[Cisco] Switch Telnet, ssh 설정 및 보안

시스코 스위치에 접속하기 위해 원격 접속 프로토콜을 설정해야 합니다. 일반적으로는 Telnet 과 SSH가 있으며 SSH 프로토콜이 가장 안전한 방법으로 사용되고 있습니다.

---

Telnet 설정

SW3>en
SW3#conf t
SW3(config)#line vty 0 5                    // 가상의 터미널을 0 ~ 5개, 총 6개의 접속을 허용
SW3(config-line)#transport input telnet     // telnet만 가능하게 설정
SW3(config-line)#password 1234              // 비밀번호 설정
SW3(config-line)#login                      // 비밀번호 활성화

 

텔넷(telnet)은 보안성의 문제로 사용을 권장하고 있지는 않으나 접속이 빠르고 간편하여 보안이 중요하지 않은 곳 혹은 인트라넷을 구성하여 내부적으로 사용하는 곳은 간간히 사용하고 있습니다. 보안적으로 봤을 때는 물론 권장드리지 않습니다.

 

접속 후 비밀번호 설정은 

SW3(config)#enable password 1234

 

위 방법으로 enable 할때 비밀번호를 만들 수 있습니다.

 

SSH 설정

SW3#conf t
SW3(config)#ip domain-name cisco                      // 사용할 이름(Cisco는 임의로 넣은 것)
SW3(config)#crypto key generate rsa
The name for the keys will be: SW3.cisco
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024              // 기본값은 512지만 1024를 권장
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

SW3(config)#username admin password 1234              // ID: admin  PW: 1234로 설정
SW3(config)#line vty 0 4                              // 0~4개 총 5개의 접속 허용
SW3(config-line)#transport input ssh                  // ssh로 접속 가능
SW3(config-line)#login local

 

이정도만 해줘도 SSH 접속은 가능해집니다. 하지만 SSH를 사용하는 이유는 보안 때문이겠죠 

추가적으로 이러한 방법이 있습니다.

 

포트 변경

SW3(config)#ip ssh port 2022 rotary 1           // ssh 포트번호 변경, rotart 생성
SW3(config)#ip access-list extended ssh         // acl 생성(ssh는 명칭)
SW3(config-ext-nacl)#permit tcp any any eq 2022 // 2022 포트만 허용
SW3(config-ext-nacl)#exit
SW3(config)#line vty 0 5 
SW3(config-line)#rotary 1                       // 세션 0 ~ 5에 rotary 적용
SW3(config-line)#access-class ssh in            // 세션 0 ~ 5에 acl 적용

 

이렇게 변경해주면 ssh 접속할 때 포트번호 2022로만 접속 가능합니다.

 

ssh acl 접속옵션

SW3(config)#access-list 10 permit host 192.168.0.10  // 192.168.0.10만 접속 가능한 acl 10 생성
SW3(config)#access-list 10 permit host 192.168.0.11  // 192.168.0.11만 접속 가능한 acl 10 생성
SW3(config)#line vty 0 5
SW3(config-line)#access-class 10 in                  // 세션 0~4에 acl 10 적용

 

192.168.0.10, 192.168.0.11 만 접속을 허용합니다.

 

버전 변경

SW3#(config)#ip ssh version 2                  // Cisco에서 권장하는 ssh v2

 

시간 설정

SW3#(config)#ip ssh time-out 90              // ssh 접속 후 90초 동안 가만히 있으면 접속 종료

 

접속유저 확인

SW3#show users

 

명령어 치지면 접속해 있는 유저를 확인할 수 있습니다.