소개
이 문서에서는 라우터에 대한 인바운드 EXEC 연결을 위한 비밀번호 보호를 구성하기 위한 샘플 컨피그레이션을 제공합니다.
사전 요구 사항
요구 사항
이 문서에 설명된 작업을 수행하려면 라우터의 CLI(Command Line Interface)에 대한 특별 권한 EXEC 액세스가 있어야 합니다. 명령줄 사용 및 명령 모드 이해에 대한 자세한 내용은 Cisco IOS 명령줄 인터페이스 사용을 참조하십시오.
라우터에 콘솔을 연결하는 방법은 라우터와 함께 제공된 설명서를 참조하거나 장비의 온라인 설명서를 참조하십시오.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
배경 정보
라우터의 CLI(Command Line Interface)에 대한 액세스를 제어하거나 제한하는 비밀번호 보호를 사용하는 것은 전반적인 보안 계획의 기본 요소 중 하나입니다.
일반적으로 텔넷인 무단 원격 액세스로부터 라우터를 보호하는 것은 구성해야 하는 가장 일반적인 보안이지만, 무단 로컬 액세스로부터 라우터를 보호하는 것은 간과할 수 없습니다.
참고: 비밀번호 보호는 효과적인 심층 네트워크 보안 체계 구현에 사용해야 하는 여러 단계 중 하나입니다. 방화벽, 액세스 목록 및 장비에 대한 물리적 액세스 제어는 보안 계획을 구현할 때 고려해야 할 다른 요소입니다.
명령줄(EXEC)은 여러 가지 방법으로 라우터에 액세스할 수 있지만, 모든 경우 라우터에 대한 인바운드 연결이 TTY 라인에서 이루어집니다. 이 샘플 show line 출력에서 볼 수 있는 4가지 기본 TTY 라인 유형이 있습니다.
2509#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0 -
1 TTY 9600/9600 - - - - - 0 0 0/0 -
2 TTY 9600/9600 - - - - - 0 0 0/0 -
3 TTY 9600/9600 - - - - - 0 0 0/0 -
4 TTY 9600/9600 - - - - - 0 0 0/0 -
5 TTY 9600/9600 - - - - - 0 0 0/0 -
6 TTY 9600/9600 - - - - - 0 0 0/0 -
7 TTY 9600/9600 - - - - - 0 0 0/0 -
8 TTY 9600/9600 - - - - - 0 0 0/0 -
9 AUX 9600/9600 - - - - - 0 0 0/0 -
10 VTY - - - - - 0 0 0/0 -
11 VTY - - - - - 0 0 0/0 -
12 VTY - - - - - 0 0 0/0 -
13 VTY - - - - - 0 0 0/0 -
14 VTY - - - - - 0 0 0/0 -
2509#
CTY 라인 유형은 콘솔 포트입니다. 어떤 라우터에서든 라우터 컨피그레이션에 line con 0으로 표시되고 show line 명령의 출력에는 cty로 표시됩니다. 콘솔 포트는 주로 콘솔 터미널을 사용하는 로컬 시스템 액세스에 사용됩니다.
TTY 회선은 인바운드 또는 아웃바운드 모뎀 및 터미널 연결에 사용되는 비동기 회선이며 라우터 또는 액세스 서버 구성에서 x 행으로 볼 수 있습니다. 특정 라인 번호는 라우터 또는 액세스 서버에 내장되거나 설치된 하드웨어의 기능입니다.
AUX 라인은 보조 포트이며, 컨피그레이션에서 보조 포트(라인 보조 0)로 표시됩니다.
VTY 라인은 인바운드 텔넷 연결만 제어하는 데 사용되는 라우터의 가상 터미널 회선입니다. 이러한 제품은 소프트웨어 기능이라는 점에서 가상이며, 이와 관련된 하드웨어는 없습니다. 라인 vty 0 4로 컨피그레이션에 나타납니다.
이러한 각 유형의 회선은 비밀번호 보호를 사용하여 구성할 수 있습니다. 모든 사용자에 대해 하나의 비밀번호를 사용하거나 사용자별 비밀번호를 사용하도록 라인을 구성할 수 있습니다. 사용자별 비밀번호는 라우터에서 로컬로 구성하거나 인증 서버를 사용하여 인증을 제공할 수 있습니다.
암호 보호 유형이 서로 다른 라인을 구성하는 것은 금지되지 않습니다. 실제로 콘솔용 단일 비밀번호가 있는 라우터와 다른 인바운드 연결에 대한 사용자별 비밀번호를 보는 것은 일반적입니다.
다음은 show running-config 명령의 라우터 출력 예입니다.
2509#show running-config
Building configuration...
Current configuration : 655 bytes
!
version 12.2
.
.
.
!--- Configuration edited for brevity
line con 0
line 1 8
line aux 0
line vty 0 4
!
end
회선에서 비밀번호 구성
회선에서 비밀번호를 지정하려면 회선 컨피그레이션 모드에서 password 명령을 사용합니다. 로그인 시 비밀번호 확인을 활성화하려면 라인 컨피그레이션 모드에서 login 명령을 사용합니다.
구성 절차
이 예에서는 콘솔을 사용하려는 모든 사용자에 대해 비밀번호가 구성됩니다.
-
특별 권한 EXEC(또는 "enable") 프롬프트에서 컨피그레이션 모드를 시작한 다음 다음 다음 명령을 사용하여 회선 컨피그레이션 모드로 전환합니다. 프롬프트가 현재 모드를 반영하도록 변경됩니다.
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#line con 0
router(config-line)#
-
비밀번호를 구성하고 로그인 시 비밀번호 확인을 활성화합니다.
router(config-line)#password letmein
router(config-line)#login
-
컨피그레이션 모드를 종료합니다.
router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console
참고: 라인 0에 대한 구성 변경 사항을 저장하지 마십시오.
참고: 라인 콘솔 컨피그레이션에서 login은 로그인 시 비밀번호 확인을 활성화하는 필수 컨피그레이션 명령입니다. 콘솔 인증에는 password 및 login 명령이 모두 작동해야 합니다.
구성 확인
라우터의 컨피그레이션을 검사하여 명령이 올바르게 입력되었는지 확인합니다.
-
show running-config - 라우터의 현재 컨피그레이션을 표시합니다.
router#show running-config
Building configuration...
...
!--- Lines omitted for brevity
!
line con 0
password letmein
login
line 1 8
line aux 0
line vty 0 4
!
end
컨피그레이션을 테스트하려면 콘솔에서 로그오프하고 구성된 비밀번호를 사용하여 라우터에 다시 로그인합니다.
router#exit
router con0 is now available
Press RETURN to get started.
User Access Verification
Password:
!--- Password entered here is not displayed by the router
router>
참고: 이 테스트를 수행하기 전에 라우터에 다시 로그인하는 데 문제가 있는 경우 텔넷 또는 다이얼인과 같은 라우터에 대체 연결이 있는지 확인하십시오.
로그인 실패 문제 해결
라우터에 다시 로그인할 수 없고 컨피그레이션을 저장하지 않은 경우 라우터를 다시 로드하면 컨피그레이션 변경 사항이 제거됩니다.
컨피그레이션 변경 사항을 저장하고 라우터에 로그인할 수 없는 경우 비밀번호 복구를 수행해야 합니다. 특정 플랫폼에 대한 지침을 찾으려면 비밀번호 복구 절차를 참조하십시오.
로컬 사용자별 비밀번호 구성
사용자 이름 기반 인증 시스템을 설정하려면 글로벌 컨피그레이션 모드에서 username 명령을 사용합니다. 로그인 시 비밀번호 확인을 활성화하려면 라인 컨피그레이션 모드에서 login local 명령을 사용합니다.
구성 절차
이 예에서는 텔넷을 사용하여 VTY 라인의 라우터에 연결하려는 사용자에 대해 비밀번호가 구성됩니다.
-
특별 권한 EXEC(또는 "enable") 프롬프트에서 컨피그레이션 모드를 시작하고 사용자 이름/비밀번호 조합을 입력합니다. 이 조합은 라우터에 대한 액세스를 허용할 각 사용자에 대해 하나씩 입력합니다.
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#username russ password montecito
router(config)#username cindy password belgium
router(config)#username mike password rottweiler
-
다음 명령을 사용하여 회선 구성 모드로 전환합니다. 프롬프트가 현재 모드를 반영하도록 변경됩니다.
router(config)#line vty 0 4
router(config-line)#
-
로그인 시 비밀번호 확인을 구성합니다.
router(config-line)#login local
-
컨피그레이션 모드를 종료합니다.
router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console
참고: CLI에서 이름을 입력할 때 자동 텔넷을 비활성화하려면 사용되는 회선에서 로깅을 선호하지 않도록 구성합니다. transport preferred none은 동일한 출력을 제공하지만 ip host 명령으로 구성된 정의된 호스트에 대해 자동 텔넷을 비활성화합니다. 이는 no logging preferred 명령과 다릅니다. 이 명령은 정의되지 않은 호스트에 대해 이를 중지하고 정의된 호스트에 대해 작동하도록 합니다.
구성 확인
라우터의 컨피그레이션을 검사하여 명령이 올바르게 입력되었는지 확인합니다.
-
show running-config - 라우터의 현재 컨피그레이션을 표시합니다.
router#show running-config
Building configuration...
!
!--- Lines omitted for brevity
!
username russ password 0 montecito
username cindy password 0 belgium
username mike password 0 rottweiler
!
!--- Lines omitted for brevity
!
line con 0
line 1 8
line aux 0
line vty 0 4
login local
!
end
이 컨피그레이션을 테스트하려면 라우터에 텔넷 연결을 설정해야 합니다. 이 작업은 네트워크의 다른 호스트에서 연결하여 수행할 수 있지만, show interfaces 명령의 출력에서 볼 수 있듯이 up/up 상태에 있는 라우터의 모든 인터페이스의 IP 주소에 텔네팅을 통해 라우터 자체에서 테스트할 수도 있습니다.
인터페이스 이더넷 0의 주소가 10.1.1.1인 경우 샘플 출력이 있습니다.
router#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
User Access Verification
Username: mike
Password:
!--- Password entered here is not displayed by the router
router
사용자별 비밀번호 문제 해결
사용자 이름과 비밀번호는 대/소문자를 구분합니다. 잘못 케이스된 사용자 이름 또는 비밀번호로 로그인을 시도하는 사용자는 거부됩니다.
사용자가 특정 비밀번호를 사용하여 라우터에 로그인할 수 없는 경우 라우터에서 사용자 이름과 비밀번호를 재구성합니다.
AUX 라인 비밀번호 구성
AUX 행에서 비밀번호를 지정하려면 라인 컨피그레이션 모드에서 password 명령을 실행합니다. 로그인 시 비밀번호 확인을 활성화하려면 라인 컨피그레이션 모드에서 login 명령을 실행합니다.
구성 절차
이 예에서는 AUX 포트를 사용하려는 모든 사용자에 대해 비밀번호가 구성됩니다.
-
AUX 포트에서 사용하는 줄을 확인하려면 show line 명령을 실행합니다.
R1#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0 -
65 AUX 9600/9600 - - - - - 0 1 0/0 -
66 VTY - - - - - 0 0 0/0 -
67 VTY - - - - - 0 0 0/0 -
-
이 예에서 AUX 포트는 65행에 있습니다. 라우터 AUX 라인을 구성하려면 다음 명령을 실행하십시오.
R1# conf t
R1(config)# line 65
R1(config-line)#modem inout
R1(config-line)#speed 115200
R1(config-line)#transport input all
R1(config-line)#flowcontrol hardware
R1(config-line)#login
R1(config-line)#password cisco
R1(config-line)#end
R1#
구성 확인
라우터의 컨피그레이션을 검사하여 명령이 올바르게 입력되었는지 확인합니다.
로그인을 위한 AAA 인증 구성
로그인에 대한 AAA(Authentication, Authorization, and Accounting) 인증을 활성화하려면 라인 컨피그레이션 모드에서 login authentication 명령을 사용합니다. AAA 서비스도 구성해야 합니다.
구성 절차
이 예에서는 사용자가 라우터에 연결을 시도할 때 TACACS+ 서버에서 사용자의 비밀번호를 검색하도록 라우터가 구성됩니다.
참고: 다른 유형의 AAA 서버(예: RADIUS)를 사용하도록 라우터를 구성하는 것은 유사합니다. 자세한 내용은 인증 구성을 참조하십시오.
참고: 이 문서에서는 AAA 서버 자체의 컨피그레이션을 다루지 않습니다.
-
특별 권한 EXEC(또는 "enable") 프롬프트에서 컨피그레이션 모드를 시작하고 인증에 AAA 서비스를 사용하도록 라우터를 구성하는 명령을 입력합니다.
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#aaa new-model
router(config)#aaa authentication login my-auth-list tacacs+
router(config)#tacacs-server host 192.168.1.101
router(config)#tacacs-server key letmein
-
다음 명령을 사용하여 회선 구성 모드로 전환합니다. 프롬프트가 현재 모드를 반영하도록 변경됩니다.
router(config)#line 1 8
router(config-line)#
-
로그인 시 비밀번호 확인을 구성합니다.
router(config-line)#login authentication my-auth-list
-
컨피그레이션 모드를 종료합니다.
router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console
구성 확인
라우터의 컨피그레이션을 검사하여 명령이 올바르게 입력되었는지 확인합니다.
이 특정 컨피그레이션을 테스트하려면 라인에 인바운드 또는 아웃바운드 연결을 설정해야 합니다. 모뎀 연결을 위한 비동기 회선 구성에 대한 자세한 내용은 모뎀 - 라우터 연결 가이드를 참조하십시오.
또는 하나 이상의 VTY 행을 구성하여 AAA 인증을 수행하고 테스트를 수행할 수 있습니다.
AAA 로그인 실패 문제 해결
debug 명령을 실행하기 전에, 디버그 명령에 대한 중요 정보를 참조하십시오.
실패한 로그인 시도를 트러블슈팅하려면 컨피그레이션에 적합한 debug 명령을 사용합니다.
관련 정보