Cisco Catalyst 9200 SSH 설정 및 Mgmt 포트 전용 VRF 구성

작성일자 글쓴이

이 글에서는 Cisco Catalyst 9200(C9200) 장비 기준으로 다음 내용을 설정합니다.

  • SSH 접속 설정
  • Mgmt 포트(Gi0/0) 전용 VRF 구성
  • Mgmt VRF 전용 기본 라우팅 설정

1. SSH 설정

1-1. 도메인 네임 설정

SSH RSA 키 생성을 위해 도메인 네임을 먼저 설정합니다.

EXT_SW# configure terminal
EXT_SW(config)# ip domain name networker

※ 실제 DNS와 무관하며 SSH 키 식별용으로만 사용됩니다.

1-2. RSA 키 생성

SSH는 RSA 키 기반 암호화를 사용합니다.

EXT_SW(config)# crypto key generate rsa

기존 키가 있으면 아래 메시지가 출력됩니다.

You already have RSA keys defined named EXT_SW.networker.
Do you really want to replace them? [yes/no]: yes

키 길이는 2048bit 이상 권장합니다.

How many bits in the modulus [1024]: 2048
  • 2048bit는 보안성과 성능의 균형이 가장 무난한 값입니다.

1-3. 로컬 사용자 계정 생성 (SHA256)

SSH 로그인에 사용할 로컬 계정을 생성합니다.

EXT_SW(config)# username admin algorithm-type sha256 secret Networker12#$
  • algorithm-type sha256 : 비밀번호를 SHA-256으로 암호화
  • secret : password보다 안전 (자동 암호화)

1-4. Enable 비밀번호 설정

관리자 모드(enable) 진입 시 사용할 비밀번호입니다.

EXT_SW(config)# enable algorithm-type sha256 secret Networker12#$

1-5. VTY 라인에 로컬 인증 적용

SSH 접속 시 로컬 계정을 사용하도록 설정합니다.

EXT_SW(config)# line vty 0 15
EXT_SW(config-line)# login local
EXT_SW(config-line)# exit

※ Catalyst 9200은 VTY 0~15를 사용합니다.

1-6. 설정 저장

EXT_SW# write memory

또는

EXT_SW# copy running-config startup-config

2. Mgmt 포트 설정 및 Mgmt 전용 VRF 구성

2-1. Mgmt VRF를 사용하는 이유

Mgmt 포트(Gi0/0)를 VRF로 분리하면 다음과 같은 장점이 있습니다.

  • 관리 트래픽과 운영 트래픽 완전 분리
  • 서비스망 장애 시에도 관리 접속 유지
  • 라우팅 충돌 및 보안 사고 예방

Cisco Catalyst 장비에서는 이를 위해 Mgmt-vrf를 사용합니다.

2-2. Mgmt 포트 인터페이스 설정

EXT_SW# configure terminal
EXT_SW(config)# interface gigabitEthernet 0/0
EXT_SW(config-if)# no shutdown
EXT_SW(config-if)# vrf forwarding Mgmt-vrf
EXT_SW(config-if)# ip address 172.16.10.30 255.255.255.0
EXT_SW(config-if)# exit

설정 설명

  • gigabitEthernet 0/0 : Catalyst 9200의 Mgmt 포트
  • vrf forwarding Mgmt-vrf : 관리망 전용 VRF 적용
  • ip address : 관리망 IP 설정

⚠️ 중요
vrf forwarding 명령은 IP 설정 전에 반드시 먼저 적용해야 합니다.
순서가 바뀌면 IP 주소가 자동 삭제됩니다.

2-3. Mgmt VRF 전용 기본 라우팅 설정

Mgmt VRF는 글로벌 라우팅 테이블과 분리되어 있으므로
기본 라우트를 별도로 설정해야 외부에서 SSH 접속이 가능합니다.

EXT_SW(config)# ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 172.16.10.254
  • 172.16.10.254 : 관리망 게이트웨이

2-4. 설정 저장

EXT_SW# write memory

3. 설정 확인 명령어

운영 전 반드시 아래 명령어로 상태를 확인합니다.

SSH 상태 확인

show ip ssh

Mgmt VRF 라우팅 확인

show ip route vrf Mgmt-vrf

Mgmt 인터페이스 상태 확인

show ip interface brief vrf Mgmt-vrf

4. 구성 요약

  • SSH 보안 접속 설정 완료
  • 로컬 계정 + SHA256 암호화 적용
  • Mgmt 포트 트래픽 운영망과 완전 분리
  • Mgmt VRF 전용 기본 라우팅 구성

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다