Telnet & banner & access-class

오늘은 Telnet과 banner, 그리고 텔넷에 적용하는 ACL인 access-class에 대해 알아보자

Telnet이란 ?

→ 텔넷이란 암호화를 사용하지 않는 원격접속을 위한 프로토콜이다.
→ 보안상 사용하지 않는걸 권장하고 있다. 폐쇄된 망이면 사용하기도 한다. 하지만, 라우터에서 SSH 접속이 불가능하면 telnet으로 접속을 허용하기도 한다.

→ Router에서 텔넷의 기본값은 비활성화이다.
→ 텔넷은 Physical Port(물리적 포트)가 아닌 Virtual Ports(가상 포트)를 사용한다. 즉, 인터페이스를 경유해서 나가는 트래픽이 아니기에 인터페이스에서 제어할 수 없다.

(config)#line vty 0 4
→ vty는 Virtual TeletYpe의 약자이며 0 4는 0 ~ 4 까지 5명이 접속이 가능하다 (최대 16명)

banner

→ Telnet 및 SSH 접속시 나오는 메시지로 주로 경고 메시지 를 쓴다
( welcome 등 환영인사 X , 무조건 경고 메시지 )

access-class

→ 텔넷은 가상포트를 사용하기에 인터페이스에 ACL를 걸 수 가 없다.
→ 따라서 access-class를 통하여 ACL를 적용할 수 있다.

실습 (packet trace)

Telnet 설정하기

(config)
line vty 0 4
password cisco
login
→ 비밀번호를 주고 login을 준다 ( 활성화 )

no login
→ 비밀번호 없이 텔넷에 접근이 가능하게 해준다 ( 무장해제 !! )

banner 설정하기

(config)
banner motd #
=============================
Warning Warning
please password!
============================#

#: banner 종료기호 , 다른것을 사용해도 된다
입력한 내용이 그대로 telnet 혹은 ssh 접속시 표시된다.

access-class 설정하기

(config)
line vty 0 4
password cisco
login
access-class 10 in
!
access-list 10 permit host 172.16.1.10

→ acl를 만들고 access-class를 통하여 텔넷(가상포트)에 적용시킨다.

종합실습

1. 영업부는 다른 부서와 통신이 안되게 하시오( standard acl )

2. 총무부는 외부와 통신이 안되게 하시오 ( standard acl )

3. R1에 telnet 구성하시오 ( banner 간단히)

4. 3번 확인뒤 ip가 30.30.30.30 dls pc만 telnet 허용

5. 기술지원부 소속중 무선기기를 쓰는 장비들만 인터넷만 되도록 설정하시오
   (dns , http , https )

요구사항 해답

1. 영업부는 다른 부서와 통신이 안되게 하시오( standard acl )

=====================================

access-list 10 deny 100.16.40.0 0.0.0.255
access-list 10 permit any
!
int fa1/0
ip access-group 10 out
!
int fa0/1
ip access-group 10 out

=====================================

2. 총무부는 외부와 통신이 안되게 하시오 ( standard acl )

=====================================

access-list 20 deny 100.16.10.0 0.0.0.255
access-list 20 permit any
!
int s0/0
ip access-group 20 out

=====================================

3. R1에 telnet 구성하시오 ( banner 간단히)
   password cisco123, enable password cisco

=====================================

line vty 0 4
password cisco123
login
exit
!
enable password cisco

banner motd #
Enter TEXT message.  End with the character '#'.
=================================================

        Worning !!!! 
     Enter Password
        Worning !!!!
================================================#

=====================================

4 3번 확인뒤 ip가 30.30.30.30 dls pc만 telnet 허용

=====================================

access-list 30 permit host 30.30.30.30
!
line vty 0 4
access-class 30 in

=====================================

5. 기술지원부 소속중 무선기기를 쓰는 장비들만 인터넷만 되도록 설정하시오 (dns , http , https )

=====================================

access-list 100 permit ip host 100.16.30.100 any
access-list 100 permit udp host 100.16.30.2 any eq 53
access-list 100 permit tcp host 100.16.30.2 any eq 80
access-list 100 permit tcp host 100.16.30.2 any eq 443
!
int fa0/1
ip access-group 100 in

=====================================

파일링크 → https://drive.google.com/file/d/1zdIsn6ahQnxXO1p-NmgFvtBpnRbzy370/view