[CISCO] C9300-24T Switch 보안기능 운용서
장비명 : c9300-24t
os version : 17.8.1
크기 : 1RU
성능 : 시스템 최대 스위칭 용량 : 208Gbps
인터페이스 : 24ports 10/100/1000 Ethernet
Memory : 8GB DRAM, 16GB Flash
전원 : 350W AC
1. 장비 초기 설정사항
1-1. 최초 장비 접속 시 관리자 설정
1) 콘솔 포트 접속 확인 - Terminal의 기본 값은 Speed는 9600, 8 Date bits, No Parity, 1 stop bits를 설정하여 연결
2) 관리자 계정(admin) 비밀번호 생성 및 변경 - 최초 부팅 시 관리자 계정이 존재하지 않으므로, 관리자 계정을
생성할 것을 권고 - 비밀번호 길이는 최소 1자 이상이어야 하며 영문, 대/소문자, 특수문자 입력 가능 -
관리자/사용자 계정, 운용 모드 패스워드 설정 및 변경 명령어는 동일 - 관리자/사용자 계정, 운용 모드 패스워드
설정 및 변경 시 마스킹 기능 지원 - password 설정 시 보안강도가 높은 Scrypt로 설정할 것을 권고 -
시스코 CLI 명령어는 Console, Telnet, SSH에 동일하게 적용
# 계정 생성 및 변경
device>enable
device#configure terminal
device(config)#username cisco masked-secret
Enter secret: *******
Confirm secret : ********
device(config)# enable masked-secret
Enter secret: ********
Confirm secret : ********
3) 콘솔 포트 접속 인증 설정 - 장비 최초 부팅 후 생성한 관리자 계정에 대한 콘솔 포트 접속 인증 설정
* 콘솔 포트 접속 인증 설정
device#configure terminal
device(config)#line console 0
device(config-line)#login loca
1-2. 원격 서비스 설정
1) 원격 서비스 설정 (Telnet/SSH)
- 최초 장비 부팅 시, Telnet 서비스는 비활성화 상태임
- 최초 장비 부팅 시, SSH 서비스는 활성화 상태이며, Default SSH version이 “1.99“ 이기에 보안 강도가
높은 version ”2”로 설정할 것을 권고
- RSA Key 길이는 보안강도가 높고 보편적으로 많이 사용되는 “2048” 이상으로 설정할 것을 권고
* Telnet/SSH 활성화 설정
device(config)#line vty 0 97
device(config-line)#transport input [all / telnet / ssh / telnet ssh]
* SSH v2 설정
device(config)#ip domain name cisco.com
device(config)#crypto key generate rsa
The name for the keys will be: device.cisco.com
Choose the size of the key modulus in the range of 512 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [1024]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 3 seconds)
device(config)#ip ssh version 2
* SSH v2 접속 인증 설정
device#configure terminal
device(config)#line vty 0 97
device(config-line)#login local
-> Telnet도 동일 적용
* SSH v2 설정 확인
device# show ip ssh