Syslog, RADIUS Server, 터널링 (12/19)

● 로그 내역 볼 때 사용하는 명령어

 

1. syslog

: 실시간으로 로깅 및 관리하는 것이 운영상 필요
일반적으로 장비 내부 버퍼에다 로그를 저장 가능
저장공간이 한정적이고 장비의 재부팅 시 유실 됨
별도 외부의 로그 서버로의 로그저장이 필요(syslog 서버)
UDP 514

2. log 확인

Router# show logging

3. Syslog 단계

emergencies System is unusable (severity = 0)
alerts Immediate action needed (severity = 1)
critical Critical conditions (severity = 2)
errors Error conditions (severity = 3)
warnings Warning conditions (severity = 4)
notifications Normal but significant conditions (severity = 5)
informational Informational messages (severity = 6)
debugging Debugging messages (severity = 7)

0 - 비상(Emergency) 시스템을 사용할 수 없을 정도로 심각한 에러 상황
1 - 경보(Alert) 신속한 주의가 요구되는 상황
2 - 중요(Critical) 경보보다 덜 심각한 상황으로서 서비스 중단을 막기 위해 주력

 

● 로깅 활성화

 

● 로깅 서버 IP를 등록해줘야 한다. (host 명령어가 있는 곳에는 host를 사용해주고 없는 곳은 IP로 바로 적는다.)

 

● 숫자로 trap을 걸어도 되고, 명령어로 걸어되 된다.

 

● hostname이라고 주면, Router 이름이 나오고, IP 주소로 등록하면 IP 주소로 나온다.

 

● 로깅을 다 등록하고 나면, LibreNMS 사이트에서 Syslog 창에서 로그가 생긴 것을 볼 수 있다.

 

※ RADIUS Server

 

● SSH 활성화

 

● 아이디 패스워드 설정

 

● 클라이언트 파일

 

● 사용자 등록 파일

 

● freeradius를 시작시키고 부팅 시에 자동으로 시작되게끔 함.

 

● 방화벽 등을 사용하려고 하면 로그인, 인증, 인가를 사용할 수 있는 새로운 모델을 활성화 시켜야 한다.

 

● Radius가 되지 않는다면 local 계정으로 들어갈 수 있게끔 한다.

 

● 서버에서 등록한 키를 라우터에도 등록해준다.

 

● 라우터에 인터페이스가 여러 개 있으면 내가 지정한 interface의 ip로 나갈 수 있게끔 설정

 

● Radius 적용한 것 테스트 하는 명령어 (successfully가 떠야 성공적으로 연결된 것)

 

● successfully가 뜨지 않는다면, freeradius를 한 번 재시작해준다.

 

● 이렇게 설정하게 되면 test 계정으로는 접속이 안되고, aws 계정으로만 접속이 가능하다.

 

● Client PC에서 원래의 계정 test로는 접근 불가

 

● Client PC에서 awsuser로 접속하면 접속 가능

 

※ 이게 필요한 이유? 이렇게 설정하면 라우터에 계정 정보가 나타나지 않기 때문에, 보안이 뛰어남.

 

● 성공 시 로그와 실패 시 로그를 다 표시하겠다는 명령어

 

● 로그를 설정하기 전에 ssh version을 2버전으로 올려줘야 설정이 적용된다.

 

● Client에서 SSH 접속을 하면 로그가 보내진다.

 

● 라우터와 LMS Server Syslog에서 어디에서 누가 접속을 했는지 그 사람의 정보를 볼 수 있다.

 

※ 터널링

● 터널 인터페이스 번호 지정해주기

● down으로 처리 되어서 나온다.(no shut을 해도 up 상태가 되지 않는다. 나중에 올바르게 통신이 가능할 때 알아서 up 상태로 바뀐다.)

 

● IP로 입력해도 되고 interface로 입력해도 된다.

 

● destination은 ip만 가능 (목적지 까지 설정을 마쳤을 때 상태가 Up이 된다.)

 

● 터널링 인터페이스 IP 주소 할당

 

● R3번 tunnel 번호는 R1과 같아도 되고 달라도 된다. (인터페이스로 정보를 주고 받는 것이 아니기 때문)

 

● 터널을 연결하긴 했어도, PC끼리 통신은 가지 않는다. (터널을 통해 갈 수 있는 경로를 잡아줘야 함.)

 

● ex) rip, eigrp, ospf, static 어느 것을 사용해도 상관없다.

 

● R3에도 동일 작업

 

● traceroute로 보면 경로가 다 보인다.

 

※ access list를 활용한 IPsec

 

● 먼저 서로 access-list를 걸어준다.

 

※ isakmp - 키 교환 프로토콜

 

● address는 상대 목적지 IP

 

● R3에도 동일한 작업

 

● transform-set 뒤에는 자신이 짓고 싶은 이름으로 적으면 된다.

 

● ON이 뜨면 제대로 잘 적용된 것

 

● R3에서도 동일한 작업