2014-06-19

Cisco SSH Connection





Cisco SSH 프로토콜을 이용하여 접속하기.


  Telnet 접속 취약점.

  Cisco 장비를 원격으로 접속할 경우 장비에서는 기본적으로 Telnet 으로 접속이 가능하다.

 그러나 Telnet 접속은 Cleartext(평문)로 패킷이 전송이 되기 때문에 중간에 누군가가 악의적인 의도록 패킷을 Sniffing 할 경우 접속 계정 및 비밀번호가 노출되기 쉬어 보안적으로 취약한 점이 있다.

   이러한 보완하기 위해 SSH 프로토콜을 이용하여 암호화된 패킷을 전송하면 보안적으로 좀더 강화된 장비 운용이 가능하다. 

 SSH 프로토록 접속 설정. 

  SSH 프로토콜은 1,2가 있는데 SSH1에 보안 취약점으로 SSH2가 나왔으며, 
  현재는 거의 대부분 SSH2를 사용한다. 
  
  SSH를 지원하지 않거나 SSH1만 지원하는 장비들이 있을 수도 있으니 
  사용하는 장비가 SSH 지원여부를 꼭 확인해야 한다. 

 


  
     ip ssh version 2       //  SSH Version 2로 설정한다.

     
     hostname  {hostname} 
     ip domain-name {domainname} 
     
       // Hostname 및 Domain-name 을 설정한다. 
           SSH를 사용하기 위해서는 반드시 필요한 설정.


     crypto key generate rsa 

      // 암호화 키 생성시 키 값을 지정해 줄수 있으며 default는 512 이다.

    
    

    SSH 프로토콜로만 접속 허용하기. 


    기본적으로 telnet 및 SSH 접속이 가능하도록 원격 접속 세션이 허용되어 있다. 
    그러기 때문에 SSH만 접속 가능하도록 별도의 추가 설정이 필요하다. 

   

    - 기본값으로 transport input all 로 설정이 되어 있으며, SSH 만 접속 가능하도록 
      위와 같이 설정해 준다.


   참고로 show crypto key mypubkey rsa  하면 생성된 키 정보를 확인 할 수 있다. 
   



   마지막으로 copy running-config startup-config(wr)는 필수

  추가적으로 ACL 을 통해 특정 Host 에서만 접속 가능하도록 설정하면 보안적으로  
  보다 더 강화된 운용이 가능하다. 

시간 댓글 없음:

2014-06-12

Cisco Traffic Storm Control

Traffic Storm Control 이란?


네트워크 상에 과도한 트래픽이 발생하여 네트워크 성능 저하를 유발할 수 있는 상황을 대비하여 트래픽을 제어하여 네트워크 안정화를 유지할 수 있는 기능.
Traffic Storm Control 기능을 활성화 하면 1초 단위로 트래픽을 모니터링하여 설정해 놓은 임계치 값 이상 트래픽이 발생할 경우 트래픽을 차단하고 최소 임계치 설정 값으로 낮춰준다.
또한 해당 인터페이스를 Shutdown 하거나 SNMP Trap으로 로그를 발송할 수도 있다.


1 - Broadcast Suppression

      













Storm Control 기능은 Default Disable 되어 있으며, 특정 인터페이스에서 해당 기능을 Enable 해 주면 된다.

Enabling Traffic Storm Control


 Router(config)# interface gigabitEthernet 1/0
 Router(config-if)# storm-control broadcast level ?
<0.00 - 100.00>  Enter rising threshold
  bps              Enter suppression level in bits per second
  pps              Enter suppression level in packets per second

    // level 은 퍼센트와 bbs, pps 중 선택해서 설정 할 수 있다.


Router(config-if)# storm-control broadcast level 10 1

  // level {최대 임계치 } {적정 임계치}
     최대 임계치를 넘을 경우 트래픽을 차단하고 적정 임계치로 트래픽을 제어한다.

 Storm-control broadcast Multicast, Unicast 모두 설정이 가능하며, 명령어는 동일하다.

Configuring the Traffic Storm Control action


 shutdown

Router(config-if)# storm-control action shutdown

 // 설정된 임계치 값을 넘을 경우 해당 포트를 차단하는 기능.
    대부분 권장 사항은 아니며, EEM 이나 STP 구성으로 보완적인 운영을 하기도 한다.

SNMP Trap

Router(config-if)# storm-control action trap
Router(config-if)# exit
Router(config)# snmp-server enable traps storm-control trap-rate 0

  // 분당 storm-control trap 전송 값을 지정할 수 있으며, default O 이다.
     0은 제한이 없으며, 트랩이 발생할 때마다 전송하게 된다.


Displaying Traffic Storm Control Settings

 Storm-control 상태 확인 command

Router#show storm-control broadcast

Interface  Filter State   Upper        Lower        Current
   ---------      -------------     -----------     -----------       ----------  
   Gi1/1       Forwarding    10.00%     1.00%        0.00%
시간 댓글 없음:

2014-04-03

OSPF Metric-type

OSPF routing Protocol 에는 Metric-type 1 과 Metric-type 2의 두가지가 있다.

정의하면

Metric-type 2는 Metric 값을  외부의 default cost 의 값을 그대로 학습받는 것 이고
Metric-type 1는 학습받은 외부의 default cost 값과 내부의 cost 값을 함께 계산하는 것 이다.




위와 같은 구성에서 각각에 맞는 protocol로  라우팅을 한 후 R2에서 재분배를 해보자.


그리고 R4의 라우팅 프로토콜을 살펴보면.


R2에서 재분배된 Rip의 라우팅 정보가  E2 type의 cost 값 20으로 학습 받은 걸 알 수 있다.
(참고로 R1의 192.168.13.1/24 ,192.168.14.1/24의 네트워크 구간은 R2로 통신이 되지 않게 설정해 놓았다.
그리고 metric-type은 기본값으로 E2로 학습받는다.)



이번에는 R2에서 Rip의 정보를 Metric 값 1000으로 변경해서 재분배 해 보자.
그러기위해서는 R2의 Ospf에서 default-metric 값을 1000으로 변경해 주면 된다.





다시 R4의 OSPF 라우팅 테이블을 보면
Rip에서 재분배로 학습받은 라우팅 정보가 Metric 값이 1000으로 변경된 것을 알 수 있다.



자, 이제 Metic-type을 E2 에서 E1으로 변경해보자.


기본 재분배 명령어 뒤에 metric-type 1 이라고 추가해 주면 된다.

그러면 다음과 같으 R4에서는 내부의 cost 값을 더하여서 metric 값을 계산하게 된다.




지금까지 간단하게 Metric값과 Metric-type 변경을 통해서 cost 값을 계산하는 방법에 대해서 알아보았다.
시간 댓글 없음:

2014-04-01

웹이나 GUI 환경에서 스위치를 관리하자. Cisco Network Assistant 사용 방법

Cisco 장비를 다루다 보면 GUI 방식으로 관리를 하고 싶은 생각을 할 때가 있습니다.
스위치에 http 접속 설정을 하고 웹으로 접속해서 관리하는 것도 하나의 방법이지만,
CNA(Cisco Network Assistant) 툴이 있어서 소개하고자 합니다.


1.  다운로드 및 설치

CNA(Cisco Network Assistants)Cisco 홈페이지에서 다운로드 받을 수 있습니다.
Down URL :

http://software.cisco.com/download/release.html?mdfid=280771500&softwareid=280775097&release=5.6.3&relind=AVAILABLE&rellifecycle=&reltype=latest&i=mmp




















 Mac 용과 Window 용 두가지 버전이 있다. 필요한 버전 다운로드( Cisco 계정 필요 )



2.     프로그램 설치

Ø  Next

  

Ø  자바 설치 할지 물어보면 Yes 선택.
















 

Ø  설치 완료


















3.  Cisco 장비 설정.

## Cisco Network Assitant 로 접속할 로컬 사용자 계정을 생성한다. CNA 접속을 위해서는 관리자 계정이 필요하며 privilege 15 옵션으로 Level 15 권한을 부여해 주어야 한다.

SWITCH(config)#username network privilege 15 password password

SWITCH(config)#ip http server    ## http 서버 enable

SWITCH(config)#ip http authentication ?
aaa     Use AAA access control methods    ## tacacs+, Radius 등 인증서버 사용시.
enable  Use enable passwords              ## enable 패스워드 사용 시
local   Use local username and passwords   ## Local 계정 정보 사용시.

SWITCH(config)#ip http authentication local  ## 여기서는 미리 생성해둔 로컬 계정 사용하기로 하였다.

SWITCH(config)#



4.  스위치 접속

Ø  접속할 장비 Management IP 입력.
Ø  옵션에서 접속 환경 설정을 변경할 수도 있다.



















Ø  Username, Password에 미리 생성해 둔 계정 정보 입력.









5.   접속 화면
     
     













Cisco Network Assitant   GUI 환경으로 모든 구성설정이 가능합니다.
대부분 엔지니어들이 TUI 환경이 익숙해져 있을텐데 소개한 툴을 통해 관리를 하면 또 다른 재미가 있지 않을 까 생각합니다
시간 댓글 없음:
라벨:
피드 구독하기: 글 (Atom)

Elasticsearch Heap Size

  Elasticsearch는 Java 기반으로 동작을 합니다. Java는 가비시 컬렉터 (garbage-collected)에 의해서 관리가 되며, Java 객체는 힙(Heap) 이라고하는 메모리의 런타임 영역에 상주합니다.  Elasticsear...