7주차 3일

nexus yes 하고 나서

pssword standard는 무조건 no

 

 

 

 

NX-OS는 사용자 계정을 생성 및 관리하고 작업에 대한 액세스를 제한하는 역할을 할당할 수 있습니다.

 

 - User Accounts • 최대 256개의 사용자 계정을 구성할 수 있습니다. • 기본적으로 사용자 계정은 만료되지 않으며, 옵션을 통해 계정이 비활성화되는 날짜를 결정합니다.

• bin, daemon, adm, lp, sync, schdown, stop, mail, uucp, operator, gopher, ftp, nscd, root, rpc, rpcuser, xfs, gdm, mtsuser, man 및 sys는 예약

• 사용자 암호는 Config 파일에 표시되지 않습니다.

• 사용자 이름은 영숫자로 시작해야 하며 다음과 같은 특수 문자만 포함할 수 있습니다. ) ( + = . _ \ • # ! 기호는 지원되지 않습니다.

 

 - User Roles 

• 사용자 역할에는 역할이 할당된 사용자에게 허용된 작업을 정의하는 규칙이 포함되어 있습니다.

 • 각 사용자 역할에는 여러 규칙이 포함될 수 있으며 각 사용자는 여러 역할을 가질 수 있습니다.

 • network-admin or vdc-admin : NX-OS 장치의 모든 기능에 대한 읽기 및 쓰기 가능 

 • network-operator or vdc-operator : NX-OS 장치의 모든 기능에 대한 읽기 가능

 

 

- User Role Rules

 • Rules은 Role의 기본 요소로 사용자에게 수행할 수 있는 작업을 정의합니다.

 • Command, Feature 및 Feature group 매개변수가 계층 관계를 갖습니다.

 • Command : 가장 기본적인 제어 명령

 • Feature : Feature 와 관련된 모든 명령을 나타냄

 • Feature group : 관련 Feature를 결합한 모든 명령

 • OID : SNMP OID에 대해 읽기 전용 또는 읽기 및 쓰기 규칙을 구성

 • 각 Role에 대해 최대 256개의 Rules을 구성할 수 있습니다.

 • 사용자 지정 Rules 번호는 Rules이 적용되는 순서를 결정합니다.

 • 내림차순으로 적용됩니다.

 • 예: Role에 Rules이 세 개 있으면 Rule 3이 Rule 1,2보다 먼저 적용됩니다

 

 

 

Lab 2: N9KAdministration - RBAC

RBAC 구성 문제

 

• 문제 0

 - 아래의 계정을 추가로 생성합니다.

 config)# username adminuser password cisco role ?

 config)# username adminuser password cisco role network-admin

 config)# username helpdesk password cisco role network-operator

 

• 문제 1

 – Admin1 계정 (암호: cisco) 관리자에게 다음의 권한을 부여합니다.

 – OSPF 라우팅 설정 및 인터페이스 접근 권한부여 – EIGRP의 경우에는 show 권한만 부여

 

• 문제 2

 – Admin2 계정 (암호: cisco) 관리자에게 다음의 권한을 부여합니다.

 – 인터페이스들 중 오직 e1/3 에만 접근 및 설정 권한 부여 – Ping 테스트를 할 수 있도록 권한 부여

 

 

 

config) role name OSPF_Config 

config-role)# rule 1 permit command config t ; interface *

config-role)# rule 2 permit read-write feature router-ospf 

config-role)# rule 3 permit read feature router-bgp

config-role)# rule 4 permit read     + 추가     >> admin1에서 OSPF_Config 설정 확인할 수 있음

 

---

 

 

Nexus Troubleshooting

  >> show command

  >> debug command

       #debug ip ospf packet

 >> packet capture

      >> NEXUS는 자체적으로 Packet을 Capture하는 기능을 가지고 있습니다.

 

N9K-3 VLAN1에 1.1.1.3/24

N9K-1 VLAN1에 1.1.1.1/24

 

ping이 안감,,,

 ㄴ 찾아보니 L3로 바뀌어서 switchport로 바꿔주면 (L2) 연결됨

+ 연결포트 no shutdown으로 열어주기 (해도 되고 안해도 되는 데 해보는거 추천)

 

 

N9K-3에 N9K-3# ethanalyzer local interface inband display-filter icmp 추가

 

 

 

 

 Nexus Switch (L2)
      config-if)#spanning-tree port type network   (BPDU를 송수신 하는)

   문제1. N9K-3, N9K-1간에 E1/1을  VLAN1으로 연결합니다.
   N9K-3을 VLAN1에 대한 RootBridge로 구성합니다.
     
   N9K-3(config)#spanning-tree vlan 1 root primary
   
   확인1. N9K-1에서 E1/1을 wireshark로 보면, BPDU가 보임 
         >> 그러나, N9K-3만 보냄 !!!!  (N9K-3이 Root Bridge이기 때문 입니다.)
 
   
 
문제2. N9K-3, N9K-1의 E1/1에 BA를 구성합니다.   >>  BA : Bridge Assurance
  N9K-1, N9K-3
  interface e1/1  
    spanning-tree port type network  
    확인1. wireshark로 보면, BPDU가 양방향에서 나오는 것을 확인합니다.  
 
 
문제3. N9K-1의 E1/1에 BA를 삭제합니다.
            N9K-1
interface e1/1 
    spanning-tree port type normal 

확인1. N9K-3에서 #show spanning-tree vlan 1으로 확인하면, E1/1이 Blocking되는 것을 확인합니다.
---------------- ---- --- --------- -------- --------------------------------
            Eth1/1           Desg BKN*4         128.1    Network P2p *BA_Inc
 
    *** BA기능은 BPDU를 Port로 모두 보내는 기능입니다.
               (기존에는 Designated Port만 송신합니다.)