Cisco Nexus 7000 Series NX-OS Security Configuration Guide - Configuring IP ACLs [Cisco Nexus 7000 Series Switches]
Configuring IP ACLs
www.cisco.com
넥서스 스위치에 단편화된 트래픽이 들어오는 경우 허용이 필요할 수 있다.
| Troubleshooting Switch Port and Interface Problems (0) | 2020.12.25 |
|---|---|
| Cisco CLI Analyzer (0) | 2020.07.19 |
www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/12027-53.html
| Cisco Nexus 스위치 ACL - Access Lists with Fragment Control (0) | 2024.08.01 |
|---|---|
| Cisco CLI Analyzer (0) | 2020.07.19 |
예시 : SSH 10000번 포트에 대한 접근을 IP A.A.A.A는 허용하고 나머지 네트워크에 대해서는 차단하는 경우.
1. 포트에 대한 정의 = policy service
policy service "ssh_10000" destination tcp-port 10000
2. 네트워크 범위에 대한 정의 = policy network group
policy network group "A" source ip A.A.A.A
policy network group "B" source ip any
팁) network group 중 Swtich는 기본적으로 정의되어 있으며 스위치가 가지고 있는 Interface의 IP가 자동적으로 정의된다. 아마도 최신 버전의 OS에서 기본적으로 정의되어 있는 듯.
3. 방향에 대한 정의 = policy condition
policy condition "C1" source network group "A" destination network group "Swtich" service "ssh_10000"
policy condition "C2" source network group "B" destination network group "Switch" service "ssh_10000"
팁) network group를 지정하지 않아도 condition 설정에서 바로 IP를 넣어줄 수 있다.
4. 행동에 대한 정의 = policy action
policy action "permit" disposition accept
policy action "deny" disposition deny
5. 룰에 대한 정의 = policy rule
policy rule precedence 200 "R1" condition "C1" action "permit"
policy rule "R2" condition "C2" action "deny"
팁) preceden xxx(숫자)를 통해서 우선순위를 정할 수 있다. 기본 값은 100.
6. 적용
qos apply
*qos 해제 = qos flush > show config 시 남아있으나 적용은 해제된 상태고 이 상태에서 qos apply를 하게 되면
qos 설정이 사라짐.
컨피그예시) ABC-1, 2, 내부대역은 SSH 20000 접근 허용 및 나머지 대역은 차단
policy service ssh_20000 destination tcp-port 20000
policy condition ABC-1 source ip 1.1.1.1 destination network group Switch service ssh_20000
policy condition ABC-2 source ip 1.1.1.2 destination network group Switch service ssh_20000
policy condition internal_ssh source network group Switch destination network group Switch service ssh_20000
policy condition external_ssh source ip any destination network group Switch service ssh_20000
policy action permit disposition accept
policy action deny disposition deny
policy rule r1 precedence 200 condition ABC-1 action permit
policy rule r2 precedence 200 condition ABC-2 action permit
policy rule r3 precedence 200 condition internal_ssh action permit
policy rule r4 precedence 100 condition external_ssh action deny
| Cisco Nexus 스위치 ACL - Access Lists with Fragment Control (0) | 2024.08.01 |
|---|---|
| Troubleshooting Switch Port and Interface Problems (0) | 2020.12.25 |
1. Config 모드에서 include-credentials를 입력한다.
2. 입력 후 나오는 y/n 값은 y를 선택한다.
3. show run을 통해 로컬 유저 네임 및 ssh 등 키값을 확인한다.
<방법>
config 모드에서 include-credentials를 입력(y/n 중 y 입력)
<적용 전 show run>
<적용 후>
.
<같이 표출되는 정보입니다>
The security settings that can be saved to a configuration file are:
• Local manager and operator passwords and usernames
• SNMP security credentials, including SNMPv1 community names and SNMPv3 usernames, authentication,and privacy settings
• 802.1X port-access passwords and usernames
• TACACS+ encryption keys
• RADIUS shared secret (encryption) keys
• Public keys of SSH-enabled management stations that are used by the switch to authenticate SSH clients thattry to connect to the switch
에스원, 세콤 등의 IP 네트워크를 활용한 장비와 스위치 포트 링크가 활성화 되지 않을 때
- 링크 업 로그, MAC 주소도 안올라 올때
L1 단계의 문제이다.
MAC 주소를 학습하기 전에 오토센싱과 오토네고가 일어나는데 여기서 문제가 발생한다.
위의 장비들은 조금 허접한지 오토네고와 같은 모드에서는 링크인식을 잘 못하는 모양이다.
100메가로 맞추니 사는 듯하지만 실제로 살지는 않고 10으로 맞추니 링크가 살았다.
문의를 해보니 장비가 50메가 속도라고 한다...??
결과적으로 이런 경우가 발생하는 경우 스위치 포트의 속도를 조절하기 바란다.
| 포트미러링 설정 후 트래픽 미러링이 안되는 경우 (0) | 2019.10.30 |
|---|