CISCO Router Telnet, SSH 기본 설정

단순하게 PC와 라우터가 연결되어 있는 내부 네트워크 구조;

CISCO Packet Tracer를 통한 간단한 예제이다.

 

End Device인 Persenol Computer는 스위치를 통해 데이터를 Gateway로 전송하여 외부 네트워크랑 통신한다.

여기서 Gateway는 라우터가 되며 실세계에선 ISP가 그 업무를 담당해 준다.

이 외부 네트워크와 통신할 때 PC와 라우터의 통신을 PING 명령어를 통해 알아볼 수 있다.

그럼 PC에서 라우터에 원격 연결을 하는 Telnet과 SSH을 설정하는 법에 대해 간략히 공부해보자.

 

기본 configuration

각 PC와 Router에 IP와 SubnetMask, Default Gateway 를 보기 편하게 설정한 결과이다.

이를 기반으로 PC 0번은 SSH으로 PC 1번은 Telnet으로 접속해보자.

 

일단 Telnet을 위한 설정을 하려한다.

Router1번의 관리자 모드를 Enalbe 시켜주고 configure terminal 접속 후 새로운 관리자 권한의 계정을 만들어 본다.

 

여기까지 기본 설정이 끝나면 vty를 5대 열어 주어서 Login 제한을 두고 Telnet 접속을 허용해 주기만 하면 끝이난다.

여기서 logging synchronous를 사용했는데 이러한 세팅과 설정을 하다보면 상태메시지가 빈번히 일어날 수 있다. 그러나 CLI에서는 GUI기반의 메시지가 출력되지 않기 때문에 명령어를 치고있는 와중에도 일어나면 현재 하던 작업이 사라져서 곤혹을 겪는다. 이를 방지하기위해 상태메시지와 입력창을 분리시켜주는 명령어이다. 알아두면 쓸데있을수도 있는 지식이다.

 

□ 이로써 Telnet 접속을 위한 설정은 끝이난다. 바로 원격으로 접속해보자!

위 설정대로 접속해보았다

위와같은 설정들로 인하여 관리자인 admin 계정으로 Telnet에 접속할 수 있다!

그러나 Telnet은 보안에 아주 취약한 단점이있다. Cisco Packet Tracer 의 가상 환경이 아니라 실세계에서 Telnet 등으로 원격 연결해서 사용하려하면 "방화벽 해제" "데이터의 암호화 되지않는 평문화" 등 보안에 아주 취약하다. 그걸 보안하고자 SSH가 나왔다. 이번엔 SSH로 접속을 시도해보자!

 

일단, 위에서 라우터 기본 설정과 똑같이 설정해 주도록 한다.

여기까지는 동일하다. 여기서 잠시 SSH에 대해서 조금만 알아보고 가자

SSH Key란?

서버에 접속 할 때 비밀번호 대신 key를 제출하는 방식이다. 

SSH Key는 언제 사용하는가?

• 비밀번호 보다 높은 수준의 보안을 필요로 할 때
• 로그인 없이 자동으로 서버에 접속 할 때

SSH Key는 공개키(public key)와 비공개 키(private key)로 이루어지는데 이 두개의 관계를 이해하는 것이 SSH Key를 이해하는데 핵심이다. 키를 생성하면 공개키와 비공개키가 만들어진다. 이 중에 비공개키는 로컬 머신에 위치해야 하고, 공개키는 리모트 머신에 위치해야 한다. (로컬 머신은 SSH Client, 원격 머신은 SSH Server가 설치된 컴퓨터를 의미한다.)

SSH 접속을 시도하면 SSH Client가 로컬 머신의 비공개키와 원격 머신의 비공개키를 비교해서 둘이 일치하는지를 확인한다. 

 

즉, SSH로 연결하기 위해서 Telnet의 Password나 Secret보다 높은 보안 수준을 요구하고, 보안 암호화 알고리즘으로 이루어진 Key를 사용하여 인증해야 한다는 것이다.

바로 실습해보자.

 

일단 Cisco Packet Trace에서 RSA기반의 암호화를 진행하기 위해서는 도메인이 필요하다. RSA키를 생성할때 키 레이블을 지정해야하는데 Default로 라우터의 FQDN(정규화된 도메인 이름)이 사용된다. 도메인은 임시로 지정해주고 생성해 보았다.

 

연습을 위해 만들어둔 키가 있어서 대체할거냐 물어본 화면이다. 첫 생성하면 안뜬다.

□ ip domain-name [] 으로 기본 RSA키의 레이블이 될 도메인 주소를 임의로 입력하였고

□ crypto key generate rsa 를통해 RSA키를 생성하였다.

□ How many bits in the modulus [512] :  기본적으로 인증 기관(CA) 키의 길이는 1024비트이다. 보안성을 위해 초소값이 아닌 적당한 값을 넣어주자 ( 한쌍 = x2 )

 

마지막으로 접속 터미널 설정을 SSH로 바꿔주고 확인해보자

transport input 으로 접속 방식을 변경한다.

SSH로 변경이 완료된 상태이다. 원격 PC를 통해 접속하자

SSH -l 옵션으로 손쉽게 로그인한다.

SSH -l 옵션으로 로그인할 계정의 아이디를 입력하고 아까 설정했던 라우터에 연결해보았다.

Password를 입력하니 정상적으로 로그인 되는 모습을 볼 수 있다.!

 

마지막으로 각 Router에 저장된 항목들을 Show Running-config를 통해 확인하고 NVRAM에 저장하고 마무리하도록 하겠습니다.