointerException
15:34:18.943 [main] WARN  cohttp://m.cisco.epm.util.NodeCheckHelper - returning null from getHostConfigRemoteServer
15:34:18.943 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - remotePrimaryConfig.getNodeRoleStatus() NULL
15:34:18.943 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - remoteClusterInfo.getDeploymentName NULL
15:34:18.943 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - Ended checkAndDemoteIfNotPrimary
15:34:18.943 [main] INFO  cohttp://m.cisco.epm.db.DatabaseConnectionFactory - Factory contains this poolName Default Domain
15:34:18.955 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - In loadInMemoryData method
15:34:19.001 [main] INFO  cohttp://m.cisco.epm.pdp.PDPFacade - All Queries are loaded..
15:34:19.009 [main] WARN  cohttp://m.cisco.epm.pdp.PDPFacade - In PDPFacade=[false],transportType=[null]
15:34:19.010 [main] INFO  cohttp://m.cisco.epm.pdp.PDPFacade - Replication type=[null]
Time taken for NSFAdminServiceFactory to load5203
15:34:19.576 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Loaded Global users,groups,roles done
15:34:19.895 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Loaded Application group users,groups,roles,contexts[PAP Application Group] Done
15:34:20.298 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Loaded Application  users,groups,roles,contexts[PAP Application Group:PAP Application] Done
15:34:20.426 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Loaded Application group users,groups,roles,contexts[Prime group] Done
15:34:20.560 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Loaded Application  users,groups,roles,contexts[Prime group:Prime portal] Done
15:34:20.682 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Loaded Application group users,groups,roles,contexts[NAC Group] Done
15:34:21.517 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Loaded Application  users,groups,roles,contexts[NAC Group:NAC] Done
15:34:21.518 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Creating resources and assosiated policyies  intiated...
15:34:35.547 [main] ERROR cohttp://m.cisco.epm.edf2.internal.SessionConfig - Class not a DefaultEDFSession cohttp://m.cisco.cpm.edf2.sga.SgaEDFManager
15:34:36.072 [main] INFO  cohttp://m.cisco.epm.ssl.SSLManagerFactory - SSLManagerFactory initialized in Non-FIPS mode
15:34:36.072 [main] INFO  cohttp://m.cisco.epm.ssl.SSLManagerFactory - SSLManagerFactory initialized with TLSv1 and with SHA1.
15:34:36.072 [main] INFO  cohttp://m.cisco.epm.ssl.SSLManagerFactory - SSLManagerFactory initialized with TLSv1 and without SHA1.
15:34:36.073 [main] INFO  cohttp://m.cisco.epm.ssl.SSLManagerFactory - SSLManagerFactory initialized without TLSv1 and with SHA1.
15:34:36.073 [main] INFO  cohttp://m.cisco.epm.ssl.SSLManagerFactory - SSLManagerFactory initialized without TLSv1 and without SHA1.
15:34:36.620 [main] INFO  cohttp://m.cisco.epm.util.NodeCheckHelper - this is the host config returned ISE02
15:34:36.620 [main] INFO  cohttp://m.cisco.epm.util.NodeCheckHelper - this is the Cluster Info returned 94d90c20-d161-11ef-8dfa-024597b71001
15:34:36.628 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - remotePrimaryConfig.getNodeRoleStatus() SECONDARY
15:34:36.628 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - remoteClusterInfo.getDeploymentName ISEDeployment-i3RiE
15:34:36.629 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - Ended checkAndDemoteIfNotPrimary
15:34:36.635 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - Policy Administration Point started successfully
15:34:36.635 [main] INFO  cohttp://m.cisco.epm.pap.PAPFacade - PAPFacade Initialization Complete
15:34:36.640 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - Inside confirmAndDemoteIfNotPrimary
15:34:36.642 [main] INFO  cohttp://m.cisco.epm.pap.api.services.persistance.dao.DistributionDAO - In DAO getRepository method for HostConfig Type: PAP
15:34:36.665 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - Now checking against secondary pap ISE02
15:34:36.665 [main] INFO  cohttp://m.cisco.epm.util.NodeCheckHelper -  inside getHostConfigRemoteServer
15:34:36.929 [main] INFO  cohttp://m.cisco.epm.util.NodeCheckHelper - this is the host config returned ISE02
15:34:36.930 [main] INFO  cohttp://m.cisco.epm.util.NodeCheckHelper - this is the Cluster Info returned 94d90c20-d161-11ef-8dfa-024597b71001
15:34:36.930 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - remotePrimaryConfig.getNodeRoleStatus() SECONDARY
15:34:36.931 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - remoteClusterInfo.getDeploymentName ISEDeployment-i3RiE
15:34:36.931 [main] INFO  cohttp://m.cisco.epm.util.NodeCheck - Ended checkAndDemoteIfNotPrimary
15:34:43.714 [main] ERROR cohttp://m.cisco.cpm.prrt.impl.PrRTNotificationHandler - Cannot parse environment variable TRUSTSEC_CONFIG_DELAY/TRUSTSEC_CONFIG_DELAY_SINGLE.Probably not an application server.
15:34:43.715 [main] INFO  cohttp://m.cisco.cpm.prrt.impl.PrRTNotificationHandler - Timer for trustsec changes will not be scheduled, since window period is 0.
15:34:43.757 [main] INFO  cohttp://m.cisco.cpm.trustsec.notification.TrustsecNotificationHandler - Registering TrustsecNotification handler for HostConfig notifications
15:34:43.758 [main] INFO  cohttp://m.cisco.cpm.trustsec.notification.TrustsecNotificationHandler - Registered TrustsecNotification handler...
15:34:43.758 [main] INFO  cohttp://m.cisco.cpm.trustsec.notification.TrustsecNotificationHandler - Inside isStandaloneNode
15:34:43.761 [main] INFO  cohttp://m.cisco.cpm.trustsec.notification.TrustsecNotificationHandler - localHostConfig name ISE01 nodeRoleStatus PRIMARY
15:34:43.798 [main] INFO  cohttp://m.cisco.cpm.es.api.EPLoginConfigInitializer - ESCredentialHandler Intializer Invoked
15:34:43.850 [main] INFO  cohttp://m.cisco.cpm.es.api.EPLoginConfigInitializer - End : EndpointLoginConfig init
15:34:43.924 [main] INFO  cohttp://m.cisco.cpm.posture.runtime.visibility.PostureEdfNotificationHandler - Posture: Registering EDF event for endpoint
15:34:43.926 [main] INFO  cohttp://m.cisco.cpm.posture.runtime.visibility.PostureEdfNotificationHandler - Posture: isSelfStandaloneOrPanNode: true
15:34:43.920 [PxGrid-RefreshLoop] INFO  cohttp://m.cisco.cpm.pxgrid.cert.ConfigChangeHandler - pxGrid config handler start
15:34:44.003 [main] INFO  cohttp://m.cisco.cpm.posture.runtime.visibility.PostureEdfNotificationHandler - Posture: Ignored Since PostureEdfNotificationHandler already registered
15:34:44.003 [main] INFO  cohttp://m.cisco.cpm.posture.runtime.visibility.PostureEdfNotificationHandler - Posture: Registered EDF event for endpoint
15:34:44.013 [main] INFO  cohttp://m.cisco.cpm.posture.runtime.visibility.VisibilityHandler - Posture VisibilityHandler localhost fqdn is ISE01.test.local, isSelfStandaloneOrPanNode: true
Old Memory Size : 16204356
15:34:44.275 [main] INFO  cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProfileServiceImpl - inside mapVmToProfile function cloud check valuesfalsefalsefalse
15:34:44.278 [main] WARN  cohttp://m.cisco.profiler.api.event.ProbeEventHandler - Failed to get queue size limit from platform limits null
15:34:45.224 [main] INFO  cohttp://m.cisco.cpm.infrastructure.confd.RESTConfHandler - CallStatus value for get method : 200
Export in progress...Old Memory Size : 16204356
15:34:48.251 [main] INFO  cohttp://m.cisco.cpm.infrastructure.platform.impl.PlatformProfileServiceImpl - inside mapVmToProfile function cloud check valuesfalsefalsefalse
15:34:48.255 [main] INFO  com.cisco.profiler.persistence.LocalDb - Read  profiler.redis.maxactive from platform properties: null
15:34:48.255 [main] INFO  com.cisco.profiler.persistence.LocalDb - Value of max active redis connections: 35
15:34:48.329 [main] ERROR com.cisco.profiler.persistence.LocalDb - Failed to populate profiler partitions:null
java.lang.NullPointerException
        at cohttp://m.cisco.profiler.api.Util.isLSDEnabled(Util.java:4784)
        at com.cisco.profiler.persistence.JedisEpAsHashHandler.<init>(JedisEpAsHashHandler.java:139)
        at com.cisco.profiler.persistence.LocalDb.<clinit>(LocalDb.java:136)
        at cohttp://m.cisco.cpm.infrastructure.certmgmt.api.EpCertJedisHandler.<init>(EpCertJedisHandler.java:58)
        at cohttp://m.cisco.cpm.infrastructure.certmgmt.api.CertMgmtService.<clinit>(CertMgmtService.java:118)
        at cohttp://m.cisco.cpm.infrastructure.systemconfig.ImportCAStoreFromRepository.isCertInTrustStore(ImportCAStoreFromRepository.java:583)
        at cohttp://m.cisco.cpm.infrastructure.systemconfig.ExportCAStoreToRepository.exportCAStoreToRepo(ExportCAStoreToRepository.java:112)
        at cohttp://m.cisco.cpm.infrastructure.systemconfig.ExportCAStoreToRepository.main(ExportCAStoreToRepository.java:70)

15:34:48.330 [main] INFO  com.cisco.profiler.persistence.LocalDb - Local db registration EndpointCert, index 0
15:34:48.331 [main] INFO  com.cisco.profiler.persistence.LocalDb - About to persist the partitions to /opt/CSCOcpm/appsrv/apache-tomcat/config/redisPartitions.properties
15:34:48.332 [main] INFO  com.cisco.profiler.persistence.LocalDb - Updated properties : /opt/CSCOcpm/appsrv/apache-tomcat/config/redisPartitions.properties


15:34:50.825 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Creatiion of resources and assosiated policyies  done
15:34:52.588 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.db.oracle.PolicyCacheDAO - Size  of LogicalMap 103
15:34:52.589 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Time taken to load the blob data for dictinary bucket [246]
15:34:52.589 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Number of Users loaded into Memory[18]
15:34:52.590 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Number of Groupss loaded into Memory[344]
15:34:52.590 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Number of Roles loaded into Memory[56]
15:34:52.590 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Number of Resourcess loaded into Memory[11777]
15:34:52.590 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Number of Context's   :  [1]
15:34:52.590 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Total memory utilized[291]M.B
15:34:52.590 [DataLoaderInitializer-0] INFO  cohttp://m.cisco.epm.pdp.cache.DataLoader - Time taken to load below entities into memory[33659]m.s


15:34:54.270 [main] INFO  cohttp://m.cisco.cpm.infrastructure.confd.repository.impl.RepositoryServiceImpl - copyOut json {
  "sourceFile" : "/opt/ca_export/ise_ca_key_pairs_of_ISE01",
  "RepoName" : "FTP"
}
15:34:54.500 [main] INFO  cohttp://m.cisco.cpm.infrastructure.confd.RESTConfHandler - The Value of CallStatus for post method : 200
The following 5 CA key pairs were exported to repository 'FTP' at 'ise_ca_key_pairs_of_ISE01':
        Subject:CN=Certificate Services Root CA - ISE01
        Issuer:CN=Certificate Services Root CA - ISE01
        Serial#:0x413c9d5d-c09747fb-9c348f1d-7fd4cf7f

        Subject:CN=Certificate Services Node CA - ISE01
        Issuer:CN=Certificate Services Root CA - ISE01
        Serial#:0x5841ef07-45b14321-809f1f89-84880a6a

        Subject:CN=Certificate Services Endpoint Sub CA - ISE01
        Issuer:CN=Certificate Services Node CA - ISE01
        Serial#:0x182e0062-bca04359-808d8ced-5a4fbab8

        Subject:CN=Certificate Services Endpoint RA - ISE01
        Issuer:CN=Certificate Services Endpoint Sub CA - ISE01
        Serial#:0x4351ef77-1d74489e-aa438fe2-846bcfb8

        Subject:CN=Certificate Services OCSP Responder - ISE01
        Issuer:CN=Certificate Services Endpoint Sub CA - ISE01
        Serial#:0x15e01788-34114c7f-aff55275-a1cc761d

ISE CA keys export completed successfully

 

이렇게 인증서 백업이 완료 되었습니다.

 

FTP 서버에 폴더에서 확인 합니다.

 

CLI에서 [8]Import Internal CA Store 눌러서 복구도 가능 합니다. 

이부분은 생략 하갰습니다.

 

지금까지 [2025][CISCO ISE#32] - Export/Import Certificate에 대해서 알아보았습니다. 

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#34] - Admin Access - Authentication Menu  (0) 2025.01.14
[2025][CISCO ISE#33] - Upgrade Version  (0) 2025.01.13
[2025][CISCO ISE#31] - restore  (0) 2025.01.13
[2025][CISCO ISE#30] - schedule backup  (0) 2025.01.13
[2025][CISCO ISE#29] - operation backup  (0) 2025.01.13

안녕하세요.

 

오늘은 cisco ise configuration restore에 대해서 알아보겠습니다.

 

1. 아래처럼 접속 합니다. 

 

Administration -> System -> Backup & Restore 

 

FTP Repository를 선택하고 Configuration 메뉴를 선택합니다.

 

2. administration -> Identity management -> Users

백업을 실행하기 전에 Local User 하나를 생성합니다.

username: KDDITEST

 

그리고 맨 아래에 Submit버튼을 클릭 합니다. 

 

그리고 복구 버튼을 클릭 합니다. 

 

아래처럼 패스워드를 입력하고 Restore버튼을 클릭 합니다. 

 

** Restore ADE-OS **

 

ADE-OS stands for Application Deployment Engine Operating System. This is the operating system on which ISE runs, which is based on Red Hat Enterprise Linux (RHEL). When restoring ADE-OS you would be restoring OS level configuration. This would include all of the operating system configuration data that is configured when setting up the ISE node. Things like hostname, IP addresses, NTP, enabling SSH, default gateway, and name servers.

Restoring the ADE-OS configuration would be used if you want an exact duplicate of the ISE server the backup was taken from. However, this can cause issues if these servers exist on the same network at the same time for obvious reasons. If you want to stand up a new ISE server with the same configuration but with a different IP and hostname, it is not recommended to restore the ADE-OS configuration.

 

자동으로 로그아웃되고 GUI에서 더 이상 복구 진행 상황을 확인이 불가능 합니다.

 

Putty로 cisco ise에 접속 합니다.

ISE01/admin#show restore status
%% Configuration restore status
%% ----------------------------
%      backup name: 20250113-BACKUP-CFG10-250113-1242.tar.gpg
%       repository: FTP
%       start date: Mon Jan 13 13:22:01 SGT 2025
%        scheduled: no
%   triggered from: Admin web UI
%             host: ISE01.test.local
%           status: Restore is in progress...
%       progress %: 30
% progress message: Extracting backup data

%% Operation restore status
%% ------------------------
%  No data found. Try 'show restore history' or ISE operation audit report
ISE01/admin#

 

위와 같이 CLI에서 확인 가능 합니다. 100%까지 기다립니다.

 

100% 완료 되면 아래처럼 표시 됩니다.

ISE01/admin#show restore status
%% Configuration restore status
%% ----------------------------
%      backup name: 20250113-BACKUP-CFG10-250113-1242.tar.gpg
%       repository: FTP
%       start date: Mon Jan 13 13:22:01 SGT 2025
%        scheduled: no
%   triggered from: Admin web UI
%             host: ISE01.test.local
%           status: restore 20250113-BACKUP-CFG10-250113-1242.tar.gpg from repository FTP: success

%% Operation restore status
%% ------------------------
%  No data found. Try 'show restore history' or ISE operation audit report
ISE01/admin#
ISE01/admin#


ISE01/admin#show restore history
Mon Jan 13 14:24:40 +08 2025: restore 20250113-BACKUP-CFG10-250113-1242.tar.gpg from repository FTP: success
ISE01/admin#

 

복구가 완료 되었습니다.

cisco ISE GUI접속해서 복구 하기전에 생성 했던 User가 사라졌는지 확인 합니다.

 

지금까지 [2025][CISCO ISE#31] - configuration restore 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#33] - Upgrade Version  (0) 2025.01.13
[2025][CISCO ISE#32] - Export/Import Certificate  (0) 2025.01.13
[2025][CISCO ISE#30] - schedule backup  (0) 2025.01.13
[2025][CISCO ISE#29] - operation backup  (0) 2025.01.13
[2025][CISCO ISE#28] - configuration backup  (0) 2025.01.12

안녕하세요.

 

오늘은 cisco ise schedule backup에 대해서 알아보겠습니다. 

 

1. 아래 경로에 접속 합니다. 

 

Administrator -> system -> backup& Restore

 

아래처럼 configuration backup schedule 또는 operation backup schedule를 선택 할 수 있습니다.

 

2. 아래처럼 입력 합니다. 그리고 Save버튼을 클릭 합니다. 

위에 처럼 입력하면 Save버튼을 클릭 했을때 Error메시지가 출력 됩니다.

Start Date는 무조건 현재 날짜보다 미래여야 합니다.

 

 

Operation date Backup도 위와 처럼 설정 가능 합니다.

 

지금까지 [2025][CISCO ISE#30] - schedule backup 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#32] - Export/Import Certificate  (0) 2025.01.13
[2025][CISCO ISE#31] - restore  (0) 2025.01.13
[2025][CISCO ISE#29] - operation backup  (0) 2025.01.13
[2025][CISCO ISE#28] - configuration backup  (0) 2025.01.12
[2025][CISCO ISE#27] - Backup and Restore  (0) 2025.01.12

안녕하세요.

 

오늘은 cisco ise operation backup에 대해서 알아보겠습니다.

 

configuration backup - 설정관련 백업

operation backup - Data log 그리고 troubleshoot 관련 log를 백업 합니다.

 

1.cisco ise를 접속 합니다.

administration -> system -> Backup & Restore

 

 

2. 아래처럼 입력 합니다. 그리고 Backup버튼을 클릭 합니다. 

 

Backup이 완료 될때까지 기다립니다.

 

cisco ISE CLI에서도 확인 가능 합니다.

 

operation backup status부분을 확인 합니다. 

ISE01/admin#show backup status
%% Configuration backup status
%% ----------------------------
%      backup name: 20250113-BACKUP
%       repository: FTP
%       start date: Mon Jan 13 12:42:30 SGT 2025
%        scheduled: no
%   triggered from: Admin web UI
%             host: ISE01.test.local
%           status: backup 20250113-BACKUP-CFG10-250113-1242.tar.gpg to repository FTP: success

%% Operation backup status
%% ------------------------
%      backup name: 20250113-Operational-Backup
%       repository: FTP
%       start date: Mon Jan 13 13:02:08 SGT 2025
%        scheduled: no
%   triggered from: Admin web UI
%             host: ISE01.test.local
%           status: Backup is in progress...
%       progress %: 20
% progress message: starting dbbackup using expdp....
ISE01/admin#

 

완료 되면 아래처럼 표시 됩니다

ISE01/admin#show backup status
%% Configuration backup status
%% ----------------------------
%      backup name: 20250113-BACKUP
%       repository: FTP
%       start date: Mon Jan 13 12:42:30 SGT 2025
%        scheduled: no
%   triggered from: Admin web UI
%             host: ISE01.test.local
%           status: backup 20250113-BACKUP-CFG10-250113-1242.tar.gpg to repository FTP: success

%% Operation backup status
%% ------------------------
%      backup name: 20250113-Operational-Backup
%       repository: FTP
%       start date: Mon Jan 13 13:02:08 SGT 2025
%        scheduled: no
%   triggered from: Admin web UI
%             host: ISE01.test.local
%           status: backup 20250113-Operational-Backup-OPS10-250113-1302.tar.gpg to repository FTP: success
ISE01/admin#

 

GUI에서 확인 합니다.

 

FTP파일서버에서 아래처럼 확인 가능 합니다.

지금까지 [2025][CISCO ISE#29] - operation backup 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#31] - restore  (0) 2025.01.13
[2025][CISCO ISE#30] - schedule backup  (0) 2025.01.13
[2025][CISCO ISE#28] - configuration backup  (0) 2025.01.12
[2025][CISCO ISE#27] - Backup and Restore  (0) 2025.01.12
[2025][CISCO ISE#26] - Patch Update  (0) 2025.01.07

안녕하세요.

 

오늘은 cisco ise configuration backup과 restore를 실습해보겠습니다.

 

configuration backup는 설정값에 대해서 백업 합니다. 

operation backup - log랑 troubleshooting data를 백업 합니다. 

 

1. cisco ise 접속 후 administration > system > backup and Restore를 클릭 합니다.

 

2. 아래처럼 입력 합니다.

 

Repository에서 FTP를 선택 합니다. 

설정 방법은 이전글을 확인 합니다.

https://itblog-kr.tistory.com/152

 

[2025][CISCO ISE#25] - Repository

안녕하세요. 오늘은 cisco ise Repository에 대해서 알아보겠습니다. 1. ISE Repository는 GUI또는 CLI에서 설정 가능 합니다.2. Repository는 Backup또는 REstore 할때 사용 됩니다. 3. 또는 cisco ISE upgrade 또는 Patch

itblog-kr.tistory.com

Windows FTP구축 방법

https://itblog-kr.tistory.com/139

 

[2025][CISCO ISE#13] - File Server

안녕하세요.  cisco ISE에 설정값등을 백업하고 복구 하기 위해서 windows server에 file 서버를 구축해 보겠습니다. 1. Add Roles and Features를 선택 합니다.  2. Next버튼을 클릭 합니다.  3. Next버튼을 클

itblog-kr.tistory.com

 

 

 

패스워드는 복구 할때 사용 합니다. 꼭 password를 기억하고 있어야 합니다.

Password를 모르면 복구가 불가능 합니다. 

백업이 완료 될때까지 기다립니다.

 

Putty에서 cisco ise접속 합니다.

CLI에서도 아래처럼 확인 가능 합니다. 

ISE01/admin#show backup status
%% Configuration backup status
%% ----------------------------
%      backup name: 20250113-BACKUP
%       repository: FTP
%       start date: Mon Jan 13 12:42:30 SGT 2025
%        scheduled: no
%   triggered from: Admin web UI
%             host: ISE01.test.local
%           status: Backup is in progress...
%       progress %: 20   --------- 현재 몇% 완료중인지 표시 됩니다. 
% progress message: Backing up ISE Configuration Data

%% Operation backup status
%% ------------------------
%  No data found. Try 'show backup history' or ISE operation audit report
ISE01/admin#

완료 되면 아래처럼 표시 됩니다. 
ISE01/admin#show backup status
%% Configuration backup status
%% ----------------------------
%      backup name: 20250113-BACKUP
%       repository: FTP
%       start date: Mon Jan 13 12:42:30 SGT 2025
%        scheduled: no
%   triggered from: Admin web UI
%             host: ISE01.test.local
%           status: backup 20250113-BACKUP-CFG10-250113-1242.tar.gpg to repository FTP: success

%% Operation backup status
%% ------------------------
%  No data found. Try 'show backup history' or ISE operation audit report
ISE01/admin#

 

Backup History도 확인 가능 합니다.

ISE01/admin#show backup history
Mon Jan 13 12:52:40 +08 2025: backup 20250113-BACKUP-CFG10-250113-1242.tar.gpg to repository FTP: success
ISE01/admin#


GUI에서 확인한 결과 입니다. 

 

실제 FTP서버에서 폴더를 확인해 보면 아래처럼 백업 파일이 생성 되었습니다.

지금까지 [2025][CISCO ISE#28] - configuration backup 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#30] - schedule backup  (0) 2025.01.13
[2025][CISCO ISE#29] - operation backup  (0) 2025.01.13
[2025][CISCO ISE#27] - Backup and Restore  (0) 2025.01.12
[2025][CISCO ISE#26] - Patch Update  (0) 2025.01.07
[2025][CISCO ISE#25] - Repository  (0) 2025.01.07

안녕하세요.

 

오늘은 cisco ise backup and Restore에 대해서 알아보겠습니다.

 

1. Standard-alone ISE node에서 Backup 및 Restore 가능

2. If ISE is HA mode, only Primary node만 Backup 및 Restore 가능

3. Backup/Resotre은 CLI또는 GUI에서도 가능 

4. Backup/Resotre은 Repository가 필요 합니다. 

5. Schedule Backup 가능 - Daily, weekly or monthly 

6. 만약에 Internal CA를 사용하면, CLI에서 Certificates과 Key등을 export해야 합니다. 

7. ISE GUL에서 Baclup하면 CA (Certificate Authority)는 백업이 되지 않음

8. 복구 절차는 cisco ise deploment type에 따라 다를수 있음

9. Monitoring Backup은 백업 가능

10. 복구하면 cisco ISE는 자동으로 재시작 됩니다. 

11. 2가지 백업 TYPE - Configuration backup, Operational Backup

 

*** Configuration Backup ***  -- configuration data only.  - backup related in configuration 

*** Operational Backup ** - Monitoring and trhoubleshooting data. - backup related in log data and troubleshooting information 

 

Administration - System - Backup & Restore

 

지금까지 [2025][CISCO ISE#27] - Backup and Restore 글을 읽어주셔서 감사합니다.

다음 글에서는 Configuration backup & Resotre를 실습해 보겠습니다.

저작자표시 (새창열림)

'CISCO > CISCO ISE' 카테고리의 다른 글

[2025][CISCO ISE#29] - operation backup  (0) 2025.01.13
[2025][CISCO ISE#28] - configuration backup  (0) 2025.01.12
[2025][CISCO ISE#26] - Patch Update  (0) 2025.01.07
[2025][CISCO ISE#25] - Repository  (0) 2025.01.07
[2025][CISCO ISE#24] - High Availability  (0) 2025.01.07

안녕하세요.

 

오늘은 Cisco IOS Download 받을때 Cisco가 권장하는 IOS 버전에 대해서 알아보겠습니다.

 

1. 아래 시스코 사이트에 접속 합니다. 

https://software.cisco.com/download/home

 

2. 현재 구매한 장비 모델을 입력 합니다.

 

3. cisco XE software 버튼을 클릭 합니다. 

 

4. *에 으미가 현재 시점에서 시스코가 권장하는 IOS 버전 입니다. 

 

지금까지 Cisco IOS recommendation  글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > 스위칭' 카테고리의 다른 글

Firmware Software Policy  (1) 2025.06.13
[C9300-#1]- Traditional mode/Smart Licensing mode/Smart Licensing with the use of Policy mode  (0) 2025.02.03
C9300 - Configure SSH2  (0) 2024.10.24
C9300-Stack Switch IOS Upgrade  (1) 2024.10.24
Cat9300 Switch Stack Installation  (1) 2024.10.24

안녕하세요. 

 

Juniper SRX320를 설치 할 일이 있는데, Firmware recommendation version에 대해서 알아보겠습니다.

 

시스코는 IOS download 공식 홈페이지에 접속 하면 아래처럼 *를 확인 가능 합니다.

현재 시점에서 시스코가 권장하는 IOS버전입니다. 

 

Juniper는 Firwmare Download 페이지에서 시스코 처럼 표시가 되지 않습니다.

Juniper는 KB - Knowledge Base에서 확인 가능 합니다.

 

 

검색을 srx320으로 합니다.

아래처럼 권장 Firmware를 확인 가능 합니다. 

 

 

Juniper 공식 홈페이지는 아래와 같습니다. 

 

https://supportportal.juniper.net/s/article/Junos-Software-Versions-Suggested-Releases-to-Consider-and-Evaluate?language=en_US

 

Junos Software Versions - Suggested Releases to Consider and Evaluate

×Sorry to interrupt This page has an error. You might just need to refresh it. [LWC component's @wire target property or method threw an error during value provisioning. Original error: [Cannot read properties of undefined (reading 'ContentDocumentId')]]

supportportal.juniper.net

 

지금까지 [2024][Juniper SRX #18] Firmware recommendation 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'JUNIPER > SRX 방화벽' 카테고리의 다른 글

[2024][Juniper SRX #20] License Install - J-Web  (0) 2025.02.05
[2024][Juniper SRX #19] J-Web  (0) 2025.02.05
[2024][Juniper SRX #17] Firmware Upgrade path  (0) 2025.01.07
[2024][Juniper SRX #16] password recovery  (0) 2024.07.28
[2024][Juniper SRX #15] commit and rollback  (1) 2024.07.27

+ Recent posts

티스토리툴바