THE 쉬운 실전 네트워크 : 네트워크 장비 기본 세팅~

안녕하세요~

조사부 입니다.

 

오늘은 대규모 사이트들이 어떤 세팅을 쓰고 어떻게 기본적으로 구성을 하는지 

알아보는 시간 입니다. 

 

오늘 강의 내용은

 

계정 설정

원격 접속 설정

ACL

SNMP 설정

 

4가지를 배울 겁니다.

 

제일 먼저 할 것은 hostname 변경이죠?

모든 스위치를

 

switch> 

 

이렇게 관리 하실 분은 없다고 생각이 듭니다.

 

 

switch(config)#hostname BB-1

DSW-1(config)#

 

 

두번째 접속 계정을 생성을 합니다. 

 

 

제가 먼저 세팅을 한 장비들은 계정과 암호 설정을 완료 하였습니다.

 

계정 생성 및 설정

DSW-1(config)#username admin secret 1234

 

암호 생성을 할 때 Password와 secret이 있는데 

위의 컨피그처럼 비밀번호를 암호화를 하려면 secret으로 설정 해주시면 됩니다.

 

 

원격 접속 설정을 해보겠습니다.

 

보통 telnet으로 원격을 설정을 많이 하는데요.

telnet은 세션 자체가 평문으로 이루어져서 보안에 상당히 취약 합니다.

 

그래서 대형 기관, 기업들은 ssh로 설정을 많이 합니다.

 

먼저 ssh 설정을 해보겠습니다.

 

 

DSW-1(config)#ip domain-name josaboo.com

DSW-1(config)#ip ssh version 2

DSW-1(config)#crypto key generate rsa <--- ssh key값 생성

How many bits in the modulus [512]: 1024   

DSW-1(config)#ip ssh port 2000 rotary 1

 

 

 

 

ssh를 설정을 해주었는데...

아무나 막 네트워크 장비에 접속해서 들어오면 안되겠죠?

 

access list 설정으로 접속 통제를 걸어 줍니다.

 

 

DSW-1(config)#ip access-list extended ssh_acl

DSW-1(config-ext-nacl)# permit tcp host 192.168.200.77 any eq 2000
DSW-1(config-ext-nacl)# permit tcp host 192.168.200.78 any eq 2000
DSW-1(config-ext-nacl)# permit tcp host 192.168.200.79 any eq 2000

DSW-1(config-ext-nacl)#  deny tcp any any log

 

192.168.200.77 ~ 79 IP만 접속을 허용을 하고 나머지는 다 차단을 합니다.

 

음... 이제 보안 설정이 끝이 났으니 이제 원격 접속 설정을 해 볼까요?

 

 

 

DSW-1(config)# line vty 0 4(동시 접속 허용 갯수)

DSW-1(config-line)# login local(접속시 ID, PASSWORD 입력 할 수 있게 설정)

DSW-1(config-line)# exec-timeout 5 0(세션 유지시간을 5분으로 설정)

DSW-1(config-line)# password 1234

DSW-1(config-line)# transport input ssh (장비 OS따라 해당 명령어가 지원이 안될 수 있음)

DSW-1(config-line)# rotary 1(ssh 2000port로 접속 할 수 있게 설정)

DSW-1(config-line)# access-class ssh_acl in(설정한 ACL을 원격 접속 설정에 적용)

 

 

 

이걸로 끝날까요?

아닙니다.

 

DSW-1(config)#service password-encryption

암호화를 해주는 센스가 필요 하죠.

 

 

하나 더 ~

콘솔 케이블을 접속을 할 때도 보안 설정을 걸어두어야 하겠죠?

 

 

DSW-1(config)#line console 0

DSW-1(config-line)# password 1234

DSW-1(config-line)# login local

DSW-1(config-line)# exec-timeout 5 0

 

 

 

이제 무엇을 설정해야 할까요???

 

바로 snmp 입니다.

snmp가 뭐냐고요?

 

아니... 그것도 몰......를 수 있지

 

snmp 간단하게 말하자면 

 

 

그냥 쉽게 말하자면 IP를 관리하기 위해서 수집을 하는 프로토콜 입니다.

 

그럼 왜 SNMP를 쓸까요?

 

바로 NAC(Network access control)을 사용하여 사용자 IP를 관리하기 때문 입니다.

NAC은 여러종류가 있는데요. 

지금 이 시간은 NAC을 설명하는 시간이 아니므로 나중에 설명 하겠습니다.

 

 

 

SNMP는 IOS, NX-OS등 설정하는 Confiugre가 다릅니다.

필자가 쓰는 Configure는 IOS 입니다. 

 

DSW-1(config)#snmp-server group snmp v3 auth read RO access SNMP (SNMP 인증설정)

DSW-1(config)#snmp-server group snmp v3 priv read RO access SNMP (SNMP 인증설정)

DSW-1(config)#snmp-server group manager v3 priv(SNMP 관리자 설정)

DSW-1(config)#snmp-server view RO internet included

DSW-1(config)#snmp-server host 192.168.100.10 version 3 priv manager (SNMP 서버 설정)

 

끝이 아닙니다.

아무나 SNMP를 제어 할 수 없게 SNMP를 수집 할 수 있는 서버를 지정 해주는 ACL을 걸어주어야 합니다.

 

DSW-1(config)#ip access-list standard SNMP

DSW-1(config-std-nacl)#permit 192.168.100.10

DSW-1(config-std-nacl)#permit 192.168.100.11

 

 

이렇게 필수적인 기본 세팅을 해 보았습니다.

 

 

오늘의 Configure 공개

 

 

그전에~

 

 

와

 

 

좋아요 꾸욱 눌러주시면 오늘 장애처리와 작업이 아주 잘 될 것이며

ping test시 !!!!!가 시원하게 나가는 걸 볼 수 있습니다.

 

 

 

service password-encryption
!
hostname DSW-1

!

enable secret 1234
!
no aaa new-model
clock timezone kts 9 0

!

ip-domain name josaboo.com

!

username admin secret 1234
!
redundancy
!
!
ip ssh port 2000 rotary 1
ip ssh version 1

!

ip access-list standard SNMP
 permit 192.168.100.10
 permit 192.168.100.11
!

ip access-list extended ssh_acl
 permit tcp host 192.168.200.77 any eq 2000
 permit tcp host 192.168.200.78 any eq 2000
 permit tcp host 192.168.200.79 any eq 2000
 deny   tcp any any log
!
!
snmp-server group snmp v3 auth read RO access SNMP
snmp-server group snmp v3 priv read RO access SNMP
snmp-server group manager v3 priv
snmp-server view RO internet included
snmp-server host 192.168.100.10 version 3 priv manager
!
!
control-plane
!
line con 0
 exec-timeout 5 0

 password 1234
 logging synchronous
 login local
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 access-class ssh_acl in
 exec-timeout 5 0
 password 1234
 login local
 rotary 1
 transport input ssh
line vty 5 15
 exec-timeout 0 1
 login local
 transport input none
!
!
end

 

※ 조사부 소개

- 정보통신, 미래IT공학(인공지능) 전공

- 現 중앙 정부부처 네트워크 운영 관리

- 다수 유지보수 및 SI 프로젝트 참여

 

출처 있는 포스팅 무단배포 사랑합니다!

 

 

구독과 좋아요는 사랑입니다. ㅠㅠ

 

 

네트워크 강의 / 야간, 주말 기술 지원 / 네트워크 컨설팅 / 네트워크 설계 

서적, 장비, 강의 리뷰 / PPL등등

조사부의 손길이 필요하시면 아래의 연락처로 연락 주세요.

▽▼▽▼▽▼▽▼▽▼▽▼▽▼▽▼

 

이메일 : s002150@kakao.com

카카오톡 ID : ss002150

 

여기로 문의주시면 감사하겠습니다.