[Cisco] 라우터 SSH 설정

텔넷으로 접근할 때 패스워드를 요구하도록 만드는 방법은 'line vty 0 15' 이다.

Router(config)#line vty 0 15 Router(config-line)#password pass Router(config-line)#login

텔넷은 콘솔과 다르게 패스워드를 설정하지 않으면 접속 자체를 할 수 없다.

'line vty 0 15'라는 명령어는  vty(Virtual Terminal: 터미널 에뮬레이터를 뜻하는 예전 이름) 라인 0번~15번까지 총 16개의 세션을 동시에 허용한다는 의미이다.

그런데 'show running-config' 명령어를 통해 설정을 확인해보면

이상하게도 'line vty 0 15'로 설정했던 항목이 'line vty 0 4'와 'line vty 5 15'로 나눠져 있음을 확인할 수 있다.

이것은 옛날 버전의 IOS(Internetwork Operating System-시스코 제품 운영체제)에는 vty가 0번부터 4번까지만 있었으며 향후 나머지가 추가됐기 때문에 2개의 vty 라인으로 나눠져 보이는 거란다.

그리고 당연히 텔넷이나 SSH로 스위치나 라우터에 접속하려면 IP도 설정해 된다. 라인 설정 모드에서 'login local' 명령어로 접속시 유저명을 적도록 만든다.

1. 라인 설정 모드에서 'transport input ssh' 명령어로 텔넷과 SSH 접속 시도를 받아들이도록 만든다.

2. 기 본 값은 'transport input telnet'이기 때문에 이 설정을 하지 않으면 외부로부터 들어온 SSH 접속 시도를 무시한다. CCNA 공식 교재에는 'transport input telnet ssh' 명령어로 텔넷과 SSH 모두 접속을 받을 수 있다고 되어 있지만 패킷 트레이서 시뮬레이터에서는 불가능한 것을 확인.

3. 만약 라우터의 이름이 디폴트 이름이라면 전역 설정 모드에서 'hostname name' 명령어로 이름을 바꿔준다. 디폴트 이름인 상태에서는 키를 생성할 수 없다.

4. 전역 설정 모드에서 'username name password pass' 명령어로 유저명과 패스워드를 설정한다.

5. 전역 설정 모드에서 'ip domain-name name' 명령어로 DNS 도메인을 설정한다.

6. 전역 설정 모드에서 'crypto key generate rsa' 명령어로 공개 키와 비밀 키를 생성한다.

Router#configure terminal Router(config)#line vty 0 15 Router(config-line)#login local Router(config-line)#transport input ssh Router(config-line)#exit Router(config)#hostname R R(config)#username cisco password cisco R(config)#ip domain-name test.com R(config)#crypto key generate rsa

그리고 'show running-config' 같은 명령어로 설정 내용을 보면 'enable secret pass' 명령어로 설정한 패스워드를 제외한 모든 패스워드가 평문으로 저장된다.

전역 설정 모드에서 'service password-encryption' 명령어를 사용하면 평문으로 저장된 모든 패스워드가 암호화된다.

참고로 'show running-config' 같은 명령어로 설정 내용을 보다 보면 아래와 같은 몇 가지 형식의 패스워드 설정 상태를 볼 수 있다.

enable password cisco   <-- 평문 저장 password 0 cisco   <-- 평문 저장 enable secret 5 $1$mERr$ZqHM/gUoQmKsxk7GZ4Y2E/   <-- MD5 해쉬 저장(보안 수준 강력) password 7 08710C4F0B1A   <-- 일반 암호화 저장(보안 수준 취약)

패스워드를 변경할 때는 기존의 패스워드를 삭제할 필요 없이

그냥 이전에 패스워드를 설정할 때랑 같은 명령어에 패스워드만 새롭게 만들면 된다.

또한 패스워드를 삭제할 때는 설정했을 때 썼던 명령어 앞에 'no'만 붙여주면 된다.

예를 들어 'username cisco password abc'라는 패스워드 항목이 있다면 지울 때는

'no username cisco'라고만 써주면 된다.