close
프로필 배경
프로필 로고

도도'S IT LAB

카테고리 없음 · 2025. 4. 9. fullscreen 넓게보기

[Cisco Nexus c9504 Series NX-OS Configuration] Security Configuration

RADIUS and TACACS+ Security Protocols 

보안의 3가지 요소라 하면, AAA (Authentication, Authorization, Accounting) 

 

A1 : 로그인, 세션, 인증 토근 방식 등.. 사용자의 신원을 확인하는 절차 

A2 : 인증된 사용자가 어떤 서비스를 사용할 수 있는지 제어하는 절차 

A3 : 로그인 시간, 명령어 실행 내역, 리소스 사용량 등 기록을 측정 

 

AAA를 안전하게 처리하기 위해서 보안 프로토콜이 사용되는데 대표적으로 RADIUS and TACACS+ 를 사용한다. 

 

예를 들어보자 : 

 

누군가가 회사 네트워크에 접속을 한다. 

누구인지 확인하고, 무슨 권한이 있는지 확인하고, 접속 기록을 남기는 과정이 필요하다. 

 

로그인을 하게 되면 .. 해당 로그인 정보를 중앙 서버에 안전하게 전달해야 하고 ..서버는 응답을 회신한다. 

결과를 받아서 허용할지, 차단할지 결정해야한다. 

 

이 과정을 보안 프로토콜이 역할을 한다. 

 

RADIUS 를 현재 회사 네트워크 망에 사용한다 .. 왜 ?

TACACS+는 시스코 전용 프로토콜.. 멀티밴더환경에서는 RADIUS 

또한, 모든 장비는 OTP(1회용 비밀번호) 기반 로그인을 하기 때문에 .. RADIUS가 필수적이다. (TACACS+ 는 OTP 지원하지 않아)  

 

그러면.. 

 

유진이가 Nx-os 장비에 로그인을 한다. 

아이디 비밀번호를 입력하고 엔터를 딱... 치는 순간 

해당 정보가 암호화되어 RADIUS 서버로 전송한다.  

Radius 요청 패킷을 보낼 때! 출발지 IP를 Mgmt0 인터페이스 IP로. . . 관리 전용 Mgmt Vrf 를 통해 전송한다. 

서버가 응답을 전송한다 .. Accept, Reject, Change Password, Challenge. 

 

만약 ,  RADIUS 서버가 죽었어.. 응답하지 않으면 죽었다고 등록하고 

그 다음 요청부터는 서버 B로 전환해서 인증을 처리하게 된다.

다시 서버 A가 살아나면 ALIVE로 등록되어 사용이 가능하다.  

백업 서버를 몇개까지 가능하냐 .. Nx-os 장비에서는 64개까지 등록할 수 있다.  

 

만약 2 , Nx-os 장비 로컬에 같은 사용자가 등록되어 있어 

username user1 password localpass role network-admin(관리자)  

RADIUS 서버에 user1 / radiuspass 로 등록되어 있으면 ..

장비에 로그인을 해 user1 / radiuspass 로 .. 그래도 권한은 로컬 기준으로 적용된다.  

 

switch# configure terminal

switch(config)# radius-server host 192.168.10.10 key mySecret123  . . . . . . . STEP 1. RADIUS 서버 등록
switch(config)# radius-server timeout 5
switch(config)# radius-server retransmit 2

switch(config)# aaa group server radius RADIUS-GRP . . . . . . . . . . . . . . . . STEP 2. 서버 그룹 구성
switch(config-radius)# server 192.168.10.10
switch(config-radius)# use-vrf management
switch(config-radius)# source-interface mgmt0
switch(config-radius)# exit

!인증 정책 적용, 계정 기록 설정 
switch(config)# aaa authentication login default group RADIUS-GRP local
switch(config)# aaa accounting default group RADIUS-GRP

 

switch# show radius servers
RADIUS Server configuration:
Server IP Address : 192.168.10.10
Auth-port         : 1812
Acct-port         : 1813
Timeout           : 5
Retries           : 2
Encryption Key    : ******** (configured)
State             : Alive
VRF               : management
Source-Interface  : mgmt0
Group             : RADIUS-GRP

 

 

저작자표시 비영리 변경금지 (새창열림)

티스토리툴바