원격 접속 프로토콜은 대표적으로 TELNET과 SSH가 있습니다.
처음 TELNET이 고안되어 많은 장비에서 사용되었지만 따로 패킷을 암호화하지 않아 패킷의 감청에 취약점이 있습니다.
그래서 원격 접속 시 패킷을 암호화하는 SSH가 고안되어 많은 장비에서 사용되고 있습니다.
이번 포스트에서는 CISCO 스위치에서 SSH 설정에 대해 알아보겠습니다.
기본 설정
Switch#conf t
Switch(config)#ip domain-name innern ## 도메인 name을 innern으로 설정합니다(필수)
Switch(config)#crypto key generate rsa ## ssh의 RSA키를 생성합니다.
The name for the keys will be: Switch.innern
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024 ## RSA 키값을 1024비트를 사용합니다.(시스코 권고값)
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 4 seconds)
Switch(config)#
Switch(config)#username admin password 123 ## 계정을 생성합니다.
Switch(config)#enable password 123 ## enable password를 생성합니다.
Switch(config)#line vty 0 15
Switch(config-line)#transport input ssh ## 장비 접속을 ssh로만 허용합니다.
Switch(config-line)#login local ## 내부 계정으로 접속합니다.
추가 설정 옵션
ssh 버전 옵션
-ssh 버전 옵션
Switch(config)#ip ssh version 1 ##ssh v1사용
Switch(config)#ip ssh version 2 ##ssh v2사용 (cisco 권고)
Switch(config)#no ip ssh version ##ssh v1 ,v2 둘다 사용
-ssh 접속 옵션
Switch(config)#ip ssh time-out 120 ##ssh 접속 후 120초 동안 아무 반응이 없으면 접속 종료
Switch(config)#ip ssh time-out ?
<1-120> SSH time-out interval (secs) ##ssh 접속 time out은 1초에서 120초 사이로 설정할 수 있음
-ssh acl 접속옵션
Switch(config)#access-list 10 permit host 10.10.10.11 ## acl 10 생성(10.10.10.11 허용)
Switch(config)#access-list 10 permit host 10.10.10.12 ## acl 10 생성(10.10.10.12 허용)
Switch(config)#line vty 0 15
Switch(config-line)#access-class 10 in ## 세션 0 ~ 4 에 acl 10 적용
위 처럼 설정 시 10.10.10.11 , 10.10.10.12 만 ssh 접속을 허용합니다.
ssh port 번호 변경
Switch(config)#ip ssh port 2222 rotary 1 ##ssh port번호 설정
Switch(config)#ip access-list extended sshport ##확장형 acl sshport 생성
Switch(config-ext-nacl)#permit tcp any any eq 2222 ## port 2222 번만 허용
Switch(config-ext-nacl)#exit
Switch(config)#line vty 0 15
Switch(config-line)#rotary 1 ##ssh port 번호 적용
Switch(config-line)#access-class sshport in ##sshport acl 적용
이제 ssh가 2222 포트로만 접속이 가능하다
ssh 상태 확인
Switch#show users
Line User Host(s) Idle Location
* 0 con 0 idle 00:00:00
1 vty 0 admin idle 00:00:02 10.10.10.11
Interface User Mode Idle Peer Address
스위치 접속 세션 및 유저를 확인한다.
Switch#show ssh
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes256-cbc hmac-sha1 Session started admin
0 2.0 OUT aes256-cbc hmac-sha1 Session started admin
%No SSHv1 server connections running.
ssh의 접속 세션 및 암호화 방식 및 접속 유저를 확인한다.
Switch#show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 10 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded):
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDginM2bTHCwUU0qFpyAih94trSYEoicTjPaXbUn//O
IdtYlVuZEREkWrezyVKF2d9iZHDkdqkINUvgVmeyVbILPrqGe9wgV0lwg9n3WDKjqShur6CFV56z6GWF
KX8Q+s8cia/ppcy5duti0InprPPlx8q2X9Shwyvk9mDa9f2rzQ==
Switch#
ssh의 설정 정보를 확인한다.
'Technical > Network' 카테고리의 다른 글
| Cisco vrrp 설정방법 (0) | 2021.09.29 |
|---|---|
| CISCO 네트워크 보안 취약점 조치 방법(2) (0) | 2021.09.06 |
| 시스코 스마트 라이센스 업그레이드 방법 ( SLR ) (0) | 2021.09.01 |
| cisco 네트워크 보안 취약점 조치 방법 (1) (0) | 2021.08.27 |
| Cisco EEM track 설정방법 (0) | 2021.08.18 |
댓글