소개
이 문서에서는 라우터에 대한 인바운드 EXEC 연결을 위한 비밀번호 보호를 구성하는 샘플 컨피그레이션에 대해 설명합니다.
사전 요구 사항
요구 사항
이 문서에 설명된 작업을 수행하려면 라우터 CLI(Command Line Interface)에 대한 특권 EXEC 액세스 권한이 있어야 합니다. 명령줄에 대한 정보 및 명령 모드에 대한 자세한 내용은 Cisco IOS Command-Line Interface 사용을 참조하십시오.
라우터에 콘솔을 연결하는 방법은 라우터와 함께 제공된 설명서를 참조하거나 장비의 온라인 설명서를 참조하십시오.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
-
Cisco 2509 라우터
-
Cisco IOS® 소프트웨어 버전 12
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
배경 정보
라우터의 CLI(Command Line Interface)에 대한 액세스를 제어하거나 제한하기 위해 비밀번호 보호를 사용하는 것은 전반적인 보안 계획의 기본 요소 중 하나입니다.
라우터를 무단 원격 액세스(일반적으로 텔넷)로부터 보호하는 것은 구성해야 하는 가장 일반적인 보안이지만, 라우터를 무단 로컬 액세스로부터 보호하는 것은 간과할 수 없습니다.
참고: 비밀번호 보호는 효과적인 심층 네트워크 보안 규정에서 사용할 수 있는 여러 단계 중 하나일 뿐입니다. 방화벽, 액세스 목록, 장비에 대한 물리적 액세스 제어 등은 보안 계획을 구현할 때 반드시 고려해야 하는 또 다른 요소입니다.
명령줄 또는 EXEC는 여러 가지 방법으로 라우터에 액세스할 수 있지만, 모든 경우 라우터에 대한 인바운드 연결이 TTY 회선에서 이루어집니다. 이 샘플에서 볼 수 있듯이 TTY 라인에는 4가지 주요 유형이 있습니다 show line
성과:
2509#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0 -
1 TTY 9600/9600 - - - - - 0 0 0/0 -
2 TTY 9600/9600 - - - - - 0 0 0/0 -
3 TTY 9600/9600 - - - - - 0 0 0/0 -
4 TTY 9600/9600 - - - - - 0 0 0/0 -
5 TTY 9600/9600 - - - - - 0 0 0/0 -
6 TTY 9600/9600 - - - - - 0 0 0/0 -
7 TTY 9600/9600 - - - - - 0 0 0/0 -
8 TTY 9600/9600 - - - - - 0 0 0/0 -
9 AUX 9600/9600 - - - - - 0 0 0/0 -
10 VTY - - - - - 0 0 0/0 -
11 VTY - - - - - 0 0 0/0 -
12 VTY - - - - - 0 0 0/0 -
13 VTY - - - - - 0 0 0/0 -
14 VTY - - - - - 0 0 0/0 -
2509#
CTY 행 유형은 콘솔 포트입니다. 어떤 라우터에서든 라우터 컨피그레이션에 라인 con 0 및 의 출력으로 표시됩니다. show line
명령을 cty로 지정합니다. 콘솔 포트는 콘솔 터미널을 통한 로컬 시스템 액세스에 주로 사용됩니다.
TTY 회선은 인바운드 또는 아웃바운드 모뎀 및 터미널 연결에 사용되는 비동기 회선이며 라우터 또는 액세스 서버 컨피그레이션에서 회선 x로 볼 수 있습니다. 특정 회선 번호는 라우터 또는 액세스 서버에 구축되거나 설치된 하드웨어의 기능입니다.
AUX 라인은 보조 포트이며 컨피그레이션에서 라인 aux 0으로 표시됩니다.
VTY 회선은 인바운드 텔넷 연결을 제어하는 데만 사용되는 라우터의 가상 터미널 회선입니다. 이들은 소프트웨어의 기능이라는 의미에서 가상이며, 이들과 연결된 하드웨어는 없습니다. 컨피그레이션에 행 vty 0 4로 나타납니다.
이러한 각 유형의 회선은 비밀번호 보호를 사용하여 구성할 수 있습니다. 모든 사용자 또는 사용자별 비밀번호에 하나의 비밀번호를 사용하도록 라인을 구성할 수 있습니다. 사용자별 비밀번호는 라우터에서 로컬로 구성할 수도 있고, 인증 서버를 사용하여 인증을 제공할 수도 있습니다.
다른 유형의 비밀번호 보호를 사용하여 서로 다른 회선을 구성하는 것은 금지되지 않습니다. 실제로 콘솔에 대한 단일 비밀번호와 다른 인바운드 연결에 대한 사용자별 비밀번호가 있는 라우터를 보는 것이 일반적입니다.
다음은 의 라우터 출력 예입니다. show running-config
명령을 사용합니다:
2509#show running-config
Building configuration...
Current configuration : 655 bytes
!
version 12.2
.
.
.
!--- Configuration edited for brevity
line con 0
line 1 8
line aux 0
line vty 0 4
!
end
회선에서 비밀번호 구성
회선에 암호를 지정하려면 password
명령입니다. 로그인 시 비밀번호 확인을 활성화하려면 login
명령입니다.
컨피그레이션 절차
이 예에서는 콘솔을 사용하려고 시도하는 모든 사용자에 대해 비밀번호가 구성됩니다.
-
특별 권한 EXEC(또는 enable) 프롬프트에서 컨피그레이션 모드를 시작한 다음 이 명령을 사용하여 회선 컨피그레이션 모드로 전환합니다. 현재 모드를 반영하여 프롬프트가 변경됩니다.
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#line con 0
router(config-line)#
-
비밀번호를 구성하고 로그인 시 비밀번호 확인을 활성화합니다.
router(config-line)#password letmein
router(config-line)#login
-
컨피그레이션 모드를 종료합니다.
router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console
참고: 로그인 기능이 확인될 때까지 구성 변경 사항을 행 con 0에 저장하지 마십시오.
참고: 라인 콘솔 컨피그레이션에서 login
은(는) 로그인할 때 비밀번호 확인을 활성화하는 데 필요한 컨피그레이션 명령입니다. 콘솔 인증에는 password
및 login
작업 명령
구성 확인
라우터의 컨피그레이션을 검사하여 명령이 올바르게 입력되었는지 확인합니다.
-
show running-config
- 라우터의 현재 컨피그레이션을 표시합니다.
router#show running-config
Building configuration...
...
!--- Lines omitted for brevity
!
line con 0
password letmein
login
line 1 8
line aux 0
line vty 0 4
!
end
컨피그레이션을 테스트하려면 콘솔에서 로그오프한 후 다시 로그인하고 구성된 비밀번호를 사용하여 라우터에 액세스합니다.
router#exit
router con0 is now available
Press RETURN to get started.
User Access Verification
Password:
!--- Password entered here is not displayed by the router
router>
참고: 이 테스트를 수행하기 전에 라우터에 다시 로그인하는 동안 문제가 발생할 경우 텔넷 또는 전화 접속 등의 대체 라우터에 대한 연결이 있는지 확인하십시오.
로그인 실패 문제 해결
라우터에 다시 로그인할 수 없고 컨피그레이션을 저장하지 않은 경우 라우터를 다시 로드하여 컨피그레이션 변경 사항을 제거합니다.
컨피그레이션 변경 사항이 저장되었고 라우터에 로그인할 수 없는 경우 비밀번호 복구를 수행합니다. 특정 플랫폼에 대한 지침을 찾으려면 비밀번호 복구 절차를 참조하십시오.
로컬 사용자별 비밀번호 구성
사용자 이름 기반 인증 시스템을 설정하려면 username < /code>
전역 컨피그레이션 모드의 명령입니다. 로그인 시 비밀번호 확인을 활성화하려면 login local
명령입니다.
컨피그레이션 절차
이 예에서는 텔넷을 사용하여 VTY 라인의 라우터에 연결을 시도하는 사용자에 대해 비밀번호를 구성합니다.
-
특별 권한 EXEC(또는 enable) 프롬프트에서 컨피그레이션 모드를 입력하고 라우터에 대한 액세스를 허용할 각 사용자에 대해 하나씩 사용자 이름/비밀번호 조합을 입력합니다.
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#username russ password montecito
router(config)#username cindy password belgium
router(config)#username mike password rottweiler
-
회선 컨피그레이션 모드로 전환하고 다음 명령을 사용합니다. 현재 모드를 반영하여 프롬프트가 변경됩니다.
router(config)#line vty 0 4
router(config-line)#
-
로그인 시 비밀번호 확인을 구성합니다.
router(config-line)#login local
-
컨피그레이션 모드를 종료합니다.
router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console
참고: CLI에서 이름을 입력할 때 자동 텔넷을 비활성화하려면 다음을 구성합니다 사용 중인 행에 preferred /strong>logging이 없습니다. transport preferred none은 동일한 출력을 제공하지만 ip host 명령으로 구성된 정의된 호스트에 대해 auto Telnet도 비활성화합니다. 이는 Cisco의 no log preferred
이 명령은 정의되지 않은 호스트에 대해 이 명령을 중지하고 정의된 호스트에 대해 작동하도록 허용합니다.
구성 확인
라우터의 컨피그레이션을 검사하여 명령이 올바르게 입력되었는지 확인합니다.
-
show running-config
- 라우터의 현재 컨피그레이션을 표시합니다.
router#show running-config
Building configuration...
!
!--- Lines omitted for brevity
!
username russ password 0 montecito
username cindy password 0 belgium
username mike password 0 rottweiler
!
!--- Lines omitted for brevity
!
line con 0
line 1 8
line aux 0
line vty 0 4
login local
!
end
이 컨피그레이션을 테스트하려면 라우터에 대한 텔넷 연결이 설정되어야 합니다. 네트워크의 다른 호스트에서 연결하는 경우에도 이 작업을 수행할 수 있지만, 텔넷을 통해 라우터 자체에서 의 출력에 표시된 것처럼 가동/가동 상태인 라우터에 있는 인터페이스의 IP 주소로 테스트할 수도 있습니다 show interfaces
명령을 실행합니다.
다음은 인터페이스 이더넷 0의 주소가 10.1.1.1인 경우의 샘플 출력입니다.
router#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
User Access Verification
Username: mike
Password:
!--- Password entered here is not displayed by the router
router
사용자별 비밀번호 오류 트러블슈팅
사용자 이름 및 비밀번호는 대/소문자를 구분합니다. 잘못된 사용자 이름 또는 비밀번호로 로그인을 시도한 사용자는 거부됩니다.
사용자가 특정 비밀번호로 라우터에 로그인할 수 없는 경우 라우터에서 사용자 이름과 비밀번호를 재구성합니다.
AUX 회선 비밀번호 구성
AUX 행에 암호를 지정하려면 password
명령입니다. 로그인 시 비밀번호 확인을 활성화하려면 login
명령입니다.
컨피그레이션 절차
이 예에서는 AUX 포트를 사용하려는 모든 사용자에 대해 비밀번호를 구성합니다.
-
e를 발행합니다 show line
명령을 입력하여 AUX 포트에서 사용하는 줄을 확인합니다.
R1#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0 -
65 AUX 9600/9600 - - - - - 0 1 0/0 -
66 VTY - - - - - 0 0 0/0 -
67 VTY - - - - - 0 0 0/0 -
-
이 예에서는 AUX 포트가 65번 행에 있습니다. 라우터 AUX 회선을 구성하려면 다음 명령을 실행합니다.
R1#configure terminal
R1(config)#line 65
R1(config-line)#modem inout
R1(config-line)#speed 115200
R1(config-line)#transport input all
R1(config-line)#flowcontrol hardware
R1(config-line)#login
R1(config-line)#password cisco
R1(config-line)#end
R1#
컨피그레이션 확인
라우터의 컨피그레이션을 검사하여 명령이 올바르게 입력되었는지 확인합니다.
로그인을 위한 AAA 인증 구성
로그인에 대한 AAA(Authentication, Authorization, and Accounting) 인증을 활성화하려면 login authentication
명령입니다. AAA 서비스도 구성해야 합니다.
컨피그레이션 절차
이 예에서 라우터는 사용자가 라우터에 연결을 시도할 때 TACACS+ 서버에서 사용자의 비밀번호를 검색하도록 구성됩니다.
참고: 다른 유형의 AAA 서버(예: RADIUS)를 사용하도록 라우터를 구성하는 것도 비슷합니다. 자세한 내용은 인증 구성을 참조하십시오.
참고: 이 문서에서는 AAA 서버 자체의 컨피그레이션을 다루지 않습니다.
-
특별 권한 EXEC(또는 enable) 프롬프트에서 컨피그레이션 모드를 입력하고 명령을 입력하여 인증에 AAA 서비스를 사용하도록 라우터를 구성합니다.
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#aaa new-model
router(config)#aaa authentication login my-auth-list tacacs+
router(config)#tacacs-server host 192.168.1.101
router(config)#tacacs-server key letmein
-
회선 컨피그레이션 모드로 전환하고 다음 명령을 사용합니다. 현재 모드를 반영하여 프롬프트가 변경됩니다.
router(config)#line 1 8
router(config-line)#
-
로그인 시 비밀번호 확인을 구성합니다.
router(config-line)#login authentication my-auth-list
-
컨피그레이션 모드를 종료합니다.
router(config-line)#end
router#
%SYS-5-CONFIG_I: Configured from console by console
구성 확인
라우터의 컨피그레이션을 검사하여 명령이 올바르게 입력되었는지 확인합니다.
이 특정 컨피그레이션을 테스트하려면 회선에 인바운드 또는 아웃바운드 연결을 설정해야 합니다. 모뎀 연결을 위한 비동기 회선 구성에 대한 자세한 내용은 Modem - Router Connection Guide를 참조하십시오.
또는 하나 이상의 VTY 행을 구성하여 AAA 인증을 수행하고 그에 따라 테스트를 수행할 수 있습니다.
AAA 로그인 실패 문제 해결
발행하기 전에 debug
명령, Debug 명령에 대한 중요 정보를 참조하십시오.
실패한 로그인 시도의 문제를 해결하려면 debug
컨피그레이션에 적합한 명령:
관련 정보