네트워크 장비의 VTY(Virtual Terminal)는 원격으로 장비에 접속하여 관리하는 데 사용되는 가상 터미널입니다. VTY는 일반적으로 Telnet이나 SSH와 같은 프로토콜을 통해 사용자가 장비에 접속할 수 있도록 합니다.
VTY는 네트워크 장비의 관리자가 로컬로 접근할 수 없는 원격 위치에서 장비를 관리하고 모니터링할 수 있게 해줍니다. 이를 통해 장비에 대한 관리가 용이해지며, 장애 해결이나 구성 변경 등의 작업을 신속하게 수행할 수 있습니다.
일반적으로 네트워크 장비에서는 여러 개의 VTY 라인이 제공되며, 각 라인은 동시에 하나의 사용자만 접속할 수 있습니다. 또한 보안을 강화하기 위해 SSH와 같은 암호화된 프로토콜을 사용하여 원격 접속을 보호할 수 있습니다.
요약하자면, 네트워크 장비의 VTY는 원격으로 장비에 접속하여 관리하는 데 사용되는 가상 터미널이며, 효율적인 장비 관리와 보안을 위해 중요한 역할을 합니다.
1. CISCO
1) vty 접속 설정 개요
- 전역 설정에 user계정 생성 + vty에 login local만 설정
전역 설정에 user 계정을 통해 vty 접속이 가능함
- 전역 설정에 user계정 미존재 + vty에 login local만 설정
vty 접속 안됨
- vty에 password만 설정
vty 접속 되지 않음
- vty에 login 만 설정
vty 접속 되지 않음(login 은 vty 내에 password 설정과 매핑됨)
- vty에 password + login 설정
vty 접속 가능함
즉, login 설정은 vty 설정 내에 password와 매핑되며 login local 설정은 전역 설정에 username과 패스워드와 매핑됨.
매핑되는 부분이 없을 경우 vty 접속은 불가
2) console 접속 설정 개요 (설정 후 필히 콘솔 접속 테스트 해야 함)
- 전역 설정에 user계정 생성 + console에 login local만 설정
전역 설정에 user 계정을 통해 con 접속이 가능함
- 전역설정에 user계정 미존재 + consle에 login local만 설정
console 접속 안됨
- con 에 password만 설정
인증 없이 그냥 접속됨 (vty와 큰 차이점)
- con 에 login 만 설정
con 접속 되지 않음
- con 에 password + login 설정
con 접속 가능함
login이나 login local 값이 있어야만 패스워드가 적용되는 것임
즉, login 설정은 con 설정 내에 password 와 매핑되며 login local 설정은 전역 설정에 username과 패스워드와 매핑됨.
매핑되는 부분이 없을 경우 con 접속은 불가함
3) 예외 사항
vyt에 login, 또는 login local(계정, 패스워드 요구), Password 설정이 없을 경우, 패스워드 요구 없이 그냥 접속된다는 뜻이나, 직접 접속 해볼 경우, 계정 및 패스워드 정보를 요구하는 경우가 있다.
이것은 aaa 인증 모드 설정 때문인 것으로 예상된다.
O 유저설정 확인
username admin privilege 15 secret 5 $1$rzq3$TJmjjPTFxCZtRBCDRrR./.
username manager privilege 10 secret 5 $1$C2eK$LrauP1ADwUbKZ/7ouOD9m1
O 인증 모드 설정 확인
aaa new-model // aaa 인증 모드 활성화 명령어
!
!
aaa authentication login default local -> local의 뜻은 인증에 대해 local username databass 를 사용한다는 의미로 해당 명령어가 설정되어 있을 경우, vty에 패스워드 설정이 되어 있지 않더라도 로그인 시 계정 및 패스워드 정보를 요구하도록 됨
aaa authentication enable default enable
aaa authorization exec default local
4) VTY ACL 설정
ACL(Access Control List)은 네트워크 트래픽을 필터링하거나 제어하는 데 사용됩니다. 특정 PC 혹은 대역만 통신을 하며 그 외 모든 대역의 접근을 막을 수도 있으며, 특정 대역 혹은 단일 IP만 접근을 막을 수도 있습니다. 설정방법은 아래와 같습니다.
itgoit_L2SW# config terminal
itgoit_L2SW(config)# access-list [번호(1-99)] {permit | deny} [소스] [목적] [프로토콜]
// access-list 10 permit 102.12.1.30 any eq 2200, access-list 10 deny any any eq 2200
itgoit_L2SW(config)# access-list [1-99] permit any ⇒ 기본 deny 방지
itgoit_L2SW(config)# line vty 0 4
itgoit_L2SW(config)# access-class [1-99] in
ex) 192.168.2.1 에서만 vty 접근 가능
itgoit_L2SW(config)# access-list 1 permit 192.168.2.1번호: ACL 번호 또는 범위를 1-99번 안에서 지정합니다.
permit 또는 deny: 허용 또는 차단할 패킷을 지정합니다.
소스: 패킷의 출발지 주소 또는 네트워크를 지정합니다.
목적: 패킷의 목적지 주소 또는 네트워크를 지정합니다.
프로토콜: 패킷의 프로토콜을 지정합니다. (예: TCP, UDP, ICMP, SSH 등)
