Profile picture

[네트워크] 효율적인 관리 IP 설정 방법 - Cisco 스위치(switch)에서 관리 VLAN 및 SSH 설정하기

JaehyoJJAng2023년 06월 08일

개요

L2 스위치와 L3 스위치가 혼합된 환경에서 어떻게 관리 IP를 체계적으로 설정하고,

보안성을 높일 수 있는지 실무적인 관점에서 고민한 결과를 기록해보려고 한다.


1. 네트워크 관리 VLAN 설정의 필요성

관리 VLAN을 사용하는 이유는 뭘까?


한 가지 예시를 들어보겠다.

아래와 같은 간단한 네트워크 구성도가 있다고 해보자.
image


여기서 L3, L2 장비에 관리용 IP를 설정해야 한다는 조건이 붙는다면 어떻게 하는 게 좋을 것 같은지 고민해 보자.


1. L2 스위치에 연결된 VLAN으로 관리 IP를 할당 (VLAN별 관리 IP 할당하기)

첫 번째 방법으로, L2 스위치에 연결된 VLAN으로 관리 IP를 할당한다고 해보자.

위 방법을 사용했을 때 얻을 수 있는 이점은 뭘까?

  • 구현이 간단: 별도의 관리 VLAN을 구성하지 않아도 되므로 설정이 비교적 간단하다.
  • 리소스 절약: 관리 VLAN을 추가하지 않으므로 IP 서브넷, VLAN ID 등을 절약할 수 있다.
  • 적은 트래픽: 관리 트래픽이 특정 VLAN 내에서만 이동하므로 네트워크 전반에 영향을 주지 않는다.

물론, 단점도 존재한다.

  • 확장성 부족: L2 스위치가 여러 VLAN에 걸쳐 연결되면 관리 IP가 중복될 가능성이 있고, 추가 VLAN마다 관리 IP를 변경해야할 수도 있다.
  • 보안이슈: 관리 트래픽이 일반 데이터 VLAN과 동일한 네트워크에서 동작하기 때문에, 같은 VLAN 내의 장치가 관리 트래픽에 접근할 위험이 존재한다.
  • 트러블슈팅 어려움: VLAN 문제 발생 시 관리 IP에 접근이 불가능해질 수도 있다.

그러면 어떻게 해야 효율적으로 관리 VLAN 할당이 가능한걸까?

바로, 두 번째 방법으로 넘어가보자.


2. 관리 VLAN을 별도로 생성해서 관리 IP를 할당하기 (관리 VLAN 방식)

두 번째 방법을 얻을 수 있는 이점은 뭘까?

  • 보안 강화: 관리 VLAN에 대한 접근을 ACL이나 방화벽으로 제어할 수 있어 보안성이 높아진다.
  • 독립된 관리 트래픽: 일반 데이터 트래픽과 분리되어 문제 발생 시에도 장비를 안정적으로 분리할 수 있다.
  • 확장성: VLAN과 상관 없이 관리 VLAN 하나만으로 모든 장비를 통합 관리할 수 있게된다.
  • 표준화: 네트워크 확장 시 일관된 관리 IP 설계가 가능하다.

하지만, 이 방법 또한 그에 반하는 단점이 존재한다.

  • 구성 복잡성: 모든 장비에 관리 VLAN 설정이 필요하며, 트렁크 포트도 설정해야 함.
  • 리소스 소모: 별도의 VLAN ID와 서브넷이 필요하므로 자원이 소모됨.

보안과 복잡성은 비례하므로, 소규모 네트워크이더라도, 2번째 방법을 사용하는 게 더 적절해 보인다.


2. 관리 IP 실습

네트워크 관리 VLAN 설정의 필요성에서 나온 구성도를 기반으로

장비에 관리 IP를 할당하고 SSH도 설정하는 실습을 진행해보려고 한다.


기존에 사용되는 VLAN 30, 50은 데이터 트래픽으로써 그대로 사용하고,

VLAN 99를 관리 VLAN으로 새롭게 생성하고, IP도 할당할거다.


2-1. L3 스위치: 관리 VLAN 및 SSH 설정

2-1-1. 관리 VLAN 생성 및 IP 설정

conf t
vlan 99
name MANAGEMENT
exit

interface vlan 99
ip address 192.168.99.1 255.255.255.0
no shutdown
exit
  • VLAN 99: 관리 트래픽을 전담할 VLAN ID
  • IP 주소: 관리 VLAN을 사용하는 모든 장비의 기본 게이트웨이가 된다.

2-1-2. SSH 설정

도메인 이름 설정

ip domain-name example.com

암호화 키 생성

crypto key generate rsa

키 길이는 1024비트 이상을 권장한다.


허가된 사용자 접근만 허용하기 위해 access-list를 만들어주자.

  • 192.168.100.10: 어드민 전용 PC의 IP 주소
access-list 10 permit 192.168.100.10

사용자 계정 생성 및 SSH 활성화

username admin privilege 15 secret StrongPassword123
ip ssh version 2

line vty 0 15
access-class 10 in
login local
transport input ssh

2-2 L2 스위치: 관리 VLAN 및 SSH 설정

L2 스위치는 라우팅(Routing) 기능이 없으므로, 관리 VLAN의 IP를 설정할 때 기본 게이트웨이를 반드시 지정해야 한다.


2-2-1. 관리 VLAN 생성 및 IP 설정

conf t
vlan 99
name MANAGEMENT
exit

interface vlan 99
ip address 192.168.99.101 255.255.255.0
no shutdown
exit

2-2-2. 기본 게이트웨이 설정

ip default-gateway 192.168.99.1

L3 스위치 관리 VLAN의 IP(192.168.99.1)를 게이트웨이로 설정해 L2 스위치에서 외부 네트워크로 관리 트래픽을 전달한다.


2-2-3. SSH 설정

SSH 설정은 L3 스위치와 동일하다.


마무리

관리 VLAN을 통해 네트워크 관리 트래픽을 데이터 트래픽에서 분리하면,

보안성과 효율성을 동시에 확보할 수 있다.

그리고 인가된 사용자만 SSH 접근할 수 있도록 ACL을 사용하여 관리 트래픽을 제어하는 것도 잊으면 안된다.

    Tag -
Loading script...