본문 바로가기
Technical/Network

CISCO 스위치의 SSH 설정

by 잠적준비중 2021. 9. 2.

원격 접속 프로토콜은 대표적으로 TELNET과 SSH가 있습니다.

처음 TELNET이 고안되어 많은 장비에서 사용되었지만 따로 패킷을 암호화하지 않아 패킷의 감청에 취약점이 있습니다.

그래서 원격 접속 시 패킷을 암호화하는 SSH가 고안되어 많은 장비에서 사용되고 있습니다.

 

이번 포스트에서는 CISCO 스위치에서 SSH 설정에 대해 알아보겠습니다.

 

기본 설정

 

Switch#conf t

Switch(config)#ip domain-name innern                                   ## 도메인 name을 innern으로 설정합니다(필수)
Switch(config)#crypto key generate rsa                                   ## ssh의  RSA키를  생성합니다.
The name for the keys will be: Switch.innern
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024                      ## RSA 키값을 1024비트를 사용합니다.(시스코 권고값)
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 4 seconds)

Switch(config)#

Switch(config)#username admin password 123               ## 계정을 생성합니다.

Switch(config)#enable password 123                            ## enable password를 생성합니다.

Switch(config)#line vty 0 15                                         
Switch(config-line)#transport input ssh                         ## 장비 접속을 ssh로만 허용합니다.
Switch(config-line)#login local                                    ## 내부 계정으로 접속합니다.

 

 

추가 설정 옵션

 

ssh 버전 옵션

 

-ssh 버전 옵션

 

Switch(config)#ip ssh version 1                        ##ssh v1사용
Switch(config)#ip ssh version 2                        ##ssh v2사용 (cisco 권고)
Switch(config)#no ip ssh version                      ##ssh v1 ,v2 둘다 사용

 

-ssh 접속 옵션

 

Switch(config)#ip ssh time-out 120                     ##ssh 접속 후 120초 동안 아무 반응이 없으면 접속 종료
Switch(config)#ip ssh time-out ?                        

<1-120>  SSH time-out interval (secs)                 ##ssh 접속 time out은 1초에서 120초 사이로 설정할 수 있음

 

-ssh acl 접속옵션

 

Switch(config)#access-list 10 permit host 10.10.10.11     ## acl 10 생성(10.10.10.11 허용)
Switch(config)#access-list 10 permit host 10.10.10.12     ## acl 10 생성(10.10.10.12 허용)

Switch(config)#line vty 0 15        

Switch(config-line)#access-class 10 in                          ## 세션 0 ~ 4 에 acl 10 적용

 

위 처럼 설정 시 10.10.10.11 , 10.10.10.12 만  ssh 접속을 허용합니다.

 

ssh port 번호 변경

 

Switch(config)#ip ssh port 2222 rotary 1                              ##ssh port번호 설정

Switch(config)#ip access-list extended sshport                      ##확장형 acl sshport 생성

Switch(config-ext-nacl)#permit tcp any any eq 2222               ## port 2222 번만 허용
Switch(config-ext-nacl)#exit         
Switch(config)#line vty 0 15 
Switch(config-line)#rotary 1                                              ##ssh port 번호 적용
Switch(config-line)#access-class sshport in                           ##sshport acl 적용

 

이제 ssh가 2222 포트로만 접속이 가능하다

 

 

ssh 상태 확인

 

Switch#show users
    Line       User       Host(s)              Idle       Location
*  0 con 0                idle                 00:00:00
   1 vty 0     admin      idle                 00:00:02 10.10.10.11

  Interface    User               Mode         Idle     Peer Address

스위치 접속 세션 및 유저를 확인한다.


Switch#show ssh
Connection Version Mode Encryption  Hmac         State                 Username
0          2.0     IN   aes256-cbc  hmac-sha1    Session started       admin
0          2.0     OUT  aes256-cbc  hmac-sha1    Session started       admin
%No SSHv1 server connections running.

ssh의 접속 세션 및 암호화 방식 및 접속 유저를 확인한다.


Switch#show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 10 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded):
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDginM2bTHCwUU0qFpyAih94trSYEoicTjPaXbUn//O
IdtYlVuZEREkWrezyVKF2d9iZHDkdqkINUvgVmeyVbILPrqGe9wgV0lwg9n3WDKjqShur6CFV56z6GWF
KX8Q+s8cia/ppcy5duti0InprPPlx8q2X9Shwyvk9mDa9f2rzQ==
Switch#

ssh의 설정 정보를 확인한다.

 

 

 

 

 

댓글